小编在这里给大家带来宽带网络交换机的选择和使用(共含6篇),希望大家喜欢!同时,但愿您也能像本文投稿人“印痕”一样,积极向本站投稿分享好文章。
最近在为一家新开的网吧开通路由时,网吧的管理员跑来问我,网吧里的计算机互连选集线器(HUB)好还是选交换机好,CISCO的交换机是不是就是最好的了,人常说,只选对的不选贵的。但如何选择就是对的呢?常见的中小型网络有二三百台电脑,多者达到上千台。它们通过综合布线系统交换设备连在一起。并通过交换机或路由器连到宽带网络上。因而各种交换机的选择和使用对宽带网络系统的性能将具有极为重要的影响。我就工作中常见的一些交换机问题作些探讨与交流。
一、集线器和交换机的区别
1. 集线器(这里仅指非交换式单网段和多网段型)在OSI体系结构中属于OSI的第一层物理层设备,而交换机属于OSI的第二层数据链路层设备,现在常见的三层交换为在二层平台上提供VLAN和基于IP的路由和交换功能,而四层交换则为基于端口的应用。集线器只是对数据的传输起到同步、放大和整形的作用,对数据传输中的短帧、碎片等无法进行有效的处理,不能保证数据传输的完整性和正确性,类似于一个大的总线型局域网;而交换机不但可以对数据的传输做到同步、放大和整形,而且可以过滤短帧、碎片对封装数据包进行转发等。
2. 从工作方式来看,集线器是一种广播模式,也就是说集线器的某个端口工作的时候,其他所有端口都能够收听到信息,容易产生广播风暴,并且每一个时刻只有一个端口发送数据,另外安全性差,所有的网卡都能接收到所发数据,只是非目的地网卡丢弃了信包。当交换机工作的时候,只有发出请求的端口和目的端口之间相互响应而不影响其他端口,因此交换机就能够隔离冲突域和有效的抑制广播风暴的产生。
3. 从带宽来看,集线器不管有多少个端口,所有端口都是共享一条带宽,在同一时刻只能有二个端口传送数据,其他端口只能等待,同时集线器只能工作在半双工模式下;而对于交换机而言,每个端口都有一条独占的带宽,当二个端口工作时并不影响其他端口的工作,同时交换机不但可以工作在半双工模式下而且可以工作在全双工模式下。
4. 交换机工作于数据链路层以MAC地址进行寻址,有一定的额外寻址开销,在数据流量小时,时延可能相对数据传输时间而言较大;集线器工作于物理层为广播方式传输数据,流量小时性能下降不明显适合于共享总线型结构局域网。
二、二层交换与第三层交换以及路由器的区别
第二层交换技术工作于数据链路层。它按所接收到数据包的目的MAC地址在内部地址表中对应端口进行转发,将本数据包MAC地址与对应端口记录在内部地址表中,MAC地址不在表内的就进行广播等待回应。因而二层交换机对MAC地址具有学习功能,对于网络层或高层协议来说是透明的,数据交换靠专用处理数据包转发的ASIC(应用专用集成芯片组)实现速度很快。但它不能处理三层及三层以上的协议,不能处理不同IP子网间的数据交换。
第三层交换工作于OSI七层模型中的第三层,是利用三层协议中的IP包包头信息对后续数据流进行标记,进行帧头重组,将具有同一标记的数据流的报文交换到数据链路层,即提供一条目标地址与源地址之间的一条数据通道。因此,三层交换机不必拆包便可判断路由,从而将数据包直接转发,进行数据交换。从而可以实现不同子网IP包交换。另外三层路由模块不是简单的二层交换机与路由器的简单叠加,它是由三层路由模块叠加二层交换高速背板总线速率可达Gbit/s,其中大部分必需的需路由软件处理的数据转发为三层转发外,其余均为二层高速转发。
路由器工作于OSI第三层网络层,工作模式与二层相似。路由器主要决定最佳路由并转发数据包。路由器内有一个路由表,其中记录各种链路信息,供路由算法计算出到目的地的最佳路由。据此路由器再进行数据转发。如不能知道目的路由,则将包丢弃,并向源地址返回信息。路由器可相互学习路由信息或将自已的链路状态进行广播,使路由信息按一定方式进行更新,从而由算法计算最佳路由。因此路由器路径计算工作量很大。路由器一般端口数量有限,路由转发速度慢。在内网数据流量较大,又要求快速转发响应时,常建议使用三层交换机,而将网间路由工作交由路由器完成。
