交换机安全:交换机使用的六条基本法则网络知识
“聪明猪”通过精心收集,向本站投稿了3篇交换机安全:交换机使用的六条基本法则网络知识,下面是小编为大家整理后的交换机安全:交换机使用的六条基本法则网络知识,仅供大家参考借鉴,希望大家喜欢!
篇1:交换机安全:交换机使用的六条基本法则网络知识
下一页 1 2 随着网络应用的普及及不断深化,用户对于二层交换机的 需求 不仅仅局限于数据转发 性能 、服务 质量 (QoS)等各方面, 网络安全 理念正日益成为组网产品选型的重要参考内容, 如何过滤用户通讯,保障安全有效的数据转发?如何阻挡非法用户,保障网
下一页 1 2
随着网络应用的普及及不断深化,用户对于二层交换机的需求不仅仅局限于数据转发性能、服务质量(QoS)等各方面,网络安全理念正日益成为组网产品选型的重要参考内容。
如何过滤用户通讯,保障安全有效的数据转发?如何阻挡非法用户,保障网络安全应用?如何进行安全网管,及时发现网络非法用户、非法行为及远程网管信息的安全性呢?这里我们总结了6 条近期交换机市场上一些流行的安全设置功能,希望对大家有所帮助。
安全秘诀之一:L2-L4 层过滤
现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则设置有两种模式,一种是MAC模式,可根据用户需要依据源MAC或目的 MAC有效实现数据的隔离,另一种是IP模式,可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包;建立好的规则必须附加到相应的接收或传送端口上,则当交换机此端口接收或转发数据时,根据过滤规则来过滤封包,决定是转发还是丢弃,
另外,交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则确定,完全不影响数据转发速率。
安全秘诀之二:802.1X 基于端口的访问控制
为了阻止非法用户对局域网的接入,保障网络的安全性,基于端口的访问控制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。例如华硕最新的GigaX2024/2048等新一代交换机产品不仅仅支持802.1X 的Local、RADIUS 验证方式,而且支持802.1X 的Dynamic VLAN 的接入,即在VLAN和802.1X 的基础上,持有某用户账号的用户无论在网络内的何处接入,都会超越原有802.1Q 下基于端口VLAN 的限制,始终接入与此账号指定的VLAN组内,这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利,同时又保障了网络资源应用的安全性;另外, GigaX2024/2048 交换机还支持802.1X的Guest VLAN功能,即在802.1X的应用中,如果端口指定了Guest VLAN项,此端口下的接入用户如果认证失败或根本无用户账号的话,会成为Guest VLAN 组的成员,可以享用此组内的相应网络资源,这一种功能同样可为网络应用的某一些群体开放最低限度的资源,并为整个网络提供了一个最外围的接入安全。
原文转自:www.ltesting.net
篇2:交换机使用的六条基本法则网络知识
作者:燕子 随着网络应用的普及及不断深化,用户对于二层交换机的 需求 不仅仅局限于数据转发 性能 、服务 质量 (QoS)等各方面, 网络安全 理念正日益成为组网产品选型的重要参考内容, 如何过滤用户通讯,保障安全有效的数据转发?如何阻挡非法用户,保障网
作者:燕子
随着网络应用的普及及不断深化,用户对于二层交换机的需求不仅仅局限于数据转发性能、服务质量(QoS)等各方面,网络安全理念正日益成为组网产品选型的重要参考内容。
如何过滤用户通讯,保障安全有效的数据转发?如何阻挡非法用户,保障网络安全应用?如何进行安全网管,及时发现网络非法用户、非法行为及远程网管信息的安全性呢?这里我们总结了6条近期交换机市场上一些流行的安全设置功能,希望对大家有所帮助。
安全秘诀之一:L2-L4层过滤
