守護企業(yè)網(wǎng)絡(luò )安全 掌握交換機設定秘籍
交換機文件系統分majoy和mirror兩部分進(jìn)行保存,如果一個(gè)文件系統損害或中斷,另外一個(gè)文件系統會(huì )將其重寫(xiě),如果兩個(gè)文件系統都損害,則設備會(huì )清除兩個(gè)文件系統并重寫(xiě)為出廠(chǎng)時(shí)默認設置,確保系統安全啟動(dòng)運行。
秘籍六:限制流量控制
通過(guò)交換機的流量控制功能,可以把流經(jīng)端口的異常流量限制在一定的范圍內。
例如,思科交換機具有基于端口的流量控制功能,能夠實(shí)現風(fēng)暴控制、端口保護和端口安全。
風(fēng)暴控制能夠緩解單播、廣播或組播包導致的網(wǎng)絡(luò )變慢,通過(guò)對不同種類(lèi)流量設定一個(gè)閾值,交換機在端口流量達到設定值時(shí)啟動(dòng)流量控制功能甚至將端口宕掉。
端口保護類(lèi)似于端口隔離,設置了端口保護功能的端口之間不交換任何流量。
端口安全是對未經(jīng)許可的地址進(jìn)行端口級的訪(fǎng)問(wèn)限制?,F在華為交換機也提供流量控制和廣播風(fēng)暴抑制比等端口控制功能。
流量控制功能用于交換機與交換機之間在發(fā)生擁塞時(shí)通知對方暫時(shí)停止發(fā)送數據包,以避免報文丟失。廣播風(fēng)暴抑制可以限制廣播流量的大小,對超過(guò)設定值的廣播流量進(jìn)行丟棄處理。
不過(guò),交換機的流量控制功能只能對經(jīng)過(guò)端口的各類(lèi)流量進(jìn)行簡(jiǎn)單的速率限制,將廣播、組播的異常流量限制在一定的范圍內,而無(wú)法區分哪些是正常流量,哪些是異常流量。同時(shí),如何設定一個(gè)合適的閾值也比較困難。如果需要對報文做更進(jìn)一步的控制用戶(hù)可以采用ACL(訪(fǎng)問(wèn)控制列表 )。ACL利用IP地址、TCP/UDP端口等對進(jìn)出交換機的報文進(jìn)行過(guò)濾,根據預設條件,對報文做出允許轉發(fā)或阻塞的決定。思科和華為的交換機均支持IP ACL和MAC ACL,每種ACL分別支持標準格式和擴展格式。標準格式的ACL根據源地址和上層協(xié)議類(lèi)型進(jìn)行過(guò)濾,擴展格式的ACL根據源地址、目的地址以及上層協(xié)議類(lèi)型進(jìn)行過(guò)濾。
通過(guò)細分不同的網(wǎng)絡(luò )流量,企業(yè)用戶(hù)可以針對性地對異常流量分別進(jìn)行控制。如通過(guò)IP報文的協(xié)議字段控制單播類(lèi)異常流量,通過(guò)以太幀的協(xié)議字段控制廣播類(lèi)異常報文,通過(guò)IP目的地址段控制組播類(lèi)報文。除了這些控制手段之外,網(wǎng)絡(luò )管理員還需要經(jīng)常注意網(wǎng)絡(luò )異常流量,及時(shí)定位異常流量的源主機,并且排除故障。
交換機的流量控制可以預防因為廣播數據包、組播數據包及因目的地址錯誤的單播數據包數據流量過(guò)大造成交換機帶寬的異常負荷,并可提高系統的整體效能,保持網(wǎng)絡(luò )安全穩定的運行。
交換機產(chǎn)品是企業(yè)數據傳輸的中轉樞紐,它的安全設置直接關(guān)系到企業(yè)網(wǎng)絡(luò )傳輸的穩定安全?,F在為了應對更加復雜的網(wǎng)絡(luò )環(huán)境,在安全設計上交換機產(chǎn)品也都配置有相當豐富的安全功能,因此我們只需充分利用這些網(wǎng)絡(luò )安全設置功能,進(jìn)行合理的組合搭配,就可為企業(yè)網(wǎng)絡(luò )搭建一層安全的防護屏障。雖然對于多數企網(wǎng)的高安全需求,企業(yè)仍需添加更為專(zhuān)業(yè)的網(wǎng)絡(luò )安全設備,但對于交換機的防護設置,既可輕松增加企業(yè)網(wǎng)絡(luò )的安全性,又可為一些中小企業(yè)或網(wǎng)吧業(yè)主在網(wǎng)絡(luò )設備投入上節約成本,何樂(lè )而不為呢,因此一起來(lái)了解掌握交換機配置秘籍,進(jìn)行輕松地防護吧。
交換機相關(guān)文章:交換機工作原理
評論