三、交换机分类和选择指标
从传输介质和传输速度上看,局域网交换机可以分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等多种,这些交换机分别适用于以太网、快速以太网、FDDI、ATM和令牌环网等环境。
按照最广泛的普通分类方法,局域网交换机可以分为桌面型交换机(Desktop Switch)、组型交换机(Workgroup Switch)和校园网交换机(Campus Switch)三类。
根据架构特点,人们还将局域网交换机分为机架式、带扩展槽固定配置式、不带扩展槽固定配置式3种产品。
选择宽带交换机时除根据以上介绍外还应参考以下几个主要指标:
1. 转发技术
转发技术是指交换机所采用的用于决定如何转发数据包的转发机制,
直通转发技术
交换机获取到数据包目的地址,就开始向目的端口发送数据包。通常,交换机在接收到数据包的前6个字节时,就已经知道目的地址,从而可以决定向哪个端口转发这个数据包。直通转发技术速率快、延时少和吞吐率高。但当网络中误码率较高时,交换机会转发所有的完整数据包和错误数据包,这将给整个交换网络带来许多错误通讯包。直通转发技术适用与网络链路质量好的网络环境。
存储转发技术
存储转发技术要求交换机在接收到全部数据包后再决定如何转发。这样一来,交换机可以在转发之前检查数据包完整性和正确性。它的优点是:没有残缺数据包转发,减少了潜在的不必要数据转发。它的缺点是:转发速率比直接转发技术慢。所以,存储转发技术比较适应于普通链路质量的网络环境。
2. 背板吞吐量及缓冲区大小
背板吞吐最也称背板带宽,单位是每秒通过的数据包个数(pps),表示交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。一台交换机的背板带宽越高,所能处理数据的能力就越强。最大理论值为线速,即指交换机可以全速处理各种大小的数据包转发缓冲区大小,又叫做包缓冲区大小,是一种数据队列机制,由交换机用来进行不同网络设备之间的速度匹配。速率高的设备所发送的数据可以存储在缓冲区内,直到被慢速设备处理为止。缓冲区大小由缓冲调度算法算出,过大的缓冲空间需要相对多的寻址时间,缓冲空间过小会在发生拥塞时引起丢包出错。
3.延时
交换机延时是指从交换机接收到数据包到开始向目的端口复制数据包之间的时间间隔。有许多因素会影响延时大小,比如转发技术、缓冲区大小等等。采用直通转发技术的交换机有固定的延时。采用存储转发技术的交换机由于必须要接收完了完整的数据包才开始转发数据包,所以它的延时与数据包大小有关。延时对三网合一中的实时和非实时的视频、语音信息影响较为严重,会引起画面与语音不同步等现象。
4. 管理功能
为方便网管员管理,及用户控制访问交换机,通常交换机应支持SNMP MIB I / MIB II统计管理功能以满足常用网管管理软件如OPENVIEW、SUN Solstice Domain Manager或IBM网络管理(NetView)远程管理交换机。复杂一些的交换机还会增加通过内置RMON组(mini-RMON)来支持RMON主动监视功能。或提供通过WEB页面、命令行方式(CLI)对设备进行远程的监控,以最终实现故障管理、性能管理、配置管理、安全管理等常用管理功能。
5. MAC地址表大小及MAC地址类型
连接到局域网上的每个端口或设备都需要一个MAC地址,其他设备要用到此地址来定位特定的端口及更新路由表和数据结构。MAC地址表大小能反映出该设备所支持的节点数能力。单MAC地址类型交换机连接最终用户或非桥接设备,不能接集线器等多网络设备网段。多MAC地址交换机则可以在每端口存多个MAC地址具有较强的多节点支持能力。
6.扩展树
为保障网络的安全性常对关键数据链路提供冗余备份链路,由于交换机实际上是多端口的透明桥接设备,从而引发“拓扑环”问题。交换机通过采用扩展树协议算法让网络中的每一个桥接设备相互知道,自动防止拓扑环现象。交换机并将检测到的“拓扑环”中的某个端口断开,以达到消除“拓扑环”的目的,维持网络中的拓扑树的完整性。
