广西桂林有线电视台 秦旭
随着社会信息化程度的提高,信息化需求已从单纯的数据信息向交互式多媒体信息发展,从专项服务向数字、语音、图像统一服务和综合网传输发展。而传统IP网络已无法满足新业务的需求,给新业务的发展造成了“瓶颈”。在此情况下,宽带IP网便应运而生。所谓宽带IP就是一个运行实时业务时能保证服务质量的IP网,各种宽带多媒体业务可以直接在宽带IP网上运行。这种宽带IP网络是一个真正的综合业务网,它可以提供数据、语音、视频的综合传输业务。近年来,宽带IP网技术有了重大突破,IP over DWDM开始被商业运营系统采用。广域宽带IP骨干网带宽从数十Gbps向数百Gbps发展,不久将达到Tbps的水平。近年来,光缆到小区、到大楼10-100Mbps以太网入户的接系统异军突起,成为宽带接入网的新趋势。
目前的宽带IP网的接入网基本上都采用以广播为技术基础的以太网,其介质存储控制(MAC)协议采用的是冲突检测/载波侦听多路存取协议(CSMA/CD)。CSMA/CD的基本原理是:网络上的每个节点共享同一传输介质,但同一时间只有其中一台能够传输合法数据。网络上的每一个节点接收到每个被传输的数据包,它们把数据解码,并比较封装在帧里面的目的地址MAC,如果与接收工作站的地址匹配,就接收数据,如果不匹配,节点工作站就丢弃该数据包。准备在网络上发送数据的工作必须先侦听线缆来确定是否有其他数据的工作站必须先侦听线缆来确定是否有其他数据已经在传输,当传输介质空闲时,它们就能够开始传输了。当发送数据时,它们监视着线缆上出现的数据,并与所传输的数据进行比较。这很有必要,因为有时会偶然发生2台或多台工作站同时开始传输数据,在这种情况下,线缆上的数据会混淆,变得无法使用,这就是冲突的现象。正在传输数据的工作站监视着它们的数据,将会注意到冲突并停止传送,它们将等待一个随机时间来再次发送数据。这种冲突检测机制事实上限制了网络的长度。相距最远的2个节点必须足够接近至于使它们可能检测到冲突,这样,整个网络长度可以通过网络时钟、信息在介质上的传输速度和最短的帧来计算。这个计算对于传统以太网、快速以太网和吉位以太网分别得出的结果是5120m、512m和51.2m。这些理论上的数据,在实际网络中,除了线缆的广播延迟外,网卡、中继器、集线器和其他网络设备会引入延迟。
CSMA/CD协议使得网络上任何一个以太网冲突域间2个节点之间通信的数据包,不仅为这2个节点的网卡所接收,也同时被在同一以太网冲突域上的任何一个节点的网卡所截取。因此,只要对接入以太网冲突域上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全急患。
当前,对于以太接入网安全必须考虑的问题主要是针对于它的MAC层协议,解决办法有以下几种:
(1)网络分段
目前,一般多采用以交换机为中心、路由器为边界的网络格局,因此交换机的每一个端口都是一个独立的以太网冲突域,不同的交换端口的数据通信是不为第三端口可见的。这实际上也是按交换机的端口对网络进行了分段。
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。
(2)以交换式集线器代替共享式集线器
对以太网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器,这样,当用户与主机进行数据通信时,2台机器之间的数据包还是会同一台集线器上的其他用户所侦听。同时共享集线器除了安全性不强、网络用户可监听到其他用户的信息的缺点外,还人传输速度低、无法避免非法用户上网等缺点。
因此,应该以交换式集线器代替共享式集线器,使数据包仅在2个节点之间传送,从而防止非法侦听。当然,交换式集线器无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)在交换式集线器所有端口的传播。
(3)VLAN的划分
为了克服以太网的广播问题,可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止网络侦听。交换机的每一个端口配置成独立的的VLAN,享有独立的VID。将每个用户端口配置成独立的VLAN,利用支持VLAN的LAN SWITCH进行信息的隔离,用户的IP地址被绑定在端口的VLAN号上,以保证正确路由选择。
目前的VLAN技术主要有3种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然销欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN,各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换都支持RIP和OSPF国际标准的路由协议,如果有特殊需要,必须使用其他路由协议,也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。
在VLAN方式中,利用VLAN可以隔离ARP、DHCP等携带用户信息的广播消息,从而使用户数据的安全性得到了进一步提高。VLAN方式虽然解决了用户数据的安全性问题,但是缺少对用户进行管理的手段,即无法对用户进行认证、授权。
(4)IP+MAC捆绑来确保网络的安全性
在所有的用户间采用VLAN隔离,这个特性最大限度地保护了网络和用户信息的安全,但是用户的IP地址或MAC地址可能被盗用或被仿昌,有经验的黑客纯粹的玩家都可以这样做,因此采用VLAN+IP+MAC捆绑的方式来认证和保证网络的安全,这意味着只有正确分配的IP地址、正确的网络接口卡并且连到特定的端口的用户的唯一性,才能够获取服务。
(5)用户身份认证方式
为便于用户漫游和提供用户等级服务,需要进行身份认证和相应的计费。采用PPPoE结合Radius协议。可以进行用户身份的认证,但采用该技术导致整个系统不仅成本高,而且网络性能严重下降。如果采用DHCP方式,一方面DHCP协议存在着较多的广播开销,对于用户量较多的大型以太交换网络,采用DHCP会造成配置管理困难;另外,无法解决用户自行配置IP地址的问题。为实现最佳性能,需要采用其他更好的协议,如改进的DHCP协议,即DHCP+Radius协议。
基于以太网技术的宽带接入网和传统的用于计算机局域网的以太网技术大不一样,它仅借用了以太网的帧结构的接口,网络结构和工作原理完全不一样,它具有高度的信息安全性、电信级的网络可靠性、强大的网管功能,并且能保证用户的接入带宽,这些都是以太网接入网需要考虑的。基于以及网技术的宽带接入网给用户提供标准的以及网接口,能够兼容所有带标准以太网接口的终端,用户不需要另配新的新口卡或协议软件,因而它是一种十分廉价的宽带接入技术。宽带城域网的发展由于其应用的复杂性,出现了多样的局面。在光缆网上直架结构吉位以太网(将来是10Gbe)宽带IP城域网正在成为主流。对于Tbps以上的宽带城域核心网,将采用由DWDM的光交换机(波长路由器)构成的光多业务平台。运营商建设宽带城域网,应进行综合分析,并做出选择,特别是采用以太网作为主要的接入网时必须考虑安全性。
摘自《宽带商情》2001.12
|