随著(zhe)網絡應用(yòng)的(de)普及及不斷深化(huà)，用(yòng)戶對(duì)于二層交換機的(de)需求不僅僅局限于數據轉發性能、服務質量(QoS)等各方面，網絡安全理(lǐ)念正日益成爲組網産品選型的(de)重要參考内容。

随著(zhe)網絡應用(yòng)的(de)普及及不斷深化(huà)，用(yòng)戶對(duì)于二層交換機的(de)需求不僅僅局限于數據轉發性能、服務質量(QoS)等各方面，網絡安全理(lǐ)念正日益成爲組網産品選型的(de)重要參考内容。

如何過濾用(yòng)戶通(tōng)訊，保障安全有效的(de)數據轉發?如何阻擋非法用(yòng)戶，保障網絡安全應用(yòng)?如何進行安全網管，及時(shí)發現網絡非法用(yòng)戶、非法行爲及遠(yuǎn)程網管信息的(de)安全性呢(ne)?這(zhè)裏我們總結了(le)6 條近期交換機市場(chǎng)上一些流行的(de)安全設置功能，希望對(duì)大(dà)家有所幫助。

一、L2-L4 層過濾

現在的(de)新型交換機大(dà)都可(kě)以通(tōng)過建立規則的(de)方式來(lái)實現各種過濾需求。規則設置有兩種模式，一種是MAC模式，可(kě)根據用(yòng)戶需要依據源MAC或目的(de) MAC有效實現數據的(de)隔離，另一種是IP模式，可(kě)以通(tōng)過源IP、目的(de)IP、協議(yì)、源應用(yòng)端口及目的(de)應用(yòng)端口過濾數據封包;建立好的(de)規則必須附加到相應的(de)接收或傳送端口上，則當交換機此端口接收或轉發數據時(shí)，根據過濾規則來(lái)過濾封包，決定是轉發還(hái)是丢棄。

另外，交換機通(tōng)過硬件“邏輯與非門”對(duì)過濾規則進行邏輯運算(suàn)，實現過濾規則确定，完全不影(yǐng)響數據轉發速率。

二、802.1X 基于端口的(de)訪問控制

爲了(le)阻止非法用(yòng)戶對(duì)局域網的(de)接入，保障網絡的(de)安全性，基于端口的(de)訪問控制協議(yì)802.1X無論在有線LAN或WLAN中都得(de)到了(le)廣泛應用(yòng)。例如華碩最新的(de)GigaX2024/2048等新一代交換機産品不僅僅支持802.1X 的(de)Local、RADIUS 驗證方式，而且支持802.1X 的(de)Dynamic VLAN 的(de)接入，即在VLAN和(hé)802.1X 的(de)基礎上，持有某用(yòng)戶賬号的(de)用(yòng)戶無論在網絡内的(de)何處接入，都會超越原有802.1Q 下(xià)基于端口VLAN 的(de)限制，始終接入與此賬号指定的(de)VLAN組内，這(zhè)一功能不僅爲網絡内的(de)移動用(yòng)戶對(duì)資源的(de)應用(yòng)提供了(le)靈活便利，同時(shí)又保障了(le)網絡資源應用(yòng)的(de)安全性;

另外， GigaX2024/2048 交換機還(hái)支持802.1X的(de)Guest VLAN功能，即在802.1X的(de)應用(yòng)中，如果端口指定了(le)Guest VLAN項，此端口下(xià)的(de)接入用(yòng)戶如果認證失敗或根本無用(yòng)戶賬号的(de)話(huà)，會成爲Guest VLAN 組的(de)成員(yuán)，可(kě)以享用(yòng)此組内的(de)相應網絡資源，這(zhè)一種功能同樣可(kě)爲網絡應用(yòng)的(de)某一些群體開放最低限度的(de)資源，并爲整個(gè)網絡提供了(le)一個(gè)最外圍的(de)接入安全。

三、流量控制(traffic control)