现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则设置有两种模式,一种是MAC模式,可根据用户需要依据源MAC或目的MAC有效实现数据的隔离,另一种是IP模式,可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包;建立好的规则必须附加到相应的接收或传送端口上,则当交换机此端口接收或转发数据时,根据过滤规则来过滤封包,决定是转发还是丢弃。另外,交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则确定,完全不影响数据转发速率。
安全秘诀之二:802.1X基于端口的访问控制
为了阻止非法用户对局域网的接入,保障网络的安全性,基于端口的访问控制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。例如华硕最新的GigaX2024/2048等新一代交换机产品不仅仅支持802.1X的Local、RADIUS验证方式,而且支持802.1X的Dynamic VLAN 的接入,即在VLAN和802.1X 的基础上,持有某用户账号的用户无论在网络内的何处接入,都会超越原有802.1Q 下基于端口VLAN 的限制,始终接入与此账号指定的VLAN组内,这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利,同时又保障了网络资源应用的安全性;另外, GigaX2024/2048 交换机还支持802.1X的Guest VLAN功能,即在802.1X的应用中,如果端口指定了Guest VLAN项,此端口下的接入用户如果认证失败或根本无用户账号的话,会成为Guest VLAN 组的成员,可以享用此组内的相应网络资源,这一种功能同样可为网络应用的某一些群体开放最低限度的资源,并为整个网络提供了一个最外围的接入安全。
安全秘诀之三:流量控制(trafficlearcase/“ target=”_blank" >ccontrol)
交换机的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机带宽的异常负荷,并可提高系统的整体效能,保持网络安全稳定的运行,
安全秘诀之四:SNMPv3及SSH安全网管SNMP v3 提出全新的体系结构,将各版本的SNMP 标准集中到一起,进而加强网管安全性。SNMP v3 建议的安全模型是基于用户的安全模型,即USM。USM对网管消息进行加密和认证是基于用户进行的,具体地说就是用什么协议和密钥进行加密和认证均由用户名称(userNmae)权威引擎标识符(EngineID)来决定(推荐加密协议CBCDES,认证协议HMAC-MD5-96 和HMAC-SHA-96),通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务,从而有效防止非授权用户对管理信息的修改、伪装和 。
至于通过Telnet的远程网络管理,由于Telnet服务有一个致命的弱点――它以明文的方式传输用户名及口令,所以,很容易被别有用心的人窃取口令,受到攻击,但采用SSH进行通讯时,用户名及口令均进行了加密,有效防止了对口令的 ,便于网管人员进行远程的安全网络管理。
安全秘诀之五:Syslog和Watchdog
交换机的Syslog日志功能可以将系统错误、系统配置、状态变化、状态定期报告、系统退出等用户设定的期望信息传送给日志服务器,网管人员依据这些信息掌握设备的运行状况,及早发现问题,及时进行配置设定和排障,保障网络安全稳定地运行。
Watchdog通过设定一个计时器,如果设定的时间间隔内计时器没有重启,则生成一个内在CPU重启指令,使设备重新启动,这一功能可使交换机在紧急故障或意外情况下时可智能自动重启,保障网络的运行。
安全秘诀之六:双映像文件
一些最新的交换机,像ASU SGigaX2024/2048还具备双映像文件。这一功能保护设备在异常情况下(固件升级失败等)仍然可正常启动运行。文件系统分majoy和 mirror两部分进行保存,如果一个文件系统损害或中断,另外一个文件系统会将其重写,如果两个文件系统都损害,则设备会清除两个文件系统并重写为出厂时默认设置,确保系统安全启动运行。
