如何使用思科智能交换机的安全新功能
发表于:2007-06-23来源:作者:点击数:
标签:
如果大家对 ISR 熟悉的话 , 肯定会知道 ISR 集成的一个基于 WEB 管理的路由器设备管理界面 , 可以通过 HTTP 协议和 WEB 浏览器来访问路由器和进行一些简单的管理工作。令人兴奋的是 , 在思科的部分以太网交换机上 , 广大用户也可以使用这个功能。先请大家看
如果大家对 ISR 熟悉的话 , 肯定会知道 ISR 集成的一个基于 WEB 管理的路由器设备管理界面 , 可以通过 HTTP 协议和 WEB 浏览器来访问路由器和进行一些简单的管理工作。令人兴奋的是 , 在思科的部分以太网交换机上 , 广大用户也可以使用这个功能。先请大家看一个贴图。
怎么样 , 效果不错吧。这里使用的是 Cisco Catalyst 3550 交换机 EMI 的支持 WDM 的版本的软件。这个软件是思科公司于 2005 年 1 月 31 日发布的。可以从 CCO 下载。 (SMI 和 EMI 的版本都有。 ) 具体地址如下 : http://www.cisco.com/cgi-bin/Software/Iosplanner/Planner-tool/iosresult.cgi?get_crypto=&data_from=&hardware_ name=CAT3550&software_name=C3550%20EMI %20IOS%20CRYPTO%20AND%20WEB%20BASED%20DEVICE%20MANAGER&release_name=12.1.22-EA3&majorRel=12.1&state=:HW:SW:RL&type=Early%20Deployment 有消息说 , Catalyst3550 快停产了 , 思科已经推出了 Cisco Catalyst 3560 作为 3550 的替代产品。 Cisco Catalyst 3560 系列交换机是一个固定配置的企业级交换机系列,包括 IEEE 802.3af 和思科预标准以太网电源( PoE ),工作在快速以太网和千兆位以太网配置下。 Catalyst 3560 是一款适用于小型企业 LAN 接入或分支机构环境的理想接入层交换机,将 10/100/1000 和 PoE 配置相结合,提供了最高生产率和投资保护,并支持新应用,如 IP 电话、无线接入、视频监视、建筑物管理系统和远程视频售货亭等的部署。 客户可在整个网络范围中部署智能服务-如高级服务质量 (QoS) 、限速、访问控制列表 (ACL) 、组播管理和高性能 IP 路由,且同时保持 LAN 交换的简洁性。 思科网络助理 提供了配置向导,大大简化了融合网络和智能网络服务的实施。 那么思科网络助理又是什么呢 ? 从交换机的图形管理界面里 , 您可以找到答案。 使用这个软件可以非常方便的设计 , 配置 , 和管理思科的交换机。使用户管理网络时 , 从命令行走向图形界面 (CLI 到 GUI) 。感兴趣的朋友可以试试。 以太网交换机发展到今天 , 除了网络接口从十兆 (10M), 百兆 (100M) 变成 千兆 (GE), 万兆 (10GE) 之外 , 交换机的功能可以说是大大加强 , 尤其是近年来广大用户对网络安全的需求 , 使得思科在交换机上不断开发出新的安全功能来满足用户的需求。例如在 3560 系列中 , 思科就会支持如下安全特性 : ? IEEE 802.1x 可以实现动态的、基于端口的安全,提供用户身份验证功能。 ? 具有 VLAN 分配功能的 IEEE 802.1x 可以为某个特定的用户提供一个动态的 VLAN 。 ? 支持话音 VLAN 的 IEEE 802.1x 允许一个 IP 电话接入话音 VLAN ,而无论端口是否经过授权。 ? IEEE 802.1x 和端口安全可以对端口进行身份验证,并能管理所有 MAC 地址的网络接入权限,包括客户端的访问权限。 ? 具有 ACL 的 IEEE 802.1x 允许基于特定身份的安全策略。 ? 具有访客 VLAN 的 IEEE 802.1x 允许没有 IEEE 802.1x 的客户端通过访客 VLAN 进行有限的网络访问。 ? 所有 VLAN 上的思科安全 VLAN ACL ( VACL )可以防止在 VLAN 中桥接未经授权的数据流。 ? 思科标准和扩展 IP 安全路由器 ACL ( RACL )可以针对控制面板和数据面板流量,在路由接口上指定安全策略。 ? 用于第二层接口的、基于端口的 ACL ( PACL )让用户可以将安全策略用于各个交换机端口。 ? SSHv2 、 Kerberos 和 SNMPv3 可以通过在 Telnet 和 SNMP 进程中加密管理员流量,提供网络安全。 ? 专用 VLAN 边缘可以在交换机接口之间提供安全和隔离,这有助于确保用户不能监听其他用户的流量。 ? DHCP 监听使管理员能确保 IP 到 MAC 地址的一致映射,并对进入交换机端口的 DHCP 流量进行限速。 ? DHCP 接口跟踪器(选项 82 )在主机 IP 地址请求中增加交换机端口 ID 。 ? 端口安全可以根据 MAC 地址,保障对某个接入或者汇聚端口的访问权限。 ? 控制台访问权限的多级安全可以防止未经授权的用户更改交换机配置。 ? 生成树协议根防护( STRG )防止不处于网络管理员控制范围的边缘设备成为生成树协议根节点。 ? 支持 1000 个访问控制条目( ACE ) 例如您可以使用 : ip arp inspection limit { rate pps [ burst interval seconds ] | none } 命令来控制一个 interface 接受 ARP 请求的数量和速度 , 这个特性可以很好的抑制一些基于二层的网络攻击流量。 另外 , 思科的 3560 还支持交换端口的速率限制功能 , 利用这个功能用户可以很好地控制网路流量 , 确保网络上关键业务的可靠传输 , 甚至利用 QoS 和 CIR 来抑制网络病毒 , 蠕虫程序的传播。 ? 思科承诺信息速率( CIR )功能能够以低达 8Kbps 的精确度保障带宽。 ? 速率限制基于源和目的地 IP 地址、源和目的地 MAC 地址、第四层 TCP/UDP 信息或者这些字段的任意组合。 ? 利用入口策略和出口整形,可以方便地管理来自于端设备或者上行链路的异步上行和下行数据流。 ? 每个快速以太网或者千兆位以太网端口最多可以支持 64 个总或者单独策略控制器 例如 : ! ip routing mls qos ! class-map match-all 64k match access-group 110 ! ! policy-map aaa class 64k police 512000 32000 exceed-action drop ! ! interface FastEthernet0/1 switchport mode access no ip address service-policy input aaa ! ip http server ( 注 : 启动交换机的 HTTP 服务 , 使用图形界面管理。 ) ! access-list 110 permit ip host 192.168.1.1 any access-list 110 permit ip any any ! 您可以参考 3560 的用户手册获得更多的帮助。 http://www.cisco.com/univercd/cc/td/doc/product/lan/cat3560/1225sea/3560scg/swqos.htm 网络交换机在今天还是构成计算机网络的基础核心设备 , 网络除了带宽加大之外 ( 万兆以太网的普及 ), 有效的管理也是解决网络安全 , 可靠运行的关键。有效的管理不仅包括网络交换机设备本身的配置 , 升级 , 以及日常监控 , 同时我们更需要对通过交换机的流量进行管理 , 对接入交换机的 PC 机 , IP 电话 , 打印机 , IP 摄像头等进行管理 , 对 MAC 地址 , IP 地址要严格管理和控制。只要大家重视网络的安全问题 , 合理的实施网络上的各种有效的控制手段 , 一个高速 , 可靠 , 稳定 , 智能的网络一定会为我们的工作 , 学习和生活带来无限乐趣。
|
原文转自:http://www.ltesting.net