|
【PConline 评测】优秀的网络一定是分次层的,不同的是,大型网络的层次化设计可能非常明显,而成长型企业的中小型网络在层次划分上可能要模糊一些,但任何网络都不可能没有接入层。企业应该采购怎样的接入型交换机呢?如果您只在意成本,那非管理型产品将是您的首选,但这时内网对于每个人都是“大门敞开”,除了安全风险,由于这类产品不支持链路冗余,级联链路单点失效也会对网络造成较大的影响。所以,傻瓜型交换机虽然低价易用,但却并不是最佳的选择。 今天介绍的是由思科系统公司推出的智能交换机新品——思科精睿200系列,这一系列的定位正是“智能接入”。除了200系列,面向成长型企业市场,思科还推出了100和300系列,100系列也就是我们所说的“傻瓜型”交换机,稳定易用实惠是这一产品线的特点,而300系列是全网管型三层交换机,这一系列基本是部署在汇聚层或做为中小型网络的核心交换机。 保障企业网络的稳定与安全就像是在维护一个链条,我们最常见到的是这个链条中的四个部分,边界(路由器),内网(交换机),终端(PC)和用户本身。在这四个环节中,用户是相对薄弱的一环,终端与边界安全是目前最被人们关注的两点,而内网安全,也就是智能交换机的职责,因为可以使用“傻瓜型”交换机完成用户接入的工作,费用虽然节省了一些,但内网安全同时也就被“节省”掉了。 您可能也有这样的疑问:同样是接入层设备,为什么我要多花钱买智能交换机呢?更多的花销总要物有所值不是,它比傻瓜型交换机又有什么优势?看完本文你将找到这些问题的答案。
思科精睿200系列在国内共有三款千兆产品销售,分别是:SG200-08;SG200-26;SG200-50,端口密度分别为:8个10/100/1000端口;24个10/100/1000端口+2个光电复用mini-GBIC端口;48个10/100/1000端口+2个光电复用mini-GBIC端口。三款产品在功能特性上完全相同,采用WEB管理界面,不存在上手“门槛”,可大大减少网络部署、管理、以及故障清除所耗费的时间。 本次试用的主要关注点是网络安全性与可靠性,具体的讲,安全性主要指网络准入控制,依靠802.1x和port security,而可靠性主要是链路冗余,依靠RSTP(STP)和Link Aggregation。当然,其它常规功能像VLAN、QoS等也是一应俱全。 网络准入和端口安全 傻瓜型交换机无法实现网络准入控制。我们常见到这样的情景,任何人只要手中有一根网线,插入交换机,他的电脑就可以访问网络中的资源了。这便存在很高的风险,如何区分合法接入与非正常接入,管理员往往毫无办法。也许在以前这一问题并不突出,但随着笔记本的普及,交换机端口管理便成了一个无法忽视的问题。 思科200系列支持802.1x和port security,前者通过身份验证可以很轻松的将非授权用户拒之门外,而后者可以在用户通过验证后,额外再对端口提供一层防护。>> ----------------------------------------------------------------------------- 相关文章: 经验分享 买交换机都应该注意什么? 立体安全网络 思科全新300交换机试用 ----------------------------------------------------------------------------- 802.1x 802.1x是IEEE为了解决基于端口的接入控制而定义的一个标准。802.1x认证由三部分组成:客户端、认证系统和认证服务器。
802.1x的工作机制是在客户端和认证系统之间使用802.1x协议进行通信,在认证系统和认证服务器之间使用RADIUS协议进行通信。认证服务器能提供更加灵活的特性,当然也可能会带来一些技术层面的难题,考虑到易用性,思科200系列还可以使用本地认证。如果认证通过,端口将开放,客户机可以对网络进行访问,反之,即使用户插上的网线,网络也是不通的。
要实现网络准入功能,设置方法很简单,主要分两步,一是设置端口状态,二是配置radius服务器,也可以使用本地用户信息数据库进行验证,这样就省去了radius服务器(本次试用我们采用本地认证)。端口有三种状态:Force Unauthorized、auto、Force Authorized。Auto指端口根据认证成功与否开启或关闭相应端口,Force Authorized指端口始终打开,不进行验证,Force Unauthorized指端口始终关闭,不响应用户请求。默认为Force Authorized,我们将6号端口修改成Auto。
