正在阅读:稳定安全!思科200系列智能交换机评测稳定安全!思科200系列智能交换机评测

2011-04-12 02:36 出处:PConline原创 作者:佚名 责任编辑:gaohongjun

port security

  port security是个很实用的工具,它为网络准入提供了更进一步的控制。我们可以设想这样一个场景,用户A是本公司职员,自然也知道802.1x验证时所用的用户名和密码,这时如果他将个人的笔记本连入公司网络也是全完可以做到的,因为802.1x只验证用户身份,而不验证电脑的身份(MAC地址)。

思科200系列
设置port security

  设置port security很简单,管理员不用一个个的去录入每台PC的MAC地址,只需选中Convert dynamic addresses to static即可,交换机会记录下第一个学习到的MAC地址。Action on violation指如果端口检测到非法MAC地址,将采取何种操作——丢弃MAC帧、正常转发、关闭端口,我们选择的是关闭端口。

思科200系列

  我们将端口6上的网线拔下并插入测试电脑,结果端口就被关闭了,交换机上的指示灯完全没有反应,效果等同于物理断开。在实际使用中,“违反/关闭”也许有些过于严厉,“违反/丢弃”倒是更“经济”的选择,因为这样既控制住了端口又不会为管理员带来额外的工作量。另外,port security功能还可以用来抑制ARP病毒对网络造成影响,因为虚假的ARP包在进入网络前就被过滤掉了。

实现链路冗余

  在组建网络时,我们除了要考虑安全性还要考虑可靠性,实现高可靠性的方法是在交换机之间部署一条以上的线路实现链路冗余,不过此时交换机必须具备一定机制来避免“二层广播风暴”,这种机制就是生成树协议(Spanning Tree Protocol)。STP协议应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免分组在环路网络中的增生和无限循环。

  STP也有一些不足——网络收敛时间过长,而收敛过程中,网络是不可用的。RSTP 快速生成树协议(rapid spaning tree protocol)正好弥补了这一不足,整体表现大幅优于STP,并且RSTP与STP都是开放的工业标准,不同品牌的产品只要支持该协议都可以被部署到网络中。

思科200系列
快速生成树协议(RSTP)的网络收敛速度非常快

  在网络正常使用中,我们拔掉其中一根网线,可以看到仅出现了一个Ping包超时,第二个超时是我们插回网线时产生的,这种程度的网络中断可以忽略不计,因为几乎不会造成客户端上的应用产生超时错误。传统的生成树协议(STP)是怎样的呢?请看下图:

思科200系列 思科200系列
传统生成树协议(STP)优化前与优化后

  在传统STP网络中,虽然通过调优也可以缩短网络收敛时间,但过度“优化”却会造成网络不稳定,所以还是建议使用默认设置。根据以往的测试经验,STP收敛时间在30秒以上(理论是50秒),而RSTP不到2秒,优势相当明显。>>

键盘也能翻页,试试“← →”键

为您推荐

加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多

网络设备论坛帖子排行

最高点击 最高回复 最新
最新资讯离线随时看 聊天吐槽赢奖品