如何過濾用戶通訊，保障安全有效的數據轉發?如何阻擋非法用戶，保障網絡安全應用?如何進行安全網（wǎng）管，及時（shí）發現網絡非法用戶、非法行為及（jí）遠程網管信息的安（ān）全性呢?這裏我們總結了6 條近期交（jiāo）換機市場上一些流行（háng）的安（ān）全設置功能，希望對大家（jiā）有（yǒu）所幫助。

　　一:L2-L4 層過濾

　　現（xiàn）在的新型交換機大都可以通過建立規（guī）則的方式來實現各種過濾需求。規則設置有兩（liǎng）種模式，一種是MAC模式，可根據用戶需要依據源MAC或目的 MAC有效實（shí）現數據的隔離，另一種是IP模式，可以（yǐ）通過源IP、目（mù）的IP、協議、源應用端口及目的應用端口過濾數據封包;建立好的規（guī）則必須附加到相應的接收或傳送端口上，則當交換機此端口接收或轉發數據時（shí），根據過濾規則來過濾封包，決定是轉發還是（shì）丟棄。

　　另外，交換機通過硬件“邏輯與非門”對過濾規則進行邏（luó）輯運算，實現過濾規則確定，完全不影響數據（jù）轉發速率（lǜ）。

　　二:802.1X 基於端（duān）口的訪問（wèn）控製

　　為了阻止非法用戶對局域網（wǎng）的接入（rù），保障網絡的安全性，基於端口的訪問控製協議802.1X無論在有線LAN或WLAN中都得到了廣泛應用。例如華碩最新的GigaX2024/2048等新一代交換機產（chǎn）品（pǐn）不僅僅支（zhī）持802.1X 的Local、RADIUS 驗證方式，而且支（zhī）持802.1X 的Dynamic VLAN 的（de）接（jiē）入，即在VLAN和802.1X 的基礎（chǔ）上，持有某用戶賬號的用戶無論在網絡內的何（hé）處接入，都會超越原有802.1Q 下基於端口VLAN 的限製，始終接入與此賬號指定的VLAN組內，這一功能不僅（jǐn）為網絡內的（de）移動用戶對資源的（de）應用提供（gòng）了靈活便（biàn）利，同時又（yòu）保障了網絡資源應用的（de）安全性;

　　另外， GigaX2024/2048 交換機（jī）還支（zhī）持802.1X的Guest VLAN功能，即在802.1X的應用（yòng）中，如果端口指定了Guest VLAN項，此端口下的接入用戶如果認證失敗（bài）或根本無用戶賬（zhàng）號的（de）話，會成為Guest VLAN 組的成員，可以享用此組內的相應網絡資源，這一種功（gōng）能同樣可為網絡應用（yòng）的某一（yī）些群體開放最低限度的資源（yuán），並為整個網（wǎng）絡（luò）提供了一個最外圍的接入安全。

　　三:流量控製（zhì）(traffic control)

　　交換機的流量控製（zhì）可以預防因為廣（guǎng）播數據（jù）包、組播數據包及因目的地址錯誤的單播數據包數據流量過大（dà）造成交換機帶寬的異常負荷，並（bìng）可提高係統的整體效能，保持網絡安全穩（wěn）定（dìng）的運行。

　　四（sì）:SNMP v3 及SSH 安全網管

　　SNMP v3 提出全新的體係結構，將各版本的SNMP 標（biāo）準集中到一起，進而加強網管安全性。SNMP v3 建議的安（ān）全模型是基於用戶的安全模型（xíng），即USM。

　　USM對網管消息進行加密和認證是基於用戶進行的，具體地（dì）說（shuō）就是用什麽協議和密鑰進行加密（mì）和認證均由用（yòng）戶名稱(userNmae)權威引擎標識符(EngineID)來決定(推薦加密協議CBCDES，認證協議HMAC-MD5-96 和HMAC-SHA-96)，通過認證、加密和時限提供數據完（wán）整性、數據源認證、數據保密和消（xiāo）息時限（xiàn）服務，從（cóng）而（ér）有效防（fáng）止非授權（quán）用戶對管理信息的修改、偽裝和竊聽。

　　至於通過（guò）Telnet 的遠程網絡管理，由於Telnet 服（fú）務有一個（gè）致命的（de）弱點——它以明文的方（fāng）式傳輸用戶名及口（kǒu）令，所以，很容易被別有用心的人竊取口令，受到攻擊，但采用SSH進行通訊時，用戶（hù）名及口令（lìng）均進行了加密，有效防止了對口令的竊聽，便於網管人（rén）員進行遠程（chéng）的安全網絡管理。

　　五:Syslog和（hé）Watchdog

　　交換機的Syslog 日誌功能可以將係統錯誤、係統配置、狀態變化、狀態定期報告、係統退（tuì）出等用戶設定的期（qī）望信息傳送給日（rì）誌服務器，網管人員依據這些信息（xī）掌握（wò）設備的運行狀況，及早發現問題，及（jí）時（shí）進行配置（zhì）設定（dìng）和排障，保障網絡安全穩定地運行。

　　Watchdog 通過設定一個計時器（qì），如果設定的（de）時間間（jiān）隔內計時器沒有重啟，則生成一個內在CPU重啟指令，使設備重新啟動，這一功能可使交換機在緊急（jí）故障或意外情況（kuàng）下時可智能（néng）自動重啟（qǐ），保障網絡的（de）運行。

　　六:雙映像文件

　　一些最新的交換機（jī）， 像A S U SGigaX2024/2048還具備雙映像文件。這（zhè）一功能保（bǎo）護設備在異常（cháng）情（qíng）況下(固件（jiàn）升級失（shī）敗等（děng）)仍然可正常（cháng）啟動運行。文件係統分majoy和 mirror兩部分進行保存，如果一個文件係統損害（hài）或中（zhōng）斷（duàn），另外一個文件係統會將其重寫，如果兩個文（wén）件係統（tǒng）都損害，則設備會（huì）清除兩（liǎng）個（gè）文件係統並（bìng）重寫為出廠時默（mò）認設置，確保（bǎo）係統安全啟動運行。

　　其（qí）實，近期出現的一些交換機產品在安全設計上大（dà）都（dōu）下足了（le）功夫——層層設防、節節過濾，想（xiǎng）盡一切辦法將可能存在的不安全因素最大程度地排除在外。

　　廣大企（qǐ）業用戶如果能夠充分利用這些網絡安全設置功能，進行合理（lǐ）的組合搭配，則可以最（zuì）大限度地防（fáng）範網絡上日益泛濫的各種攻擊和侵害，願您的企業網絡自此也（yě）能更加穩固安全。