守護(hù)企業(yè)網(wǎng)絡(luò)安全 掌握交換機(jī)設(shè)定秘籍
交換機(jī)文件系統(tǒng)分majoy和mirror兩部分進(jìn)行保存,如果一個(gè)文件系統(tǒng)損害或中斷,另外一個(gè)文件系統(tǒng)會(huì)將其重寫,如果兩個(gè)文件系統(tǒng)都損害,則設(shè)備會(huì)清除兩個(gè)文件系統(tǒng)并重寫為出廠時(shí)默認(rèn)設(shè)置,確保系統(tǒng)安全啟動(dòng)運(yùn)行。
秘籍六:限制流量控制
通過(guò)交換機(jī)的流量控制功能,可以把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。
例如,思科交換機(jī)具有基于端口的流量控制功能,能夠?qū)崿F(xiàn)風(fēng)暴控制、端口保護(hù)和端口安全。
風(fēng)暴控制能夠緩解單播、廣播或組播包導(dǎo)致的網(wǎng)絡(luò)變慢,通過(guò)對(duì)不同種類流量設(shè)定一個(gè)閾值,交換機(jī)在端口流量達(dá)到設(shè)定值時(shí)啟動(dòng)流量控制功能甚至將端口宕掉。
端口保護(hù)類似于端口隔離,設(shè)置了端口保護(hù)功能的端口之間不交換任何流量。
端口安全是對(duì)未經(jīng)許可的地址進(jìn)行端口級(jí)的訪問限制。現(xiàn)在華為交換機(jī)也提供流量控制和廣播風(fēng)暴抑制比等端口控制功能。
流量控制功能用于交換機(jī)與交換機(jī)之間在發(fā)生擁塞時(shí)通知對(duì)方暫時(shí)停止發(fā)送數(shù)據(jù)包,以避免報(bào)文丟失。廣播風(fēng)暴抑制可以限制廣播流量的大小,對(duì)超過(guò)設(shè)定值的廣播流量進(jìn)行丟棄處理。
不過(guò),交換機(jī)的流量控制功能只能對(duì)經(jīng)過(guò)端口的各類流量進(jìn)行簡(jiǎn)單的速率限制,將廣播、組播的異常流量限制在一定的范圍內(nèi),而無(wú)法區(qū)分哪些是正常流量,哪些是異常流量。同時(shí),如何設(shè)定一個(gè)合適的閾值也比較困難。如果需要對(duì)報(bào)文做更進(jìn)一步的控制用戶可以采用ACL(訪問控制列表 )。ACL利用IP地址、TCP/UDP端口等對(duì)進(jìn)出交換機(jī)的報(bào)文進(jìn)行過(guò)濾,根據(jù)預(yù)設(shè)條件,對(duì)報(bào)文做出允許轉(zhuǎn)發(fā)或阻塞的決定。思科和華為的交換機(jī)均支持IP ACL和MAC ACL,每種ACL分別支持標(biāo)準(zhǔn)格式和擴(kuò)展格式。標(biāo)準(zhǔn)格式的ACL根據(jù)源地址和上層協(xié)議類型進(jìn)行過(guò)濾,擴(kuò)展格式的ACL根據(jù)源地址、目的地址以及上層協(xié)議類型進(jìn)行過(guò)濾。
通過(guò)細(xì)分不同的網(wǎng)絡(luò)流量,企業(yè)用戶可以針對(duì)性地對(duì)異常流量分別進(jìn)行控制。如通過(guò)IP報(bào)文的協(xié)議字段控制單播類異常流量,通過(guò)以太幀的協(xié)議字段控制廣播類異常報(bào)文,通過(guò)IP目的地址段控制組播類報(bào)文。除了這些控制手段之外,網(wǎng)絡(luò)管理員還需要經(jīng)常注意網(wǎng)絡(luò)異常流量,及時(shí)定位異常流量的源主機(jī),并且排除故障。
交換機(jī)的流量控制可以預(yù)防因?yàn)閺V播數(shù)據(jù)包、組播數(shù)據(jù)包及因目的地址錯(cuò)誤的單播數(shù)據(jù)包數(shù)據(jù)流量過(guò)大造成交換機(jī)帶寬的異常負(fù)荷,并可提高系統(tǒng)的整體效能,保持網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行。
交換機(jī)產(chǎn)品是企業(yè)數(shù)據(jù)傳輸?shù)闹修D(zhuǎn)樞紐,它的安全設(shè)置直接關(guān)系到企業(yè)網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定安全?,F(xiàn)在為了應(yīng)對(duì)更加復(fù)雜的網(wǎng)絡(luò)環(huán)境,在安全設(shè)計(jì)上交換機(jī)產(chǎn)品也都配置有相當(dāng)豐富的安全功能,因此我們只需充分利用這些網(wǎng)絡(luò)安全設(shè)置功能,進(jìn)行合理的組合搭配,就可為企業(yè)網(wǎng)絡(luò)搭建一層安全的防護(hù)屏障。雖然對(duì)于多數(shù)企網(wǎng)的高安全需求,企業(yè)仍需添加更為專業(yè)的網(wǎng)絡(luò)安全設(shè)備,但對(duì)于交換機(jī)的防護(hù)設(shè)置,既可輕松增加企業(yè)網(wǎng)絡(luò)的安全性,又可為一些中小企業(yè)或網(wǎng)吧業(yè)主在網(wǎng)絡(luò)設(shè)備投入上節(jié)約成本,何樂而不為呢,因此一起來(lái)了解掌握交換機(jī)配置秘籍,進(jìn)行輕松地防護(hù)吧。
交換機(jī)相關(guān)文章:交換機(jī)工作原理
評(píng)論