三级网络技术:转发过滤提高安全性能

沃贝网络 发表于 2011-12-21 08:43

<DIV><SPAN class=Apple-style-span style="WORD-SPACING: 0px; FONT: medium Simsun; TEXT-TRANSFORM: none; COLOR: rgb(0,0,0); TEXT-INDENT: 0px; WHITE-SPACE: normal; LETTER-SPACING: normal; BORDER-COLLAPSE: separate; orphans: 2; widows: 2; webkit-border-horizontal-spacing: 0px; webkit-border-vertical-spacing: 0px; webkit-text-decorations-in-effect: none; webkit-text-size-adjust: auto; webkit-text-stroke-width: 0px">当数据帧到达交换机接口时，交换机就将数据帧的目的地址与转发/过滤MAC数据库中的地址进行比较，如果目的硬件地址是已知的且已经在交换机的MAC数据库中，帧就只会被发送到正确的外出接口。交换机将不会把帧送往除了目的地接口之外的任何其他接口，这就保留了在其它网段上的带宽。这种技术就是交换机的转发过滤技术。 　　这种技术对于提高网络性能与网络安全很有作用。笔者将通过两个例子来谈谈这种技术对于交换式网络的重要意义。 　　案例：利用二层交换机来隔离冲突域 　　如现在有一台交换机连着四台主机，分别为A、B、C、D。假设现在主机A要发一个数据包给主机D。当交换机收到主机A发过来的数据帧之后，该如何处理呢? 　　1、若交换机中没有主机A或者主机D的MAC地址信息 　　如果这个网络是刚刚组建，又或则出于某种原因，网络<A class=infotextkey style="COLOR: rgb(0,51,153); TEXT-DECORATION: none" href="http://www.yuloo.com/manager/" target=_blank>管理</A>员把交换机重置后，则交换机的转发/过滤表会被清除。此时，由于主机A的MAC地址不在转发/过滤表中，考试,大提示:交换机会将主机A的MAC地址和端口添加到自己的MAC数据库中，然后再把帧转发到主机D中。但是，如果主机D的MAC地址不在交换机的MAC数据库中，则交换机会将帧转发到除了主机A连接的接口之外的其他所有接口中。也就是说，在交换机不知道目的主机MAC地址的时候，则交换机上的除了本台设备之外的其他任何设备，如主机B、C、D都将收到主机A发出的数据包。很明显，此时交换机的一些带宽就会被浪费掉。在这种情形下，转发过滤技术并不能够带来多大的益处。 　　2、若交换机知道目的主机的MAC地址 　　假设交换机通过ARP等机制，在自己的MAC地址库中已经知道了所连接设备的MAC地址，如主机A、B、C、D的MAC地址。要了解这些信息不难。只要这个网络存在一定时间，则通过地址学习功能，交换机可以记录相关设备的MAC地址信息。 　　在交换机已经了解了其相邻设备的MAC地址后，当交换机接收到主机A发过来的数据帧之后，会如何处理呢?交换机首先会读取数据帧中的目的MAC地址。然后在自己的MAC地址库中进行查找。发现有匹配的MAC地址后，就从MAC地址库中查询中对应的交换机出口。然后再把数据帧从这个出口转发出去。从这个转发的过程中，我们可以看到数据帧是一进一出。而不像集线器一样，是一进多出;或者像上面提到的不知道目的MAC地址那样，也是一进多出。在这种情形下，交换机直接把数据帧准确无误的转发到对应的接口上。很明显，此时就不会对其他网段的带宽带来不利的影响。 　　通过这种转发过滤技术，就可以在最大限度内避免冲突域的产生，从而在很大程度上提高网络性能。 　　在利用二层交换机来隔离冲突域时，要注意一个问题。当交换机不知道目的MAC地址的话，则交换机并不能够起到隔离冲突域的作用。因为此时，交换机仍然会把数据帧转发到所有的交换机接口中。故当网络<A class=infotextkey style="COLOR: rgb(0,51,153); TEXT-DECORATION: none" href="http://www.yuloo.com/manager/" target=_blank>管理</A>员利用交换机组建比较大型的网络时，不要频繁的重复启动交换机等网络设备。因为重新启动后，其MAC地址库中的内容可能会丢失。如此的话，交换机就又要重零开始学习MAC地址以及MAC地址与端口的对应表。</DIV>

页: [1]

Chinaunix's Archiver

三级网络技术:转发过滤提高安全性能