浅析交换机安全的六大保障

作者:课课家更新于： 2019-03-15 16:38:25

　　众所周知在企业公司构建计算机网络系统的时候设置交换机是必不可少的一环，但在设置交换机之前我们得首先了解交换机安全的六个保障。或许有人会问到底这六个保障到底是什么呢？为了解开大家的疑惑，在本文中课课家笔者就为大家介绍这六个保障供大家了解了解。

　◎流量控制（traffic control）

　　一般来说交换机的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机带宽的异常负荷，并且可提高系统的整体效能，保持网络安全稳定的运行。

　◎双映像文件

　　如今部分交换机具备双映像文件，我们可以通过利用这一功能能够达到保护设备在异常情况下（固件升级失败等）依旧可正常启动运行的目的。另外文件系统分majoy和mirror两部分进行保存，这样的好处在于：如果一个文件系统损害或中断，另外一个文件系统会将其重写；如果两个文件系统都损害，则设备会清除两个文件系统并重写为出厂时默认设置，从而确保系统安全启动运行。　　

　◎L2-L4 层过滤 

　　众所周知如今的新型交换机大都可以通过建立规则的方式来实现各种过滤需求，而通常规则设置有以下两种模式：

　　● MAC模式。可根据用户需要依据源MAC或目的MAC有效实现数据的隔离。

　　● ip模式。可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包；建立好的规则必须附加到相应的接收或传送端口上，则当交换机此端口接收或转发数据时，根据过滤规则来过滤封包，决定是转发还是丢弃。另外交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算，实现过滤规则确定，完全不影响数据转发速率。

　　◎802.1X基于端口的访问控制

　　● 通常为了阻止非法用户对局域网的接入和保障网络的安全性，基于端口的访问控制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。比如GigaX2024/2048等交换机产品不仅仅支持802.1X的Local、RADIUS验证方式，而且支持802.1X的DynamicVLAN的接入，也就是在VLAN和802.1X的基础上，持有某用户账号的用户无论在网络内的何处接入，都会超越原有802.1Q下基于端口VLAN的限制，始终接入与此账号指定的VLAN组内。这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利，同时又保障了网络资源应用的安全性。

　　● 另外GigaX2024/2048交换机还支持802.1X的GuestVLAN功能，也就是在802.1X的应用中，假如端口指定了GuestVLAN项，此端口下的接入用户假如认证失败或根本无用户账号的话，会成为GuestVLAN组的成员，可以享用此组内的相应网络资源，这一种功能同样可为网络应用的某一些群体开放最低限度的资源，并为整个网络提供了一个最外围的接入安全。

　　◎SNMP v3和ssh

　　● SNMP v3建议的安全模型是基于用户的安全模型，也就是USM.USM对网管消息进行加密和认证是基于用户进行的，换句话说就是要使用什么协议和密钥来进行加密和认证都是由用户名称（userNmae）权威引擎标识符（EngineID）来决定的。其原理是通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务，从而有效防止非授权用户对治理信息的修改、伪装和窃听。

　　● 另外对于通过Telnet的远程网络治理，由于Telnet服务是以明文的方式传输用户名及口令，所以很轻易被别有专心的人窃取口令从而受到攻击，但采用SSH进行通讯时由于用户名及口令均进行了加密，所以有效防止了对口令的窃听，达到便于网管人员进行远程的安全网络治理的目的。

　　◎Syslog和Watchdog

　　● 我们知道交换机的Syslog日志功能可以将系统错误、系统配置、状态变化、状态定期报告、系统退出等用户设定的期望信息传送给日志服务器，网管人员根据这些信息把握设备的运行状况来及早发现问题并及时进行配置设定和排障，从而保障网络安全稳定地运行。

　　● Watchdog通过设定一个计时器，假如设定的时间间隔内计时器没有重启则生成一个内在CPU重启指令，从而使设备重新启动。这一功能可使交换机在紧急故障或意外情况下时可智能自动重启来保障网络的运行。

　　以上就是安全设置交换机的原则的介绍，相信大家阅读完后都应该对此有一个比较全面的了解了吧。另外如果大家觉得笔者的文章中有不足的地方时笔者欢迎大家对本文章中出现的讲解提出自己的个人建议，对出现错误的地方提出批评，笔者会诚心接纳大家的建议和批评，并根据大家提出的建议和批评作出相应的修改工作。最后笔者希望本篇文章对大家学习交换机能够起到一定的帮助作用！