其实,近期出现的一些交换机产品在安全设计上大都下足了功夫――层层设防、节节过滤,想尽一切办法将可能存在的不安全因素最大程度地排除在外。广大企业用户如果能够充分利用这些网络安全设置功能,进行合理的组合搭配,则可以最大限度地防范网络上日益泛滥的各种攻击和侵害,愿您的企业网络自此也能更加稳固安全。
原文转自:www.ltesting.net
篇3:智能交换机的五个基本采购原则网络知识
原则一: 对 网络 及设备的监控和管理 可管理是智能交换的基础,通常意义上的网络管理系统包括 性能 、配置、故障、计费和 安全 等5个功能域,这是最基本、也是最常用到的功能,随着用户网络规模的扩大、网络应用的增多,对网络运行状况的实时监控和维护就变
原则一:
对网络及设备的监控和管理
可管理是智能交换的基础,通常意义上的网络管理系统包括性能、配置、故障、计费和安全等5个功能域,这是最基本、也是最常用到的功能。随着用户网络规模的扩大、网络应用的增多,对网络运行状况的实时监控和维护就变得非常必要,需要网管系统与智能交换设备相互密切配合。
目前常见的网管系统有两类,一类是通用的网管平台,如HP OpenView,可以提供一个第三方的网管平台,支持对所有SNMP设备的发现和简单监控。但由于各厂商设备都具有大量自行开发的私有MIB(Management Information Base)库,通用网管平台无法对其进行识别和管理。因此,如果要实现对各种设备进行详尽监控、管理和配置时,必须进行二次开发。近年来,各厂商设备更新很快,而与第三方通用网管平台的配合则非常有限,使得通用网管平台难以细致地对多厂商的设备进行管理。
另一类是由网络设备厂商自行开发的网管平台,如Cisco WORKS、神州数码LinkManager等,可以对本厂商的设备进行深入细致的监控、配置和管理,实用性较强且价格也较便宜。但问题是,无法用这类网管系统实现对全网设备的统一管理,因此用户往往采用多台网管工作站分别安装不同的系统,进行分别管理。
随着用户对不同设备进行统一网管的需求日益迫切,各厂商也在考虑采用更加开放的方式实现设备对网管的支持,例如开放私有MIB库,乃至完全依照RFC来编写MIB库,以实现不同厂商间设备与网管系统的互操作性。
目前,在大中型企业网中,应用网管系统的比例较以前已大幅度提高。因此,用户在选择时不能满足于拓扑发现、流量监控、状态监控等通用的网管功能,还要对于设备远程配置、用户管理、访问控制乃至QoS监控等提出更高的要求。
另外,为节省IP地址,简化管理层次,不同的厂商采用堆叠或集群网管等技术,将多台设备作为一台逻辑上的设备进行统一管理。用户也可以关注这类产品。
原则二:
对不同应用类型数据的分类和处理
智能交换的另外一个重要体现是,对网络中不同类型的数据自动进行分类,并提供不同的传输策略,确保关键应用的顺畅运行,也就是通常所说的服务质量(QoS)。
目前常见的QoS技术有IntServ(RSVP)和DiffServ两种方式。
前者采用资源预留的方式,即针对每种不同的应用,都在网络上预留“端到端”的专用通道,确保关键应用独享固定的带宽资源。资源预留的方式属于虚拟专线的解决方案,能够确保关键应用的传输质量,却无法实现带宽的共享,易造成线路资源的浪费;另外,资源预留只适合于较为简单的网络拓扑,如路由器间点对点的专线连接,对于复杂而庞大的企业网而言,很难实施,更不要说城域网了。
因此,用户最好采用DiffServ的交换机,以实现“端到端”的QoS。需要指出的是,为实现DiffServ QoS,要求用户的网络上所有相关的交换机都支持802.1p优先级功能。
原则三:
对多媒体传输的支持
交换机对专用于多媒体传输的功能和协议的支持越来越多,其中最为典型的是组播技术。
组管理协议IGMP已经成为智能交换机必备的基本功能。而对于三层交换机,除了RIP、OSPF等单播路由协议外,也开始支持DVMRP、PIM SM/DM等组播路由协议。
