上一期我们介绍了思科集成服务路由器的一些功能,如果大家对ISR熟悉的话,肯定会知道ISR集成的一个基于WEB管理的路由器设备管理界面,可以通过HTTP协议和WEB浏览器来访问路由器和进行一些简单的管理工作。令人兴奋的是,在思科的部分以太网交换机上,广大用户也可以使用这个功能。先请大家看一个贴图。

　　使用这个软件可以非常方便的设计,配置,和管理思科的交换机。使用户管理网络时,从命令行图形界面(CLI到GUI)。感兴趣的朋友可以试试。

　　以太网交换机发展到今天,除了网络接口从十兆(10M),百兆(100M)变成千兆(GE),万兆(10GE)之外,交换机的功能可以说是大大加强,尤其是近年来广大用户对网络安全的需求,使得思科在交换机上不断开发出新的安全功能来满足用户的需求。例如在3560系列中,思科就会支持如下安全特性:

　　·IEEE802.1x可以实现动态的、基于端口的安全，提供用户身份验证功能。

　　·具有VLAN分配功能的IEEE802.1x可以为某个特定的用户提供一个动态的VLAN。

　　·支持话音VLAN的IEEE802.1x允许一个IP电话接入话音VLAN，而无论端口是否经过授权。

　　·IEEE802.1x和端口安全可以对端口进行身份验证，并能管理所有MAC地址的网络接入权限，包括客户端的访问权限。

　　·具有ACL的IEEE802.1x允许基于特定身份的安全策略。

　　·具有访客VLAN的IEEE802.1x允许没有IEEE802.1x的客户端通过访客VLAN进行有限的网络访问。

　　·所有VLAN上的思科安全VLANACL（VACL）可以防止在VLAN中桥接未经授权的数据流。

　　·思科标准和扩展IP安全路由器ACL（RACL）可以针对控制面板和数据面板流量，在路由接口上指定安全策略。

　　·用于第二层接口的、基于端口的ACL（PACL）让用户可以将安全策略用于各个交换机端口。

　　·SSHv2、Kerberos和SNMPv3可以通过在Telnet和SNMP进程中加密管理员流量，提供网络安全。

　　·专用VLAN边缘可以在交换机接口之间提供安全和隔离，这有助于确保用户不能其他用户的流量。

　　·DHCP使管理员能确保IP到MAC地址的一致映射，并对进入交换机端口的DHCP流量进行限速。

　　·DHCP接口器（选项82）在主机IP地址请求中增加交换机端口ID。

　　·端口安全可以根据MAC地址，保障对某个接入或者汇聚端口的访问权限。

　　·控制台访问权限的多级安全可以防止未经授权的用户更改交换机配置。

　　·生成树协议根防护（STRG）防止不处于网络管理员控制范围的边缘设备成为生成树协议根节点。

　　·支持1000个访问控制条目（ACE）

　　例如您可以使用:

　　iparpinspectionlimit{ratepps[burstintervalseconds]none}

　　命令来控制一个intece接受ARP请求的数量和速度,这个特性可以很好的一些基于二层的网络流量。

　　另外,思科的3560还支持交换端口的速率功能,利用这个功能用户可以很好地控制网路流量,确保网络上关键业务的可靠传输,甚至利用QoS和CIR来网络病毒,蠕虫程序的。

　　·思科承诺信息速率（CIR）功能能够以低达8Kbps的精确度保障带宽。

　　·速率基于源和目的地IP地址、源和目的地MAC地址、第四层TCP/UDP信息或者这些字段的任意组合。

　　·利用入口策略和出口整形，可以方便地管理来自于端设备或者上行链路的异步上行和下行数据流。

　　·每个快速以太网或者千兆位以太网端口最多可以支持64个总或者单独策略控制器

　　例如:

　　!

　　iprouting

　　mlsqos

　　!

　　class-mapmatch-all64k

　　www.192.168.1.1.commatchaccess-group110

　　!

　　!

　　policy-mapaaa

　　class64k

　　police51200032000exceed-actiondrop

　　!

　　!

　　inteceFastEthernet0/1

　　switchportmodeaccess

　　noipaddress

　　service-policyinputaaa

　　!

　　iphttpserver(注:启动交换机的HTTP服务,使用图形界面管理。)

　　!

　　access-list110permitiphost192.168.1.1any

　　access-list110permitipanyany

　　!

　　您可以参考3560的用户手册获得更多的帮助。

　　网络交换机在今天还是构成计算机网络的基础核心设备,网络除了带宽加大之外(万兆以太网的普及),有效的管理也是解决网络安全,可靠运行的关键。有效的管理不仅包括网络交换机设备本身的配置,升级,以及日常,同时我们更需要对通过交换机的流量进行管理,对接入交换机的PC机,IP电话,打印机,IP摄像头等进行管理,对MAC地址,IP地址要严格管理和控制。只要大家重视网络的安全问题,合理的实施网络上的各种有效的控制手段,一个高速,可靠,稳定,智能的网络一定会为我们的工作,学习和生活带来无限乐趣。

　　李涛

　　顾问工程师

　　中央技术部

　　思科系统(中国)网络技术有限公司

　　转载地址: