port security SLM2024中的port security是个很实用的工具,它为网络准入提供了更进一步的控制。我们可以设想这样一个场景,用户A是本公司职员,自然也知道802.1x验证时所用的用户名和密码,这时如果他将个人的笔记本连入公司网络也是全完可以做到的,因为802.1x只验证用户身份,而不验证电脑的身份(MAC地址)。
设置port security很简单,管理员不用一个个的去录入每台PC的MAC地址,只需将Learning mode设置为Limited Dynamic Lock,SLM2024就可以自动学习并记录插入特定端口的主机MAC地址。Max Entries指记录MAC地址的数量,如果设置为2,SLM2024将记录前两个不同的MAC地址并认为这两个IP地址是合法的,比较严格的作法是将此值设置为1。Action on violation指如果端口检测到非法MAC地址,将采取何种操作——丢弃MAC帧、正常转发、关闭端口,我们选择的是关闭端口。
我们将端口6上的网线拔下并插入测试电脑,结果端口就被关闭了,交换机上的指示灯完全没有反应,效果等同于物理断开,在右图中可以看到,端口实际处于挂起状态(suspended)。此时即使将正确的主机插入端口6,其依然处于挂起状态(用户无法激活),只有在SLM2024中使用Reactivate suspended port才可将端口激活。在实际使用中,“违反/关闭”也许有些过于严厉,“违反/丢弃”倒是更“实惠”的选择,因为这样既控制住了端口又不会为管理员带来额外的工作量。 链路冗余 在组建网络时,我们除了要考虑安全性还要考虑可靠性,实现高可靠性一种最简单的方法就是在交换机之间部署一条以上的连接实现链路冗余,这可以很好的避免因单链路失效而导致一个接入节点整体失效。不过实现链路冗余,交换机必须具备一定机制来避免“广播风暴”,这种机制就是生成树协议(Spanning Tree Protocol)。STP协议应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。 STP用于交换机之间,所以部署冗余链路两台交换机必须都支持STP。同时,STP是标准协议,不同品牌型号的产品只要支持该协议都可以被部署到STP网络中。 我们简单搭建了一个STP网络环境,由两台设备组成,核心交换机是一台IP-COM的产品,SLM2024被当做接入层交换机。我们先看一下核心交换机上的配置:
设置过程非常简单,仅需一步——将系统优先级设置为0。系统优先级数值越小在整个网络中这台交换机越有可能成为根桥(在STP网络中必须有一个根桥,通常为核心交换机),0表示最高的优先级。其它选项保持默认值即可。接下来我们看一下SLM2024上的设置:
在大型网络中,为了保持STP结构的稳定,并不建议将老化时间及转发延时修改得过低,虽然这可以缩短端口切换延时。但小型网络环境结构相对简单,不妨优化一下,如上图我们将老化时间由20秒改为10秒,转发延时由15秒改为7秒,对比前后两张PING操作截图,效果还是比较明显的。>>
|
正在阅读:安全可靠!思科SLM2024千兆交换机首测安全可靠!思科SLM2024千兆交换机首测
2010-06-11 10:18
出处:PConline原创
责任编辑:gaohongjun
键盘也能翻页,试试“← →”键
本文导航 | ||
|
思科SLM2024相关文章
浏览本产品的网友还关注:
- 华为S5720-52P-LI-AC ¥3700
- 华为S5720-28P-PWR-LI-AC ¥3180
- 华为S5720-28X-LI-24S-AC ¥7700
本文产品
思科SLM2024相关文章
浏览本产品的网友还关注:
- 华为S5720-52P-LI-AC ¥3700
- 华为S5720-28P-PWR-LI-AC ¥3180
- 华为S5720-28X-LI-24S-AC ¥7700
同价位产品
竞争产品对比
热门产品
热门排行
IT百科
热门专题
网络设备论坛帖子排行
最高点击
最高回复
最新
汽车资讯
最新资讯离线随时看
聊天吐槽赢奖品