在进行组播应用时(如视频会议等),各交换机均可通过IGMP协议在整个网络范围内传递分组信息,使各交换机确定每组的成员,而组播路由协议则可对组播数据包进行路由,使得组播包在网络上顺畅传输,
其中,DVMRP相当于单播时的RIP协议,适合于小规模的网络应用;而PIM则是与协议无关的组播路由协议,分为密集模式(DM)和稀疏模式(SM)两种。密集模式主要适用于网络带宽较大、用户分布较集中的场合,如公司的局域网; 而稀疏模式主要适用于网络带宽较小、用户分布较稀疏的场合,如广域网或Inte.net。
有的交换机还配置了语音网关模块,使得以太网交换机直接具备VoIP功能,但这样的应用还需要在客户端分别布网线和电话线;若采用客户端的VoIP网关,则可通过一条网线实现语音、数据的传输。这两种方案孰优孰劣,还要根据实际情况来判断。
原则四:
用户分类和访问控制
用户分类、权限设置和访问控制,也是智能网络的重要功能。由于企业管理的细化,对于不同的网络资源,要针对不同用户设置不同的访问权限。
访问权限的设置有工作组级和用户级两种方式。
基于VLAN和三层交换的访问控制就属于工作组级的访问控制。VLAN除了具备隔离广播、提高网络性能的作用之外,其重要的作用就在于将不同的工作组隔离开来,便于实现可控的相互访问。三层交换机可以实现跨VLAN的访问,而通过访问控制列表ACL,则可设置不同VLAN间乃至不同IP地址的设备对于不同网络服务的访问权限。
对于智能小区宽带接入应用,将每个用户都划分在单独的VLAN中,也能够实现用户级的认证和访问控制,但这种方式只适用于固定接入的用户,且无法实现计费。
目前在宽带接入网和企业网中,以往用于电信运营网络中的AAA技术(授权、认证、计费),如传统的RADIUS、PPPoE,以及新兴的802.1x等用户认证功能等,开始被集成到智能交换机中,与认证服务器配合,从而实现基于用户的认证和访问控制。
对于企业网来说,通常要实现在用户访问不同的网络服务资源时,进行认证、访问控制及服务认证,而不是针对用户接入端口进行接入认证。因此,常用的方式是以访问控制列表或RADIUS认证服务器,对相关应用服务资源设置不同的访问权限,并针对用户实现认证和授权。
对于宽带接入网来说,则需要通过用户认证实现对端口联通状态的控制,通常要采用“PPPoE+RADIUS”或“802.1x+RADIUS”的方式来实现接入认证。
PPPoE是一种较为成熟的认证方式,通过PPP协议封装以太网帧,在无连接的以太网上提供了点对点的连接。PPPoE类似传统的拨号接入方式,用户端采用一个拨号软件,发起PPP连接请求,穿过以太网交换机或者DSL设备,终结在集中控制管理层的接入网关设备上。接入网关设备负责终结PPP连接,并与RADIUS配合实现用户管理和策略控制。
802.1x起源于802.11协议的EAPOL,是最近出现的一种以太网认证技术。 802.1x是IEEE为了解决基于端口的接入控制而定义的一个标准。
802.1x认证方式主要通过认证前后打开/关闭用户接入端口来实现对用户接入的控制。基于端口的网络接入控制是在 LAN 设备的物理接入级对接入设备进行认证和控制。连接在物理端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。认证通过时,从远端认证服务器可以传递来自用户的信息,如VLAN、CAR参数、优先级、用户的访问控制列表等; 认证通过后,用户的流量就将接受上述参数的监管。
802.1x要求接入交换机支持EAPOL协议,至少支持该报文的透传,但现有通常的网络设备多数不支持。虽然越来越多的厂商开始提供支持802.1x的智能交换机产品,但由于该协议标准尚未成熟,各厂商实现的方式不尽相同,它的发展受到了一定程度的制约。
原则五:
防止网络攻击
为确保核心交换机不受类似拒绝服务(DoS)攻击而导致全网瘫痪,有的厂商在核心路由交换机中采用了防火墙和IDS系统中的防攻击技术,以确保核心交换机更加稳固和强壮。此举尤其可以抵御来自网络内部的攻击,提高系统的安全性。但是目前,该技术在边缘交换机中仍较少采用。
原文转自:www.ltesting.net
【交换机安全:交换机使用的六条基本法则网络知识】相关文章:
文档为doc格式
