交換機應用中的六種安全設置方法

L2-L4 層過濾

　　現在的新型交換機大都可以通過建立規則的方式來實現各種過濾需求。規則設置有兩種模式，一種是MAC模式，可根據用戶需要依據源MAC或目的MAC有效實現數據的隔離，另一種是IP模式，可以通過源IP、目的IP、協議、源應用端口及目的應用端口過濾數據封包；建立好的規則必須附加到相應的接收或傳送端口上，則當交換機此端口接收或轉發數據時，根據過濾規則來過濾封包，決定是轉發還是丟棄。另外，交換機通過硬件“邏輯與非門”對過濾規則進行邏輯運算，實現過濾規則確定，完全不影響數據轉發速率。

　　802.1X 基於端口的訪問控制

　　為了阻止非法用戶對局域網的接入，保障網絡的安全性，基於端口的訪問控制協議802.1X無論在有線LAN或WLAN中都得到了廣泛應用。例如華碩最新的 GigaX2024/2048等新一代交換機產品不僅僅支持802.1X 的Local、RADIUS 驗證方式，而且支持802.1X 的Dynamic VLAN 的接入，即在VLAN和802.1X 的基礎上，持有某用戶賬號的用戶無論在網絡內的何處接入，都會超越原有802.1Q 下基於端口VLAN 的限制，始終接入與此賬號指定的VLAN組內，這一功能不僅為網絡內的移動用戶對資源的應用提供了靈活便利，同時又保障了網絡資源應用的安全性；另外， GigaX2024/2048 交換機還支持802.1X的Guest VLAN功能，即在802.1X的應用中，如果端口指定了Guest VLAN項，此端口下的接入用戶如果認證失敗或根本無用戶賬號的話，會成為Guest VLAN 組的成員，可以享用此組內的相應網絡資源，這一種功能同樣可為網絡應用的某一些群體開放最低限度的資源，並為整個網絡提供了一個最外圍的接入安全。

　　流量控制（traffic control）

　　交換機的流量控制可以預防因為廣播數據包、組播數據包及因目的地址錯誤的單播數據包數據流量過大造成交換機帶寬的異常負荷，並可提高系統的整體效能，保持網絡安全穩定的運行。

　　SNMP v3 及SSH

　　安全網管SNMP v3 提出全新的體系結構，將各版本的SNMP 標准集中到一起，進而加強網管安全性。SNMP v3 建議的安全模型是基於用戶的安全模型，即USM.USM對網管消息進行加密和認證是基於用戶進行的，具體地說就是用什麼協議和密鑰進行加密和認證均由用戶名稱（userNmae）權威引擎標識符（EngineID）來決定（推薦加密協議CBCDES，認證協議HMAC-MD5-96 和HMAC-SHA-96），通過認證、加密和時限提供數據完整性、數據源認證、數據保密和消息時限服務，從而有效防止非授權用戶對管理信息的修改、偽裝和竊聽。

　　至於通過Telnet 的遠程網絡管理，由於Telnet 服務有一個致命的弱點——它以明文的方式傳輸用戶名及口令，所以，很容易被別有用心的人竊取口令，受到攻擊，但采用SSH進行通訊時，用戶名及口令均進行了加密，有效防止了對口令的竊聽，便於網管人員進行遠程的安全網絡管理。

　　Syslog和Watchdog

　　交換機的Syslog 日志功能可以將系統錯誤、系統配置、狀態變化、狀態定期報告、系統退出等用戶設定的期望信息傳送給日志服務器，網管人員依據這些信息掌握設備的運行狀況，及早發現問題，及時進行配置設定和排障，保障網絡安全穩定地運行。

　　Watchdog 通過設定一個計時器，如果設定的時間間隔內計時器沒有重啟，則生成一個內在CPU重啟指令，使設備重新啟動，這一功能可使交換機在緊急故障或意外情況下時可智能自動重啟，保障網絡的運行。

　　雙映像文件

　　一些最新的交換機， 像A S U SGigaX2024/2048還具備雙映像文件。這一功能保護設備在異常情況下（固件升級失敗等）仍然可正常啟動運行。文件系統分majoy和 mirror兩部分進行保存，如果一個文件系統損害或中斷，另外一個文件系統會將其重寫，如果兩個文件系統都損害，則設備會清除兩個文件系統並重寫為出廠時默認設置，確保系統安全啟動運行。