7. 全双工
全双工端口可以同时发送和接收数据,但这要求交换机和所连接的设备都支持全双工工作方式。具有全双工功能的交换机可实现高吞吐量(两倍于单工模式端口吞吐量)、避免碰撞、突破CSMA/CD链路长度限制,通信链路的长度限制只与物理介质有关。 另外,交换机端口最好能实现全/半双工自动转换。
8. 高速端口集成
交换机可以提供高带宽“管道”(固定端口、可选模块或多链路隧道)满足交换机的交换流量与上级主干的交换需求。防止出现主干通信瓶颈。如FDDI、ATM、G比特光模块等。
9.最大VLAN数量
此参数反映了一台设备所能支持的最大VLAN数目,就目前交换机所能支持的最大VLAN数目(1024以上)来看,足以满足一般企业的需要。VLAN划分应遵从802.1Q标准。
10.扩充性配置
机架插槽数、扩展槽数、最大可堆叠数、10/100/1000M以太网端口数、最大ATM端口数、最大SONET端口数、最大FDDI端口数、最大电源数等多个硬件指标将直接反映交换机的扩充能力及与其它骨干网络设备的互联互通能力。
对不同的用户在选择中还有不同的要求如实施对数据流的访问控制(ACL)、服务质量保证(QoS)、带宽管理以及各种控制和服务策略、支持的包过滤、负载均衡及在三层交换机对各种路由协议的支持程度等等。
总之,用户在进行网络规划设计和选择交换机时应仔细考察交换机的各种功能,尤其随着交换技术的日新月异越来越多的交换机融合了其它网络设备的新功能,以其超群的性能价格比成为用户新的宠儿。特别在一些行业用户中对交换机的选择更需谨慎和周全。
本文仅结合工作实际和常见的工程案例中对交换机的选择作一简述,希望起到抛砖引玉的作用,为广大读者在设计网络、选择和使用宽带交换机中起到一定的帮助作用。
果你是那种每天都花很长时间呆在机房的IT专家,那么你肯定明白一个不顺手的KVM交换机,那么就算是很简单的工作,如重启系统、确认备份是否成功、下载和安装操作系统升级补丁,以及日常的排错工作,都将变得无比复杂,
当你在选购 KVM交换机时,你肯定希望它能够满足你的需求。如果你是个新手,或者企业预算有限,又或者因为时间太紧没有做好市场调研工作,没关系,下面的十点建议可以帮助你选到最适合的KVM交换机。
1 正确操作
在进行IT维护工作时,最令人郁闷的就是无法方便快捷的检查系统状态,或者需要不断的将标准键盘鼠标从一个服务器换到另一个服务器上,尤其是当系统出现紧急状况时(比如电邮服务器宕机,互联网连接出错,成百上千的用户受到直接影响时)。当你在面临这样充满压力的工作时,一沓别扭的KVM系统是千万要不得的。
选择合适的KVM要事先进行详细的调查。当你发现了一款自认为完美的KVM,一定要上专业论坛,或者Amazon, Newegg, 以及专业网站看看其它用户对这款产品的评价。如果评论偏向正面,你就可以进一步考虑采购问题,而如果用户的使用反馈偏向负面,你还是再考虑考虑吧。
2 兼容性
KVM通常能与多种操作系统协同工作,但是偶尔也会出现小毛病。你可以在产品规格表上看到KVM所支持的操作系统,确保你的网络环境中使用的操作系统都能够被KVM支持。如果没有考虑到兼容性问题,你可能会在产品使用一段时间后将其打包,退回给厂家。
3 接口
我曾经见过经验丰富的工程师购买新KVM时选择了只支持DVI视频连接或只有PS/2接口的设备,结果发现网络环境中的服务器都只能使用VGA视频接口或USB外设接口。另外,有些工程师以为自己购买的KVM能够支持KVM over IP,但实际上是不能的。
不要一时冲动购买 KVM交换机。首先要检查现有设备都采用了什么类型的接口,确保将要购买的KVM交换机能够支持这些接口。
4 端口扩展
有些不从长远考虑的网管为了支持八台服务器,而选择八口的KVM交换机。我建议大家购买的KVM交换机带有一定的扩展空间。要至少能够用来增加一个VoIP系统,一个新的数据库平台,HVAC或报警控制服务器,以及其它目前由于预算问题还没有购买的设备。经常能看到企业因为交换机端口不够用而额外在购买新交换机,因此,建议大家在购买KVM时,保证有20% 到25%的备用端口,
