交換機(jī)應(yīng)用中的六種安全設(shè)置方法

1、第 PAGE4 頁(yè) 共 NUMPAGES4 頁(yè)交換機(jī)應(yīng)用中的六種平安設(shè)置方法L2-L4 層過濾如今的新型交換機(jī)大都可以通過建立規(guī)那么的方式來(lái)實(shí)現(xiàn)各種過濾需求。規(guī)那么設(shè)置有兩種形式，一種是MAC形式，可根據(jù)用戶需要根據(jù)MAC或目的MAC有效實(shí)現(xiàn)數(shù)據(jù)的隔離，另一種是IP形式，可以通過IP、目的IP、協(xié)議、應(yīng)用端口及目的應(yīng)用端口過濾數(shù)據(jù)封包；建立好的規(guī)那么必須附加到相應(yīng)的接收或傳送端口上，那么當(dāng)交換機(jī)此端口接收或轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)，根據(jù)過濾規(guī)那么來(lái)過濾封包，決定是轉(zhuǎn)發(fā)還是丟棄。另外，交換機(jī)通過硬件“邏輯與非門”對(duì)過濾規(guī)那么進(jìn)展邏輯運(yùn)算，實(shí)現(xiàn)過濾規(guī)那么確定，完全不影響數(shù)據(jù)轉(zhuǎn)發(fā)速率。802.1X 基于端口的訪問

2、控制為了阻止非法用戶對(duì)局域網(wǎng)的接入，保障網(wǎng)絡(luò)的平安性，基于端口的訪問控制協(xié)議802.1X無(wú)論在有線LAN或WLAN中都得到了廣泛應(yīng)用。例如華碩最新的 GigaX2024/2048等新一代交換機(jī)產(chǎn)品不僅僅支持802.1X 的Local、RADIUS 驗(yàn)證方式，而且支持802.1X 的Dynamic VLAN 的接入，即在VLAN和802.1X 的根底上，持有某用戶賬號(hào)的用戶無(wú)論在網(wǎng)絡(luò)內(nèi)的何處接入，都會(huì)超越原有802.1Q 下基于端口VLAN 的限制，始終接入與此賬號(hào)指定的VLAN組內(nèi)，這一功能不僅為網(wǎng)絡(luò)內(nèi)的挪動(dòng)用戶對(duì)資的應(yīng)用提供了靈敏便利，同時(shí)又保障了網(wǎng)絡(luò)資應(yīng)用的平安性；另外， GigaX202

3、4/2048 交換機(jī)還支持802.1X的Guest VLAN功能，即在802.1X的應(yīng)用中，假如端口指定了Guest VLAN項(xiàng)，此端口下的接入用戶假如認(rèn)證失敗或根本無(wú)用戶賬號(hào)的話，會(huì)成為Guest VLAN 組的成員，可以享用此組內(nèi)的相應(yīng)網(wǎng)絡(luò)資，這一種功能同樣可為網(wǎng)絡(luò)應(yīng)用的某一些群體開放最低限度的資，并為整個(gè)網(wǎng)絡(luò)提供了一個(gè)最外圍的接入平安。流量控制traffic control交換機(jī)的流量控制可以預(yù)防因?yàn)椴ニ蛿?shù)據(jù)包、組播數(shù)據(jù)包及因目的地址錯(cuò)誤的單播數(shù)據(jù)包數(shù)據(jù)流量過大造成交換機(jī)帶寬的異常負(fù)荷，并可進(jìn)步系統(tǒng)的整體效能，保持網(wǎng)絡(luò)平安穩(wěn)定的運(yùn)行。SNMP v3 及SSH平安網(wǎng)管SNMP v3 提出全

4、新的體系構(gòu)造，將各版本的SNMP 標(biāo)準(zhǔn)集中到一起，進(jìn)而加強(qiáng)網(wǎng)管平安性。SNMP v3 建議的平安模型是基于用戶的平安模型，即USM.USM對(duì)網(wǎng)管消息進(jìn)展加密和認(rèn)證是基于用戶進(jìn)展的，詳細(xì)地說就是用什么協(xié)議和密鑰進(jìn)展加密和認(rèn)證均由用戶名稱userNmae權(quán)威引擎標(biāo)識(shí)符EngineID來(lái)決定推薦加密協(xié)議CBCDES，認(rèn)證協(xié)議HMAC-MD5-96 和HMAC-SHA-96，通過認(rèn)證、加密和時(shí)限提供數(shù)據(jù)完好性、數(shù)據(jù)認(rèn)證、數(shù)據(jù)保密和消息時(shí)限效勞，從而有效防止非受權(quán)用戶對(duì)管理信息的修改、假裝和竊聽。至于通過Tel 的遠(yuǎn)程網(wǎng)絡(luò)管理，由于Tel 效勞有一個(gè)致命的弱點(diǎn)它以明文的方式傳輸用戶名及口令，所以，很容易

5、被別有用心的人竊取口令，受到攻擊，但采用SSH進(jìn)展通訊時(shí)，用戶名及口令均進(jìn)展了加密，有效防止了對(duì)口令的竊聽，便于網(wǎng)管人員進(jìn)展遠(yuǎn)程的平安網(wǎng)絡(luò)管理。Syslog和Watchdog交換機(jī)的Syslog 日志功能可以將系統(tǒng)錯(cuò)誤、系統(tǒng)配置、狀態(tài)變化、狀態(tài)定期報(bào)告、系統(tǒng)退出等用戶設(shè)定的期望信息傳送給日志效勞器，網(wǎng)管人員根據(jù)這些信息掌握設(shè)備的運(yùn)行狀況，及早發(fā)現(xiàn)問題，及時(shí)進(jìn)展配置設(shè)定和排障，保障網(wǎng)絡(luò)平安穩(wěn)定地運(yùn)行。Watchdog 通過設(shè)定一個(gè)計(jì)時(shí)器，假如設(shè)定的時(shí)間間隔內(nèi)計(jì)時(shí)器沒有重啟，那么生成一個(gè)內(nèi)在CPU重啟指令，使設(shè)備重新啟動(dòng)，這一功能可使交換機(jī)在緊急故障或意外情況下時(shí)可智能自動(dòng)重啟，保障網(wǎng)絡(luò)的運(yùn)行。雙映像文件一些最新的交換機(jī)， 像A S U SGigaX2024/2048還具備雙映像文件。這一功能保護(hù)設(shè)備在異常情況下固件晉級(jí)失敗等仍然可正常啟動(dòng)運(yùn)行。文件系統(tǒng)分majoy和 mirror兩