正在阅读：思科Catalyst 3750E交换机首家评测思科Catalyst 3750E交换机首家评测

　　通常三层交换机和路由器在三层转发中只看数据包的目的IP地址，而不关心数据包的源IP地址情况。这就给很多黑客和恶意软件以空间和漏洞，他们可以通过仿冒IP地址进行攻击，比如黑客使用计算机本工作再192.168.1.0/24网段，他可以仿冒任意其他网段的主机乃至是一个Loop back地址对目的主机进行攻击，在经过三层交换机和路由器的几跳，而网络管理员很难发现攻击源。再比如黑客可以仿冒其他网段的一个真实主机地址B，向其他的主机发出请求或者Ping操作，从而引发对该主机的DDoS攻击。防范类似攻击Catalyst 3750-E可以利用IP Source Guard和DHCP Snooping来防范直连主机的地址更改仿冒工作，另外还可以通过设定ACL，过滤主机源地址的方法防范仿冒，当然后者的灵活性和可扩展性不强，在大型网络上难以实施。但是假如网络中的接入交换机不都支持IP Source Guard和DHCP Snooping等功能，经过几次三层转发或者路由接入到网络中，就需要有三层交换机支持反向路径检查功能——uRPF，防范类似的攻击行为。这样的功能以前只在高端交换机和路由器上才能硬件支持，现在像Catalyst 3750-E这样的固定配置交换机也支持了这一功能。使用uRPF，另一个好处是在实现安全功能的同时，不用占用宝贵的ACL资源。 uRPF是根据FIB表检查IP包的源IP地址是否属于其进入的接口，确定数据包的源IP是否非法的，例如：在路由网络中假如A网段的路由没有通过同一交换机的B端口宣告过来，而是通过同一交换机的C端口宣告过来，当用户伪造的A网段数据从B端口进入，会被交换机丢弃。使用uRPF不用手工指定哪个端口哪些源地址可以通过，而是根据路由表的变化动态地实现，降低了配置的难度，在大型路由转发网络中具有很高的灵活性和可扩展性。我们在测试中验证了该功能。在未启用uRPF情况下，我们从属于102.1.1.0/24网段的端口，发送源地址为192.168.1.3的数据包，目的地址为101.1.1.2/24的数据，属于101.1.1.0/24的端口可以接收到流量。当启用uRPF之后，原地址为192.168.1.3的数据包被过滤掉了。

易用——大型网络的法宝

　　正如上面提到的，虽然说ACL也能防范地址欺骗和仿冒，但是在一个有着成千上万主机的大型网络中，添加如此众多的ACL，并且不断的要根据用户变化更改ACL，那么没有一个人会愿意这样做。因为如此操作带来的工作量，乃至潜在的巨大差错率都是IT人员无法接受的。在大型网络中，特别是数量巨大的边缘交换机必须具备很强的易用性。

试用TDR时域反射——网管员不用再奔波

　　一旦是网线出现问题，或者信息点出现问题，网络管理员需要拿着测线仪往返奔波于信息点和配线架之间，确定故障的源头。Catalyst 3750-E把通常在测线仪上的时域反射功能集成到交换机端口上，网络管理员可以通过交换机的命令来远程检查线路情况。我们在测试了Catalyst 3750-E的TDR时域反射功能，结果令人满意。