各种交换机设置方法(井下交换机安全要求)

如何过滤用户通信，保证安全有效的数据转发？如何阻止非法用户，保证网络安全应用？如何进行安全网络管理，

如何及时发现非法用户、非法行为以及远程网管信息的安全？在这里，我们总结了近期交换机市场上比较流行的六种安全设置功能，希望对大家有所帮助。一：L2-L4 层过滤

现在大多数新型交换机都可以通过建立规则来实现各种过滤需求。规则设置有两种模式，一种是MAC模式，可以根据用户的需求，按照源MAC或目的MAC有效隔离数据，另一种是IP模式。

数据包可以按源IP、目的IP、协议、源应用端口、目的应用端口过滤；建立的规则必须附加到相应的接收或发送端口，因此当交换机在此端口接收或转发数据时，它会根据过滤规则过滤数据包，并决定是转发还是丢弃数据包。

另外，交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算，实现过滤规则的确定，完全不影响数据转发速率。二：802.1X 基于端口的访问控制

为了防止非法用户访问局域网，保证网络的安全，基于端口的访问控制协议802.1X在有线局域网和无线局域网中都得到了广泛的应用。

比如华硕最新的GigaX2024/2048等新一代交换机产品，不仅支持802.1X本地和RADIUS认证方式，还支持802.1X动态VLAN接入。

也就是说，在VLAN和802.1X的基础上，一个拥有用户账号的用户无论在网络中的什么地方接入，都将始终访问该账号指定的VLAN组，超越了原有802.1q下VLAN端口的限制

该功能不仅为网络中移动用户申请资源提供了灵活性和便利性，还保证了网络资源申请的安全性；

此外，GigaX2024/2048交换机还支持802.1X的访客VLAN功能，即在802.1X的应用中，如果在端口中指定了访客VLAN项

如果该端口下的访问用户认证失败或者根本没有用户账号，他将成为VLAN访客组的成员，可以享受该组中相应的网络资源。该功能还可以为一些网络应用程序组打开最少的资源。

并为整个网络提供外围接入安全性。三：流量控制(traffic control)

交换机的流量控制可以防止由于目的地址错误的广播包、组播包和单播包的数据流量过大而导致的交换机带宽的异常负载，可以提高系统的整体效率，维护网络的安全稳定运行。四：SNMP v3 及SSH 安全网管

SNMP v3提出了一种全新的架构，将所有版本的SNMP标准集合在一起，从而加强了网络管理的安全性。SNMP v3建议的安全模型是基于用户的安全模型，即USM。

USM根据用户对网络管理消息进行加密和身份验证。具体来说，加密和认证使用什么协议和密钥是由用户名(userNmae)和权威引擎标识符(EngineID)决定的(推荐加密协议CBCDES，

认证协议HMAC-MD5-96和HMAC-SHA-96)通过认证、加密和时限提供数据完整性、数据源认证、数据机密性和消息时限服务，从而有效防止未授权用户修改、伪装和窃听管理信息。

至于通过Telnet进行远程网络管理，由于Telnet服务有一个致命的弱点——，它是明文传输用户名和密码的，所以很容易被别有用心的人窃取密码并被攻击。然而，当SSH用于通信时，

用户名和密码均经过加密，有效防止密码被窃听，方便网络管理员远程管理安全网络。五：Syslog和Watchdog

交换机的Syslog日志功能可以传输用户设置的预期信息，如系统错误、系统配置、状态变化、周期性状态报告、系统退出等。到日志服务器，网管人员可以根据这些信息掌握设备的运行状态，尽早发现问题。

及时配置并排除故障，确保网络安全稳定运行。

看门狗设置一个定时器，如果定时器在设定的时间间隔内没有重启，就会产生一个内部CPU重启指令来重启设备。该功能可以使交换机在紧急或事故情况下自动智能重启，保证网络的运行。

六：双映像文件

一些最新的交换机，如A S U SGigaX2024/2048，也有双镜像文件。该功能保护设备在异常情况下(固件升级失败等)正常启动和运行。).文件系统保存在两个部分：majoy和mirror。

如果一个文件系统损坏或中断，另一个文件系统将重写它。如果两个文件系统都损坏，设备将清除两个文件系统，并将其重写为出厂默认设置，以确保系统的安全启动和运行。

其实，近期出现的一些交换机产品在安全设计上大都下足了功夫——层层设防、节节过滤，想尽一切办法将可能存在的不安全因素最大程度地排除在外。

广大企业用户如果能够充分利用这些网络安全设置功能，进行合理的组合搭配，则可以最大限度地防范网络上日益泛滥的各种攻击和侵害，愿您的企业网络自此也能更加稳固安全。