|
文件服务器的IP地址分别为192.168.20.200 / 10.200 / 0.200,对应三个不同的VLAN,之前我们在交换机端口上配置的ACL依然有效,所以我们 Ping 其它VLAN的文件服务器是不通的。
思科 300 系列交换机的Trunk端口支持VLAN流量控制。如果想禁止某一VLAN的流量通过Trunk端口该怎么办?很简单,如上图所示,不将特定VLAN加入Trunk端口即可。 Radius与802.1x端口认证 我们常见到这样的情景,任何人只要手中有一根网线,插入交换机,他的电脑就可以访问网络中的资源,这存在很高的风险——如何区分公司内部电脑和外部电脑,管理员往往毫无办法。也许在以前这一问题并不突出,但随着笔记本的普及,交换机端口管理便成了一个无法忽视的问题。 802.1x是IEEE为了解决基于端口的接入控制而定义的标准。802.1x认证由三部分组成:客户端、认证系统和认证服务器。在客户端和认证系统之间使用 802.1x协议进行通信,在认证系统和认证服务器之间使用RADIUS 协议进行通信。交换机控制着端口的开关,如果认证通过,端口将开放,客户机可以对网络进行访问,反之,即使用户插上的网线,网络也是不通的。
Radius与802.1x的配置过程我们就不在这里介绍了,网上有很多相关的资源,配置步骤其实非常简单,上面的几张截图展示了端口控制效果。 快速生成树协议(RSTP) 在组建网络时,我们除了要考虑安全性还要考虑可靠性,实现高可靠性最简单的方法是在交换机之间部署一条以上的连接实现链路冗余,不过此时交换机必须具备一定机制来避免“二层广播风暴”,这种机制就是生成树协议(Spanning Tree Protocol)。STP协议应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。 不过,STP也有一些不足——网络收敛时间过长,而收敛过程中,网络是不可用的。RSTP 快速生成树协议(rapid spaning tree protocol)正好弥补了这一不足,整体表现大幅优于STP,并且RSTP与STP都是开放的工业标准,不同品牌型号的产品只要支持该协议都可以被部署到网络中。
在网络正常使用中,我们拔掉其中一根网线,可以看到仅出现了一个Ping包超时,第二个超时是我们插回网线时产生的,这种程度的网络中断可以忽略不计,因为几乎不会造成客户端上的应用产生超时错误。传统的生成树协议(STP)是怎样的呢?请看下图:
在传统STP网络中,虽然通过调优也可以缩短网络收敛时间,但过度“优化”却会造成网络不稳定,所以还是建议使用默认设置。根据以往的测试经验,STP收敛时间在30秒以上,而RSTP却不到2秒,优势相当明显。另外,实现链路冗余还有另一种方法,那就是链路汇聚(LAG),设置链路汇聚只需选中相应端口,它们将共同属于一条冗余链路,同样的设置必须在两台交换机上进行,汇聚链路的冗余效果可以做到连接完全无中断。LAG是一项常规功能,就不在这里详细介绍了。 PConline评测室总结
思科300系列的亮点是什么?个人以为是其提供的VLAN间路由功能,以及诸多实用的内网管理功能,借助它,我们真真正正可以将内网管理起来。目前国内有很多面向中小企业的网络解决方案,他们几乎都将重点放在了路由器上,试图通过一台网关产品管理到内部网络的每个角落,坦白说,这并不现实,因为交换机与路由器有着各自不同的职责。 回过头我们再看文章开篇时提到的那个问题,思科300系列交换机能为我做什么?我们在组建网络时要求往往并不复杂,高效安全和成本是我们最关心的三个维度。本文就像是一份组网笔记,我们使用思科最新推出的300系列交换机组件了一个并不复杂,但高效安全的网络。 |
正在阅读:立体安全网络 思科全新300交换机试用立体安全网络 思科全新300交换机试用
2010-11-16 16:52
出处:PConline原创
责任编辑:gaohongjun
键盘也能翻页,试试“← →”键