5 显示屏
显示屏 (OSD)和菜单系统有时候容易被我们忽视。它可以提供直观的连接状态,让管理员在配置和切换设备时更加简单。如果你习惯在工作中使用 GUI界面作为辅助,那么一定要选择一个支持OSD的KVM.如果需要频繁的在多个设备间切换,也应该选择带有OSD的设备,它会让你的工作更有效率。
6 知否支持机架
很多企业采用的是台式KVM,当迁移到机房,进入服务器机架环境时,这些设备就显得不那么合适了。根据公司发展的速度,如果目前还没有服务器机房甚至连机架都还没有,在选择KVM时,可以适当考虑能够在未来转换进机架的KVM设备结构,或者直接选择标准的机架单元。当然,如果你确定自己的所选择的台式KVM在未来也能继续工作在服务器机房或机架环境,那么也是可以的。
7 电气指标
根据我的经验,与那些通过相连设备获取电源的KVM交换机相比,自身带有电源的KVM交换机工作的会更稳定一些。有一些价格昂贵的KVM交换机带有可选的电源设备,但是不花钱人家是不会给你的。因此在选择KVM时,要看清包装中是否带有电源,或者是可增配电源。如果包装中不带电源,你可以在搞清楚KVM设备的电气规格后去电气设备店买一个对应的独立电源。
8 足够的电缆长度
我曾经不止一次看到过六英尺长的KVM线缆不够用的情况。因此,在准备购买KVM设备前,你一定要测量一下所需的线缆长度。要确保电缆或各个独立设备间的线缆具有足够的长度,满足你的网络环境需求。这看上去好像没什么,但KVM线缆价格昂贵,一旦使用后发现不够长,想去退还一个长一点的并补上差价都是不太可能的了,所以一定要注意。
9 Reset 按钮
有时候 KVM的内存会出现崩溃。由于KVM通常不仅采用独立电源,而且同时也接受其所连接的服务器供给的电源,因此很难让一个内存崩溃的KVM彻底断电。估计没有人愿意为了给KVM断电重启而在机架间穿梭,拔掉四个,八个,十六个甚至更多的服务器连接线。因此你所选择的KVM最好带有重启按钮。
10 音频支持
虽然不是很常见,但是有些服务器环境需要KVM控制系统能够支持音频。当然,并不是所有的KVM交换机都支持音频。因此在选购时应该查看设备功能表,确认设备能够支持音频。否则你就有可能陷入鼓噪的系统喇叭所发出的噪音中。
家庭宽带使用小常识
无线路由器排障指南
手机电脑不能上网了:
第一步:确认宽带费用未到期;
第二步:查看是电脑终端无法上网还是手机不能上网。如果电脑终端能上网而手机不能上网,证明宽带线路无误,有可能是无线路由器或手机故障;
第三步:如果电脑终端和手机均无法上网,请查看光猫上的`灯光显示。三个灯常亮,那么就把光猫和机顶盒全部关闭,5到10分钟后重新启动,关掉无线路由器、光猫的电源,等待十秒钟后,然后重新打开。
第四步:如果亮红灯,请您联系智慧家庭工程师处理。
日常使用建议
1、购买主流无线路由器,最好为双频无线路由器。
2、定期(3—5天)重启光猫和无线路由器。
3、无线路由器密码不要轻易告诉其他人,且不要随意改密码,避免带来新装故障。
4、光猫和路由器与微波炉、冰箱等电器保持距离,避免高温环境。
机顶盒排障指南
电视不能观看了:
电视不能看了,不要着急,先看看自己家里的设备正不正常:
第一步:确认宽带费用未到期;
第二步:检查宽带,查看有线连接电脑等是否可以上网。如果有线宽带可以正常上网,则证明宽带线路无误。
第三步:电视机信号输入需设置为“HDMI”,否则电视机则无信号输入也无法观看。
第四步:检查光猫和路由器:绿灯亮起,系统属正常工作。
第五步:重新开关光猫、路由器和机顶盒,让设备重新连接网络并自动登陆。
第六步:如果以上步骤均无效,请您联系智慧家庭工程师处理。
日常使用建议
1、卡顿原因:①直播源出现波动,引发卡顿;②机顶盒待机时间长,终端CPU会自动降频防止终端过热,但同时会造成卡顿;③路由器性能差;④机顶盒为无线接入