交換機的(de)流量控制可(kě)以預防因爲廣播數據包、組播數據包及因目的(de)地址錯誤的(de)單播數據包數據流量過大(dà)造成交換機帶寬的(de)異常負荷，并可(kě)提高(gāo)系統的(de)整體效能，保持網絡安全穩定的(de)運行。

四、SNMP v3 及SSH 安全網管

SNMP v3 提出全新的(de)體系結構，将各版本的(de)SNMP 标準集中到一起，進而加強網管安全性。SNMP v3 建議(yì)的(de)安全模型是基于用(yòng)戶的(de)安全模型，即USM。

USM對(duì)網管消息進行加密和(hé)認證是基于用(yòng)戶進行的(de)，具體地說就是用(yòng)什(shén)麽協議(yì)和(hé)密鑰進行加密和(hé)認證均由用(yòng)戶名稱(userNmae)權威引擎标識符(EngineID)來(lái)決定(推薦加密協議(yì)CBCDES，認證協議(yì)HMAC-MD5-96 和(hé)HMAC-SHA-96)，通(tōng)過認證、加密和(hé)時(shí)限提供數據完整性、數據源認證、數據保密和(hé)消息時(shí)限服務，從而有效防止非授權用(yòng)戶對(duì)管理(lǐ)信息的(de)修改、僞裝和(hé)竊聽(tīng)。

至于通(tōng)過Telnet 的(de)遠(yuǎn)程網絡管理(lǐ)，由于Telnet 服務有一個(gè)緻命的(de)弱點——它以明(míng)文的(de)方式傳輸用(yòng)戶名及口令，所以，很容易被别有用(yòng)心的(de)人(rén)竊取口令，受到攻擊，但采用(yòng)SSH進行通(tōng)訊時(shí)，用(yòng)戶名及口令均進行了(le)加密，有效防止了(le)對(duì)口令的(de)竊聽(tīng)，便于網管人(rén)員(yuán)進行遠(yuǎn)程的(de)安全網絡管理(lǐ)。

五、Syslog和(hé)Watchdog

交換機的(de)Syslog 日志功能可(kě)以将系統錯誤、系統配置、狀态變化(huà)、狀态定期報告、系統退出等用(yòng)戶設定的(de)期望信息傳送給日志服務器，網管人(rén)員(yuán)依據這(zhè)些信息掌握設備的(de)運行狀況，及早發現問題，及時(shí)進行配置設定和(hé)排障，保障網絡安全穩定地運行。

Watchdog 通(tōng)過設定一個(gè)計時(shí)器，如果設定的(de)時(shí)間間隔内計時(shí)器沒有重啓，則生成一個(gè)内在CPU重啓指令，使設備重新啓動，這(zhè)一功能可(kě)使交換機在緊急故障或意外情況下(xià)時(shí)可(kě)智能自動重啓，保障網絡的(de)運行。

六、雙映像文件

一些最新的(de)交換機， 像A S U SGigaX2024/2048還(hái)具備雙映像文件。這(zhè)一功能保護設備在異常情況下(xià)(固件升級失敗等)仍然可(kě)正常啓動運行。文件系統分(fēn)majoy和(hé) mirror兩部分(fēn)進行保存，如果一個(gè)文件系統損害或中斷，另外一個(gè)文件系統會将其重寫，如果兩個(gè)文件系統都損害，則設備會清除兩個(gè)文件系統并重寫爲出廠時(shí)默認設置，确保系統安全啓動運行。

其實，近期出現的(de)一些交換機産品在安全設計上大(dà)都下(xià)足了(le)功夫——層層設防、節節過濾，想盡一切辦法将可(kě)能存在的(de)不安全因素最大(dà)程度地排除在外。

廣大(dà)企業用(yòng)戶如果能夠充分(fēn)利用(yòng)這(zhè)些網絡安全設置功能，進行合理(lǐ)的(de)組合搭配，則可(kě)以最大(dà)限度地防範網絡上日益泛濫的(de)各種攻擊和(hé)侵害，願您的(de)企業網絡自此也(yě)能更加穩固安全。