PC机配置仅需一步,Windows XP之后的系统都支持802.1x身份验证,在本地连接-->属性中我们只需将“选择网络身份验证方法”设置为“md5-质询”即可。效果如何?我们只需将电脑的网线插入6号端口就能看到。
通过简单的几步设置,借助思科200系列交换机我们就实现了基本的网络准入控制。>> port security port security是个很实用的工具,它为网络准入提供了更进一步的控制。我们可以设想这样一个场景,用户A是本公司职员,自然也知道802.1x验证时所用的用户名和密码,这时如果他将个人的笔记本连入公司网络也是全完可以做到的,因为802.1x只验证用户身份,而不验证电脑的身份(MAC地址)。
设置port security很简单,管理员不用一个个的去录入每台PC的MAC地址,只需选中Convert dynamic addresses to static即可,交换机会记录下第一个学习到的MAC地址。Action on violation指如果端口检测到非法MAC地址,将采取何种操作——丢弃MAC帧、正常转发、关闭端口,我们选择的是关闭端口。
我们将端口6上的网线拔下并插入测试电脑,结果端口就被关闭了,交换机上的指示灯完全没有反应,效果等同于物理断开。在实际使用中,“违反/关闭”也许有些过于严厉,“违反/丢弃”倒是更“经济”的选择,因为这样既控制住了端口又不会为管理员带来额外的工作量。另外,port security功能还可以用来抑制ARP病毒对网络造成影响,因为虚假的ARP包在进入网络前就被过滤掉了。 实现链路冗余 在组建网络时,我们除了要考虑安全性还要考虑可靠性,实现高可靠性的方法是在交换机之间部署一条以上的线路实现链路冗余,不过此时交换机必须具备一定机制来避免“二层广播风暴”,这种机制就是生成树协议(Spanning Tree Protocol)。STP协议应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免分组在环路网络中的增生和无限循环。 STP也有一些不足——网络收敛时间过长,而收敛过程中,网络是不可用的。RSTP 快速生成树协议(rapid spaning tree protocol)正好弥补了这一不足,整体表现大幅优于STP,并且RSTP与STP都是开放的工业标准,不同品牌的产品只要支持该协议都可以被部署到网络中。
在网络正常使用中,我们拔掉其中一根网线,可以看到仅出现了一个Ping包超时,第二个超时是我们插回网线时产生的,这种程度的网络中断可以忽略不计,因为几乎不会造成客户端上的应用产生超时错误。传统的生成树协议(STP)是怎样的呢?请看下图:
在传统STP网络中,虽然通过调优也可以缩短网络收敛时间,但过度“优化”却会造成网络不稳定,所以还是建议使用默认设置。根据以往的测试经验,STP收敛时间在30秒以上(理论是50秒),而RSTP不到2秒,优势相当明显。>> 实现链路冗余,RSTP只是方法之一,思科200系列还提供了另一种实现方式——Link aggregation。Link aggregation不像RSTP,前者可以实现多条链路同时进行数据传输,而后者只允许一条链路处于活动状态(其它链路处于BLOCK状态)。
设置Link Aggregation只需选中相应端口,它们将共同属于一条逻辑链路,同样的设置必须在两台交换机上进行,Link Aggregation的冗余效果可以做到连接完全无中断。另外,在配置时有一点要注意,参与Link Aggregation的端口应当关闭生成树协议。 PConline评测室总结
思科精睿200系列可以作为中小型网络的核心交换机,1000Mbps端口与光电复用端口完全可以满足企业对网络灵活性和高速传输的需求,同时兼具易用性和安全性;在大型网络中,思科200系列亦可作为安全可靠的接入层设备,支持标准802.1Q协议,可实现跨交换机的VLAN,同时支持RSPT,QoS,端口安全,802.1x等,没有“过剩”的复杂功能,量体剪裁得恰到好处。 回过头我们再看文章开篇提的那个问题——更多的花销总要物有所值,智能交换机相比“傻瓜型”交换机有何优势?优势还是非常明显的,我想你也认同——智能交换机很大程度地提升了企业内网的安全性与可靠性。 注:由于文章篇幅所限,部分常规功能并未在文中进行介绍,包括VLAN、QoS等。[返回频道首页] |
正在阅读:稳定安全!思科200系列智能交换机评测稳定安全!思科200系列智能交换机评测
2011-04-12 02:36
出处:PConline原创
责任编辑:gaohongjun