2、如果使用无线方式接入,无线路由器与电视之间距离不要太远,不要隔墙。建议家中改路由器无线连接为网线直接连接,机顶盒与电视之间应采用有线连接方式。
3、观看完毕后关闭机顶盒电源。
4、如果机顶盒频繁出现卡顿,请停止共享网络的电脑、手机下载等占用较多带宽的行为。
南京林业大学于9月1日通过独立的千兆光纤接入第二代中国教育和科学研究计算器网CNGI-CERNET2华东地区核心节点,正式成为CERNET2接入会员单位,目前,南京林业大学通过D-Link switch以纯IPv6和IPv6/IPv4 dual stack方式,结合IPv6 manual Tunnel、IPv6 ISATAP Tunnel, IPv6 static route等技术及各种应用服务成功接入CERNET2。
CERNET2是中国下一代互联网示范工程CNGI最大的核心网和唯一的全国性学术网,是目前所知世界上规模最大的采用纯IPv6技术的下一代互联网骨干。CNGI-CERNET2骨干是研究下一代互联网技术、开发重大应用、推动产业发展的关键性基础设施, 是一个技术先进、性能优良、运行稳定的新一代互联网络,它与原有的IPv4网相比,网络带宽有大幅的提升。
由于IPv6地址空间巨大,在地址管控上,会给管理员带来一定程度的负担。在接入层,采用D-Link 特有的IPv6的IP-MAC-Port binding,让交换机判断接入用户的IPv6地址的合法性,用户可正常接入网络,访问网络资源,如不合法,该客户端的接入被交换机阻断,保障了IPv6客户端接入的合法性,避免由于用户私自修改IPv6地址的非法接入,有效的防止非法接入造成的隐患,
也由于IPv6地址分配上采用自动配置方式,该方式不要求DHCPv6服务器的支持,简化网络结构,便于管理,提升链路利用率的同时,降低了维护成本。
学校中尚有部分交换机不支持IPv6协议,在不影响原有数据通信的基础上,增加D-Link具有IPv6 Tunnel、ISATAP Tunnel等功能的交换机,可以方便的使IPv6数据跨越不支持设备,在无需改动网络原有拓扑的基础上,实现IPv6数据通信。在D-link IPv6/IPv4 dual stack设备上,IPv6数据通信直接启用IPv6路由,双协议栈能将IPv4与IPv6独立开来,实现了IPv4与IPv6间线路的相互冗余,当IPv4网络出问题时,节点间可直接使用IPv6通信,或当IPv6出问题时,使用IPv4网络。在IPv4向IPv6过渡期间,此举可保障数据通信的可靠性。
D-Link目前通过IPv6 ready logo phase II enhancement的交换机有:
1.DES-3200 Series
2.DES-3528/52 Series
3.DGS-3200 Series
4.DGS-3400 Series
5.DGS-3600 Series
6.DES-7200 Series
作者:燕子 随着网络应用的普及及不断深化,用户对于二层交换机的 需求 不仅仅局限于数据转发 性能 、服务 质量 (QoS)等各方面, 网络安全 理念正日益成为组网产品选型的重要参考内容, 如何过滤用户通讯,保障安全有效的数据转发?如何阻挡非法用户,保障网
作者:燕子
随着网络应用的普及及不断深化,用户对于二层交换机的需求不仅仅局限于数据转发性能、服务质量(QoS)等各方面,网络安全理念正日益成为组网产品选型的重要参考内容。
如何过滤用户通讯,保障安全有效的数据转发?如何阻挡非法用户,保障网络安全应用?如何进行安全网管,及时发现网络非法用户、非法行为及远程网管信息的安全性呢?这里我们总结了6条近期交换机市场上一些流行的安全设置功能,希望对大家有所帮助。
安全秘诀之一:L2-L4层过滤
