守護企業網絡安全 掌握交換機設定秘籍

交換機文件系統分majoy和mirror兩部分進行保存，如果一個文件系統損害或中斷，另外一個文件系統會將其重寫，如果兩個文件系統都損害，則設備會清除兩個文件系統并重寫為出廠時默認設置，確保系統安全啟動運行。

秘籍六：限制流量控制

通過交換機的流量控制功能，可以把流經端口的異常流量限制在一定的范圍內。

例如，思科交換機具有基于端口的流量控制功能，能夠實現風暴控制、端口保護和端口安全。

風暴控制能夠緩解單播、廣播或組播包導致的網絡變慢，通過對不同種類流量設定一個閾值，交換機在端口流量達到設定值時啟動流量控制功能甚至將端口宕掉。

端口保護類似于端口隔離，設置了端口保護功能的端口之間不交換任何流量。

端口安全是對未經許可的地址進行端口級的訪問限制。現在華為交換機也提供流量控制和廣播風暴抑制比等端口控制功能。

流量控制功能用于交換機與交換機之間在發生擁塞時通知對方暫時停止發送數據包，以避免報文丟失。廣播風暴抑制可以限制廣播流量的大小，對超過設定值的廣播流量進行丟棄處理。

不過，交換機的流量控制功能只能對經過端口的各類流量進行簡單的速率限制，將廣播、組播的異常流量限制在一定的范圍內，而無法區分哪些是正常流量，哪些是異常流量。同時，如何設定一個合適的閾值也比較困難。如果需要對報文做更進一步的控制用戶可以采用ACL(訪問控制列表 )。ACL利用IP地址、TCP/UDP端口等對進出交換機的報文進行過濾，根據預設條件，對報文做出允許轉發或阻塞的決定。思科和華為的交換機均支持IP ACL和MAC ACL，每種ACL分別支持標準格式和擴展格式。標準格式的ACL根據源地址和上層協議類型進行過濾，擴展格式的ACL根據源地址、目的地址以及上層協議類型進行過濾。

通過細分不同的網絡流量，企業用戶可以針對性地對異常流量分別進行控制。如通過IP報文的協議字段控制單播類異常流量，通過以太幀的協議字段控制廣播類異常報文，通過IP目的地址段控制組播類報文。除了這些控制手段之外，網絡管理員還需要經常注意網絡異常流量，及時定位異常流量的源主機，并且排除故障。

交換機的流量控制可以預防因為廣播數據包、組播數據包及因目的地址錯誤的單播數據包數據流量過大造成交換機帶寬的異常負荷，并可提高系統的整體效能，保持網絡安全穩定的運行。

總結：掌握配置秘籍 輕松防護

交換機產品是企業數據傳輸的中轉樞紐，它的安全設置直接關系到企業網絡傳輸的穩定安全。現在為了應對更加復雜的網絡環境，在安全設計上交換機產品也都配置有相當豐富的安全功能，因此我們只需充分利用這些網絡安全設置功能，進行合理的組合搭配，就可為企業網絡搭建一層安全的防護屏障。雖然對于多數企網的高安全需求，企業仍需添加更為專業的網絡安全設備，但對于交換機的防護設置，既可輕松增加企業網絡的安全性，又可為一些中小企業或網吧業主在網絡設備投入上節約成本，何樂而不為呢，因此一起來了解掌握交換機配置秘籍，進行輕松地防護吧。