2021-03-15
工業(ye) 以太網即一種高效的局域網絡,它是現代工業(ye) 自動化生產(chan) 體(ti) 係中的重要組成部份,不管是傳(chuan) 感器數據傳(chuan) 輸、還是生產(chan) 設備控製等等,這些都需以太網來構成基本的控製網絡。這也是為(wei) 什麽(me) 工業(ye) 以太網在自動化生產(chan) 中的應用越來越廣泛的重要原因之一。
現在在工業(ye) 中,通常會(hui) 采用專(zhuan) 用的工業(ye) 以太網交換機,定義(yi) 不同的太網幀優(you) 先等級,讓用戶所希望的信息能夠以最快的速度傳(chuan) 遞出去。
以太網交換機技術發展趨勢近幾年來,隨著企業(ye) 數據通信業(ye) 務以及相關(guan) 的融合業(ye) 務的迅猛發展,以太網交換機作為(wei) 不可或缺的要害設備不僅(jin) 在數量上獲得了極大的提高,而且在質量、性能等方麵不斷完善。
設備技術的不斷成熟,則意味著工業(ye) 以太網的功能也越發強大,自動化生產(chan) 流程更加流暢,對提高生產(chan) 效率無疑是非常巨大的推動作用。
目前,國內(nei) 工業(ye) 以太網交換機市場中,電力和軌道交通是工業(ye) 交換機的重點應用領域,占到市場的70%。中國工業(ye) 以太網交換機市場活躍著大約50家廠商。國內(nei) 工業(ye) 以太 網交換機市場的快速成長,今後幾年進入該領域的企業(ye) 將逐步增多,市場競爭(zheng) 日趨激烈。
首先,速度是我們(men) 衡量網絡性能的一個(ge) 重要標準,從(cong) 而也就成為(wei) 以太網交換機等設備發展的一個(ge) 重要方向。從(cong) 最初的百兆到千兆再到萬(wan) 兆,以太網不斷滿足著人們(men) 快速增長的需求,給人們(men) 帶來超乎平常的體(ti) 驗。
目前,人們(men) 對帶寬的要求正在迅速提高,如迅猛發展的存儲(chu) 網絡必需的海量數據傳(chuan) 輸通道;大量高帶寬匯聚的城域網絡;
不斷豐(feng) 富的寬帶應用所需的帶寬支持;大型金融機構的數據集中;企業(ye) 核心業(ye) 務、ERP、CRM等複雜的應用擴展。今天,千兆為(wei) 骨幹、百兆為(wei) 接入的主流結構,將逐漸向萬(wan) 兆為(wei) 骨幹、千兆為(wei) 接入的結構過渡。
其次是智能化,這裏所指的智能化不僅(jin) 包括交換機設備智能化的治理,還包括它們(men) 對越來越多的智能業(ye) 務的支持。隨著網絡部署新應用和融合多業(ye) 務的需求日益迫切,單一交換機需要擁有豐(feng) 富的功能以提供更多的支持,與(yu) 此同時,複雜的網絡環境加劇了網絡治理的難度,通過智能交換設備進行網絡的集中治理,不僅(jin) 簡化了治理步驟,而且降低了部署和維護的成本。
而伴隨著以太網交換機的迅速普及,它的安全問題也日益受到相關(guan) 重視,我們(men) 目前要應對以下這些方麵:
一、廣播風暴攻擊:
假設一個(ge) 極度充滿惡意的用戶可以發送大流量的廣播數據、組播數據或者目的MAC地址為(wei) 胡亂(luan) 構造的單播數據,交換機接收到這些數據時,將以廣播的方式進行轉發,如果交換機不支持對洪泛數據的流量控製,那麽(me) 網絡的帶寬可能就會(hui) 被這些垃圾數據充滿,從(cong) 而網絡中的其它用戶無法正常上網。
因此,交換機需要支持對從(cong) 每個(ge) 端口收到的洪泛數據進行速率限製。
二、數據對網絡進行攻擊:
該惡意用戶可以向路由器發送非常大流量的數據,這些數據通過交換機發送給路由器的同時、也占用了該上聯接口的大部分帶寬,那麽(me) 其它用戶上網也將趕到非常的緩慢。
因此,交換機需限製每個(ge) 端口進行入方向的速率,不然惡意用戶就可攻擊他所在的網絡、從(cong) 而影響該網絡內(nei) 所有的其它用戶。
三、海量MAC地址攻擊:
因為(wei) 交換機在轉發數據時以MAC地址作為(wei) 索引,如果數據報的目的MAC地址未知時,將在網絡中以洪泛的方式轉發。所以,惡意用戶可以向網絡內(nei) 發送大量的垃圾數據,這些數據的源MAC地址不停改變,因為(wei) 交換機需要不停的進行MAC地址學習(xi) 、並且交換機的MAC表容量是有限的,當交換機的MAC表被充滿時,原有的MAC地址就會(hui) 被新學習(xi) 到的MAC地址覆蓋。這樣,當交換機接收到路由器發送給正常客戶的數據時,由於(yu) 找不到該客戶MAC的記錄,從(cong) 而就將以洪泛的方式在網絡內(nei) 轉發,這樣就大大降低了網絡的轉發性能。
因此,交換機需要能夠限製每個(ge) 端口能夠學習(xi) MAC地址的數量,不然整個(ge) 網絡就將退化為(wei) 一個(ge) 類似於(yu) HUB構成的網絡。
四、MAC欺騙攻擊:
惡意用戶為(wei) 攻擊網絡使之癱瘓,還可將自己的MAC地址改為(wei) 路由器的MAC地址(稱為(wei) MAC-X),然後不停(並不需要很大的流量,每秒鍾1個(ge) 就足夠了)地發送給交換機,這樣,交換機就會(hui) 更新MAC-X的記錄,認為(wei) MAC-X位於(yu) 與(yu) 該惡意用戶連接的端口上,此時,當其他用戶有數據發送給路由器時,交換機將把這些數據發送給該惡意用戶,這樣發送正常數據的用戶就不能正常上網了(同理,該網絡內(nei) 所有的用戶都不能上網)。
因此,交換機應具備MAC與(yu) 端口的綁定功能(即路由器的MAC地址最好在交換機上靜態配置),否則惡意用戶可簡單地讓網絡陷入崩潰;或交換機需綁定每個(ge) 端口允許進入網絡的數據的源MAC地址,這樣惡意用戶就不能通過MAC欺騙來攻擊網絡。
五、ARP欺騙攻擊:
惡意用戶可以進行ARP欺騙攻擊,即不管接收到對哪個(ge) IP地址發出的ARP請求,都立即發送ARP應答,這樣其它用戶發送的數據也都將發送到惡意用戶的這個(ge) MAC地址,這些用戶自然不能正常上網。
因此,交換機應該實現端口與(yu) IP地址的綁定功能,即若收到的ARP請求、ARP應答、口數據與(yu) 綁定的IP不同,即可將這些數據丟(diu) 棄掉,否則會(hui) 讓網絡陷入癱瘓。
六、環路攻擊:
用戶在自己家中也安裝一個(ge) 交換機,並且故意把一根網線的兩(liang) 端都接到該交換機上構成環路,然後在使用網線把該交換機與(yu) 網絡中的交換機連接起來,由於(yu) 整個(ge) 網絡中存在環路,那麽(me) 網絡中的MAC地址學習(xi) 將會(hui) 錯亂(luan) ,從(cong) 而交換機轉發數據時將會(hui) 產(chan) 生錯誤,整個(ge) 網絡也將陷入崩潰。
因此,交換機需具備環路檢測功能,當發現某個(ge) 端口存在環路時,需將該端口關(guan) 閉掉。
400-1144-149
