现在以太网交换机在组网设备中占有非常重要的位置,这儿咱们剖析了以太网交换机的安全设置问题,现在的新式以太网交换机大都能够经过树立规矩的方法来完成各种过滤需求。规矩设置有两种形式,一种是MAC形式,可根据用户需求根据源MAC或意图MAC有用完成数据的阻隔,另一种是IP形式,能够经过源IP、意图IP、协议、源使用端口及意图使用端口过滤数据封包。
树立好的规矩有必要附加到相应的接纳或传送端口上,则当以太网交换机此端口接纳或转发数据时,根据过滤规矩来过滤封包,决议是转发仍是丢掉。别的,以太网交换机经过硬件“逻辑与非门”对过滤规矩进行逻辑运算,完成过滤规矩确认,彻底不影响数据转发速率。
802.1X 根据端口的拜访操控
为了阻挠不合法用户对局域网的接入,保证网络的安全性,根据端口的拜访操控协议802.1X不管在有线LAN或WLAN中都得到了广泛使用。例如华硕最新的 GigaX2024/2048等新一代以太网交换机产品不仅仅支撑802.1X 的Local、RADIUS 验证方法,并且支撑802.1X 的Dynamic VLAN 的接入,即在VLAN和802.1X 的基础上,持有某用户账号的用户不管在网络内的何处接入,都会逾越原有802.1Q 下根据端口VLAN 的约束,一直接入与此账号指定的VLAN组内,这一功用不仅为网络内的移动用户对资源的使用供给了灵敏便当,一同又保证了网络资源使用的安全性;别的, GigaX2024/2048 交换机还支撑802.1X的Guest VLAN功用,即在802.1X的使用中,假如端口指定了Guest VLAN项,此端口下的接入用户假如认证失利或底子无用户账号的话,会成为Guest VLAN 组的成员,能够享受此组内的相应网络资源,这一种功用相同可为网络使用的某一些集体敞开最低极限的资源,并为整个网络供给了一个最外围的接入安全。
流量操控(traffic control)
交换机的流量操控能够防备因为播送数据包、组播数据包及因意图地址过错的单播数据包数据流量过大形成以太网交换机带宽的反常负荷,并可进步体系的全体效能,坚持网络安全安稳的运转。
SNMP v3 及SSH
安全网管SNMP v3 提出全新的体系结构,将各版别的SNMP 规范会集到一同,然后加强网管安全性。SNMP v3 主张的安全模型是根据用户的安全模型,即USM.USM对网管音讯进行加密和认证是根据用户进行的,具体地说便是用什么协议和密钥进行加密和认证均由用户称号(userNmae)威望引擎标识符(EngineID)来决议(引荐加密协议CBCDES,认证协议HMAC-MD5-96 和HMAC-SHA-96),经过认证、加密和时限供给数据完整性、数据源认证、数据保密和音讯时限服务,然后有用避免非授权用户对办理信息的修正、假装和偷听。
至于经过Telnet 的长途网络办理,因为Telnet 服务有一个丧命的缺点——它以明文的方法传输用户名及口令,所以,很简单被心怀叵测的人盗取口令,遭到进犯,但选用SSH进行通讯时,用户名及口令均进行了加密,有用避免了对口令的偷听,便于网管人员进行长途的安全网络办理。
Syslog和Watchdog
交换机的Syslog 日志功用能够将体系过错、体系装备、状况改变、状况定时陈述、体系退出等用户设定的希望信息传送给日志服务器,网管人员根据这些信息把握设备的运转状况,及早发现问题,及时进行装备设定和排障,保证网络安全安稳地运转。
Watchdog 经过设定一个计时器,假如设定的时刻距离内计时器没有重启,则生成一个内涵CPU重启指令,使设备重新发动,这一功用可使以太网交换机在紧迫毛病或意外情况下时可智能主动重启,保证网络的运转。
双映像文件
一些最新的以太网交换机, 像A S U SGigaX2024/2048还具有双映像文件。这一功用维护设备在反常情况下(固件晋级失利等)依然可正常发动运转。文件体系分majoy和 mirror两部分进行保存,假如一个文件体系危害或中止,别的一个文件体系会将其重写,假如两个文件体系都危害,则设备会铲除两个文件体系并重写为出厂时默认设置,保证体系安全发动运转。
发布者:博子