现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则设置有两种模式,一种是MAC模式,可根据用户需要依据源MAC或目的MAC有效实现数据的隔离,另一种是IP模式,可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包;建立好的规则必须附加到相应的接收或传送端口上,则当交换机此端口接收或转发数据时,根据过滤规则来过滤封包,决定是转发还是丢弃。另外,交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则确定,完全不影响数据转发速率。
安全秘诀之二:802.1X基于端口的访问控制
为了阻止非法用户对局域网的接入,保障网络的安全性,基于端口的访问控制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。例如华硕最新的GigaX2024/2048等新一代交换机产品不仅仅支持802.1X的Local、RADIUS验证方式,而且支持802.1X的Dynamic VLAN 的接入,即在VLAN和802.1X 的基础上,持有某用户账号的用户无论在网络内的何处接入,都会超越原有802.1Q 下基于端口VLAN 的限制,始终接入与此账号指定的VLAN组内,这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利,同时又保障了网络资源应用的安全性;另外, GigaX2024/2048 交换机还支持802.1X的Guest VLAN功能,即在802.1X的应用中,如果端口指定了Guest VLAN项,此端口下的接入用户如果认证失败或根本无用户账号的话,会成为Guest VLAN 组的成员,可以享用此组内的相应网络资源,这一种功能同样可为网络应用的某一些群体开放最低限度的资源,并为整个网络提供了一个最外围的接入安全。
安全秘诀之三:流量控制(trafficlearcase/“ target=”_blank" >ccontrol)
交换机的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机带宽的异常负荷,并可提高系统的整体效能,保持网络安全稳定的运行,
安全秘诀之四:SNMPv3及SSH安全网管SNMP v3 提出全新的体系结构,将各版本的SNMP 标准集中到一起,进而加强网管安全性。SNMP v3 建议的安全模型是基于用户的安全模型,即USM。USM对网管消息进行加密和认证是基于用户进行的,具体地说就是用什么协议和密钥进行加密和认证均由用户名称(userNmae)权威引擎标识符(EngineID)来决定(推荐加密协议CBCDES,认证协议HMAC-MD5-96 和HMAC-SHA-96),通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务,从而有效防止非授权用户对管理信息的修改、伪装和 。
至于通过Telnet的远程网络管理,由于Telnet服务有一个致命的弱点――它以明文的方式传输用户名及口令,所以,很容易被别有用心的人窃取口令,受到攻击,但采用SSH进行通讯时,用户名及口令均进行了加密,有效防止了对口令的 ,便于网管人员进行远程的安全网络管理。
安全秘诀之五:Syslog和Watchdog
交换机的Syslog日志功能可以将系统错误、系统配置、状态变化、状态定期报告、系统退出等用户设定的期望信息传送给日志服务器,网管人员依据这些信息掌握设备的运行状况,及早发现问题,及时进行配置设定和排障,保障网络安全稳定地运行。
Watchdog通过设定一个计时器,如果设定的时间间隔内计时器没有重启,则生成一个内在CPU重启指令,使设备重新启动,这一功能可使交换机在紧急故障或意外情况下时可智能自动重启,保障网络的运行。
安全秘诀之六:双映像文件
一些最新的交换机,像ASU SGigaX2024/2048还具备双映像文件。这一功能保护设备在异常情况下(固件升级失败等)仍然可正常启动运行。文件系统分majoy和 mirror两部分进行保存,如果一个文件系统损害或中断,另外一个文件系统会将其重写,如果两个文件系统都损害,则设备会清除两个文件系统并重写为出厂时默认设置,确保系统安全启动运行。
其实,近期出现的一些交换机产品在安全设计上大都下足了功夫――层层设防、节节过滤,想尽一切办法将可能存在的不安全因素最大程度地排除在外。广大企业用户如果能够充分利用这些网络安全设置功能,进行合理的组合搭配,则可以最大限度地防范网络上日益泛滥的各种攻击和侵害,愿您的企业网络自此也能更加稳固安全。
原文转自:www.ltesting.net
交换机在企业网中占有重要的地位,通常是整个网络的核心所在,在这个 入侵风起云涌、病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起网络安全的一部分责任。因此,交换机要有专业安全产品的性能,安全已经成为网络建设必须考虑的重中之中。安全交换机由此应运而生,在交换机中集成安全认证、ACL(Access Control List,访问控制列表)、防火墙、入侵检测甚至防毒的功能,网络的安全真的需要“武装到牙齿”。
安全交换机三层含义
交换机最重要的作用就是转发数据,在 攻击和病毒侵扰下,交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这就是交换机所需要的最基本的安全功能。同时,交换机作为整个网络的核心,应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是,交换机还应该配合其他网络安全设备,对非授权访问和网络攻击进行监控和阻止。
安全交换机的新功能
802.1x加强安全认证
在传统的局域网环境中,只要有物理的连接端口,未经授权的网络设备就可以接入局域网,或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给一些企业造成了潜在的安全威胁。另外,在学校以及智能小区的网络中,由于涉及到网络的计费,所以验证用户接入的合法性也显得非常重要。IEEE 802.1x 正是解决这个问题的良药,目前已经被集成到二层智能交换机中,完成对用户的接入安全审核。
802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。
802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性,实现了LAN端口上的设备认证。在认证过程中,LAN端口要么充当认证者,要么扮演请求者。在作为认证者时,LAN端口在需要用户通过该端口接入相应的服务之前,首先进行认证,如若认证失败则不允许接入;在作为请求者时,LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃,从而确保最大限度的安全性。
在802.1x协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。
1. 客户端。一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
2. 认证系统。在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
3. 认证服务器。通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
流量控制
安全交换机的流量控制技术把流经端口的异常流量限制在一定的范围内,避免交换机的带宽被无限制滥用。安全交换机的流量控制功能能够实现对异常流量的控制,避免网络堵塞。
防DDoS
企业网一旦遭到大规模分布式拒绝服务攻击,会影响大量用户的正常网络使用,严重的甚至造成网络瘫痪,成为服务提供商最为头疼的攻击。安全交换机采用专门的技术来防范DDoS攻击,它可以在不影响正常业务的情况下,智能地检测和阻止恶意流量,从而防止网络受到DDoS攻击的威胁。
虚拟局域网VLAN
