交换机应用中的六中安全设置介绍

L2-L4 层过滤

　

　　现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则设置有两种模式，一种是 MAC 模式，可根据用户需要依据源 MAC 或目的 MAC 有效实现数据的隔离，另一种是 IP 模式，可以通过源 IP 、目的 IP 、协议、源应用端口及目的应用端口过滤数据封包；建立好的规则必须附加到相应的接收或传送端口上，则当交换机此端口接收或转发数据时，根据过滤规则来过滤封包，决定是转发还是丢弃。另外，交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算，实现过滤规则确定，完全不影响数据转发速率。

　

　　 802.1X 基于端口的访问控制

　

为了阻止非法用户对局域网的接入，保障网络的安全性，基于端口的访问控制协议 802.1X 无论在有线 LAN 或 WLAN 中都得到了广泛应用。例如华硕最新的 GigaX2024/2048 等新一代交换机产品不仅仅支持 802.1X 的 Local 、 RADIUS 验证方式，而且支持 802.1X 的 Dynamic VLAN 的接入，即在 VLAN 和 802.1X 的基础上，持有某用户账号的用户无论在网络内的何处接入，都会超越原有 802.1Q 下基于端口 VLAN 的限制，始终接入与此账号指定的 VLAN 组内，这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利，同时又保障了网络资源应用的安全性；另外， GigaX2024/2048 交换机还支持 802.1X 的 Guest VLAN 功能，即在 802.1X 的应用中，如果端口指定了 Guest VLAN 项，此端口下的接入用户如果认证失败或根本无用户账号的话，会成为 Guest VLAN 组的成员，可以享用此组内的相应网络资源，这一种功能同样可为网络应用的某一些群体开放最低限度的资源，并为整个网络提供了一个最外围的接入安全。

 

　　流量控制（ traffic control ）

　

　　交换机的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机带宽的异常负荷，并可提高系统的整体效能，保持网络安全稳定的运行。

　

　　 SNMP v3 及 SSH

　

　　安全网管 SNMP v3 提出全新的体系结构，将各版本的 SNMP 标准集中到一起，进而加强网管安全性。 SNMP v3 建议的安全模型是基于用户的安全模型，即 USM.USM 对网管消息进行加密和认证是基于用户进行的，具体地说就是用什么协议和密钥进行加密和认证均由用户名称（ userNmae ）权威引擎标识符（ EngineID ）来决定（推荐加密协议 CBCDES ，认证协议 HMAC-MD5-96 和 HMAC-SHA-96 ），通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务，从而有效防止非授权用户对管理信息的修改、伪装和窃听。

　

　　至于通过 Telnet 的远程网络管理，由于 Telnet 服务有一个致命的弱点――它以明文的方式传输用户名及口令，所以，很容易被别有用心的人窃取口令，受到攻击，但采用 SSH 进行通讯时，用户名及口令均进行了加密，有效防止了对口令的窃听，便于网管人员进行远程的安全网络管理。

　

　　 Syslog 和 Watchdog

　

　　交换机的 Syslog 日志功能可以将系统错误、系统配置、状态变化、状态定期报告、系统退出等用户设定的期望信息传送给日志服务器，网管人员依据这些信息掌握设备的运行状况，及早发现问题，及时进行配置设定和排障，保障网络安全稳定地运行。

　

　　 Watchdog 通过设定一个计时器，如果设定的时间间隔内计时器没有重启，则生成一个内在 CPU 重启指令，使设备重新启动，这一功能可使交换机在紧急故障或意外情况下时可智能自动重启，保障网络的运行。

　

　　双映像文件

　

　　一些最新的交换机， 像 A S U SGigaX2024/2048 还具备双映像文件。这一功能保护设备在异常情况下（固件升级失败等）仍然可正常启动运行。文件系统分 majoy 和 mirror 两部分进行保存，如果一个文件系统损害或中断，另外一个文件系统会将其重写，如果两个文件系统都损害，则设备会清除两个文件系统并重写为出厂时默认设置，确保系统安全启动运行。