守護企業(yè)網(wǎng)絡(luò )安全 掌握交換機設定秘籍

交換機文件系統分majoy和mirror兩部分進(jìn)行保存，如果一個(gè)文件系統損害或中斷，另外一個(gè)文件系統會(huì )將其重寫(xiě)，如果兩個(gè)文件系統都損害，則設備會(huì )清除兩個(gè)文件系統并重寫(xiě)為出廠(chǎng)時(shí)默認設置，確保系統安全啟動(dòng)運行。

秘籍六：限制流量控制

通過(guò)交換機的流量控制功能，可以把流經(jīng)端口的異常流量限制在一定的范圍內。

例如，思科交換機具有基于端口的流量控制功能，能夠實(shí)現風(fēng)暴控制、端口保護和端口安全。

風(fēng)暴控制能夠緩解單播、廣播或組播包導致的網(wǎng)絡(luò )變慢，通過(guò)對不同種類(lèi)流量設定一個(gè)閾值，交換機在端口流量達到設定值時(shí)啟動(dòng)流量控制功能甚至將端口宕掉。

端口保護類(lèi)似于端口隔離，設置了端口保護功能的端口之間不交換任何流量。

端口安全是對未經(jīng)許可的地址進(jìn)行端口級的訪(fǎng)問(wèn)限制?，F在華為交換機也提供流量控制和廣播風(fēng)暴抑制比等端口控制功能。

流量控制功能用于交換機與交換機之間在發(fā)生擁塞時(shí)通知對方暫時(shí)停止發(fā)送數據包，以避免報文丟失。廣播風(fēng)暴抑制可以限制廣播流量的大小，對超過(guò)設定值的廣播流量進(jìn)行丟棄處理。

不過(guò)，交換機的流量控制功能只能對經(jīng)過(guò)端口的各類(lèi)流量進(jìn)行簡(jiǎn)單的速率限制，將廣播、組播的異常流量限制在一定的范圍內，而無(wú)法區分哪些是正常流量，哪些是異常流量。同時(shí)，如何設定一個(gè)合適的閾值也比較困難。如果需要對報文做更進(jìn)一步的控制用戶(hù)可以采用ACL(訪(fǎng)問(wèn)控制列表 )。ACL利用IP地址、TCP/UDP端口等對進(jìn)出交換機的報文進(jìn)行過(guò)濾，根據預設條件，對報文做出允許轉發(fā)或阻塞的決定。思科和華為的交換機均支持IP ACL和MAC ACL，每種ACL分別支持標準格式和擴展格式。標準格式的ACL根據源地址和上層協(xié)議類(lèi)型進(jìn)行過(guò)濾，擴展格式的ACL根據源地址、目的地址以及上層協(xié)議類(lèi)型進(jìn)行過(guò)濾。

通過(guò)細分不同的網(wǎng)絡(luò )流量，企業(yè)用戶(hù)可以針對性地對異常流量分別進(jìn)行控制。如通過(guò)IP報文的協(xié)議字段控制單播類(lèi)異常流量，通過(guò)以太幀的協(xié)議字段控制廣播類(lèi)異常報文，通過(guò)IP目的地址段控制組播類(lèi)報文。除了這些控制手段之外，網(wǎng)絡(luò )管理員還需要經(jīng)常注意網(wǎng)絡(luò )異常流量，及時(shí)定位異常流量的源主機，并且排除故障。

交換機的流量控制可以預防因為廣播數據包、組播數據包及因目的地址錯誤的單播數據包數據流量過(guò)大造成交換機帶寬的異常負荷，并可提高系統的整體效能，保持網(wǎng)絡(luò )安全穩定的運行。

總結：掌握配置秘籍 輕松防護

交換機產(chǎn)品是企業(yè)數據傳輸的中轉樞紐，它的安全設置直接關(guān)系到企業(yè)網(wǎng)絡(luò )傳輸的穩定安全?，F在為了應對更加復雜的網(wǎng)絡(luò )環(huán)境，在安全設計上交換機產(chǎn)品也都配置有相當豐富的安全功能，因此我們只需充分利用這些網(wǎng)絡(luò )安全設置功能，進(jìn)行合理的組合搭配，就可為企業(yè)網(wǎng)絡(luò )搭建一層安全的防護屏障。雖然對于多數企網(wǎng)的高安全需求，企業(yè)仍需添加更為專(zhuān)業(yè)的網(wǎng)絡(luò )安全設備，但對于交換機的防護設置，既可輕松增加企業(yè)網(wǎng)絡(luò )的安全性，又可為一些中小企業(yè)或網(wǎng)吧業(yè)主在網(wǎng)絡(luò )設備投入上節約成本，何樂(lè )而不為呢，因此一起來(lái)了解掌握交換機配置秘籍，進(jìn)行輕松地防護吧。