虚拟局域网是安全交换机必不可少的功能。VLAN可以在二层或者三层交换机上实现有限的广播域,它可以把网络分成一个一个独立的区域,可以控制这些区域是否可以通讯。VLAN可能跨越一个或多个交换机,与它们的物理位置无关,设备之间好像在同一个网络间通信一样,
VLAN可在各种形式上形成,如端口、MAC地址、IP地址等。VLAN限制了各个不同VLAN之间的非授权访问,而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问。
基于访问控制列表的防火墙功能
安全交换机采用了访问控制列表ACL来实现包过滤防火墙的安全功能,增强安全防范能力。访问控制列表以前只在核心路由器才获使用。在安全交换机中,访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或MAC地址来实现。
ACL不但可以让网络管理者用来制定网络策略,针对个别用户或特定的数据流进行允许或者拒绝的控制,也可以用来加强网络的安全屏蔽,让 找不到网络中的特定主机进行探测,从而无法发动攻击。
入侵检测IDS
安全交换机的IDS功能可以根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的操作,并将这些对安全事件反应的动作发送到交换机上,由交换机来实现精确的端口断开操作。实现这种联动,需要交换机能够支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能
设备冗余也重要
物理上的安全也就是冗余能力是网络安全运行的保证。任何厂商都不能保证其产品不发生故障,而发生故障时能否迅速切换到一个好设备上,是令人关心的问题。后备电源、后备管理模块、冗余端口等冗余设备就能保证即使在设备出现故障的情况下,立刻赋予后备的模块、安全保障网络的运行。
安全交换机的布署
安全交换机的出现,使得网络在交换机这个层次上的安全能力大大增强。安全交换机可以配备在网络的核心,如同思科Catalyst 6500这个模块化的核心交换机那样,把安全功能放在核心来实现。这样做的好处是可以在核心交换机上统一配置安全策略,做到集中控制,而且方便网络管理人员的监控和调整。而且核心交换机都具备强大的能力,安全性能是一项颇费处理能力的工作,核心交换机做起这个事情来能做到物尽其能。
把安全交换机放在网络的接入层或者汇聚层,是另外一个选择。这样配备安全交换机的方式就是核心把权力下放到边缘,在各个边缘就开始实施安全交换机的性能,把入侵和攻击以及可疑流量堵在边缘之外,确保全网的安全。这样就需要在边缘配备安全交换机,很多厂家已经推出了各种边缘或者汇聚层使用的安全交换机。它们就像一个个的堡垒一样,在核心周围建立起一道坚固的安全防线。
安全交换机有时候还不能孤军奋战,如PPPoE认证功能就需要Radius服务器的支持,另外其他的一些交换机能够和入侵检测设备做联动的,就需要其他网络设备或者服务器的支持。
安全交换机的升级
目前市场上出了很多新的安全交换机,它们是一出厂就天生具备了一些安全的功能。那么一些老交换机如何能够得到安全上的保障呢。一般来说,对于模块化的交换机,这个问题很好解决。普遍的解决方式是在老的模块化交换机上插入新的安全模块,如思科Catalyst 6500就带有防火墙模块、入侵检测IDS模块等等安全模块;神州数码的6610交换机配备了PPPoE的认证模块,直接插入老交换机就能让这些“老革命”解决新问题。
如果以前购置的交换机是固定式的交换机,一些有能力的型号就需要通过升级固件firmware的形式来植入新的安全功能。
安全交换机的前景
随着用户对网络环境的需求越来越高,对具备安全功能的交换机的需求也越来越大。很多用户认为,花一定的投资在交换机的安全上,对整个网络健壮性和安全性的提高是值得的。特别是一些行业用户,他们对网络的需求绝非连通即可。如银行、证券以及大型企业,网络病毒爆发一次或者入侵带来的损失,足以超过在安全交换机上的额外投资。安全交换机已经成为交换机市场上的一个新亮点。
