正在阅读：安全可靠！思科SLM2024千兆交换机首测安全可靠！思科SLM2024千兆交换机首测

port security

　　SLM2024中的port security是个很实用的工具，它为网络准入提供了更进一步的控制。我们可以设想这样一个场景，用户A是本公司职员，自然也知道802.1x验证时所用的用户名和密码，这时如果他将个人的笔记本连入公司网络也是全完可以做到的，因为802.1x只验证用户身份，而不验证电脑的身份（MAC地址）。

设置port security

　　设置port security很简单，管理员不用一个个的去录入每台PC的MAC地址，只需将Learning mode设置为Limited Dynamic Lock，SLM2024就可以自动学习并记录插入特定端口的主机MAC地址。Max Entries指记录MAC地址的数量，如果设置为2，SLM2024将记录前两个不同的MAC地址并认为这两个IP地址是合法的，比较严格的作法是将此值设置为1。Action on violation指如果端口检测到非法MAC地址，将采取何种操作——丢弃MAC帧、正常转发、关闭端口，我们选择的是关闭端口。

　　我们将端口6上的网线拔下并插入测试电脑，结果端口就被关闭了，交换机上的指示灯完全没有反应，效果等同于物理断开，在右图中可以看到，端口实际处于挂起状态（suspended）。此时即使将正确的主机插入端口6，其依然处于挂起状态（用户无法激活），只有在SLM2024中使用Reactivate suspended port才可将端口激活。在实际使用中，“违反/关闭”也许有些过于严厉，“违反/丢弃”倒是更“实惠”的选择，因为这样既控制住了端口又不会为管理员带来额外的工作量。

链路冗余

　　在组建网络时，我们除了要考虑安全性还要考虑可靠性，实现高可靠性一种最简单的方法就是在交换机之间部署一条以上的连接实现链路冗余，这可以很好的避免因单链路失效而导致一个接入节点整体失效。不过实现链路冗余，交换机必须具备一定机制来避免“广播风暴”，这种机制就是生成树协议（Spanning Tree Protocol）。STP协议应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。

　　STP用于交换机之间，所以部署冗余链路两台交换机必须都支持STP。同时，STP是标准协议，不同品牌型号的产品只要支持该协议都可以被部署到STP网络中。

　　我们简单搭建了一个STP网络环境，由两台设备组成，核心交换机是一台IP-COM的产品，SLM2024被当做接入层交换机。我们先看一下核心交换机上的配置：

核心交换机上的STP设置

　　设置过程非常简单，仅需一步——将系统优先级设置为0。系统优先级数值越小在整个网络中这台交换机越有可能成为根桥（在STP网络中必须有一个根桥，通常为核心交换机），0表示最高的优先级。其它选项保持默认值即可。接下来我们看一下SLM2024上的设置：

无需任何修改，保持默认值即可

当我们用两条网线连接在交换机之间时，端口1被阻塞，端口2处于转发状态

 
拔掉端口2上的网线，网络大概中断了30秒钟后重新联通，端口1变为了转发状态

 
修改设置，缩短端口切换延时

　　在大型网络中，为了保持STP结构的稳定，并不建议将老化时间及转发延时修改得过低，虽然这可以缩短端口切换延时。但小型网络环境结构相对简单，不妨优化一下，如上图我们将老化时间由20秒改为10秒，转发延时由15秒改为7秒，对比前后两张PING操作截图，效果还是比较明显的。>>