ITPub博客

首页 > Linux操作系统 > Linux操作系统 > 安全可靠!思科SLM2024千兆交换机首测

安全可靠!思科SLM2024千兆交换机首测

原创 Linux操作系统 作者:yang_dan123 时间:2011-05-03 18:34:28 0 删除 编辑
showIvyViaJs("pc.waluosb.neiye.biaoti.")'); _addIvyID("117097_164984");

  保障企业网络的稳定与安全就像是在维护一个链条,整个链条有很多部分组成,而我们最常见到的是这个链条中的四个部分,边界(路由器),内网(交换机),终端(PC)和用户本身。在这四个环节中,用户是最薄弱的一环,终端与边界安全应该是目前最被人们关注的两点,而内网安全,也就是交换机的职责,似乎却被很多人所忽视。

  我应该买台怎样的交换机呢?如果您非常在意成本,那非管理型产品将是您的首选,但这时内网对于每个人都是“大门敞开”,除了安全风险,由于这类产品不支持链路冗余,级联链路单点失效也会对网络造成较大的影响。所以,傻瓜型交换机虽然做到了低价易用,但往往并不是最佳的选择。

  交换机应当负责起内网的安全性与可靠性,前者依靠内网准入机制,后者依靠链路冗余,本次新品试用我们也将主要围绕这两个方面。啊!差点忘了介绍本文的主角,主角是思科近期推出的面向中小企业市场的千兆交换机系列中的一款——思科精睿(Cisco Small Business)SLM2024,其产品定位在中小型企业、网络边缘或大型企业的工作组,媒体报价3500元。

SLM2024
思科 SLM2024  图库  评测  论坛  报价  网购实价

SLM2024
在前面板的左侧可以看到RESET键和系统指示灯以及产品型号标识

  在试用之前我们大致先看一下SLM2024所具备的一特性。SLM2024提供了24个10/100/1000Mbps的RJ-45接头和2个共享千兆光纤小型封装热插拨(SFP)上行链路接口;交换容量为48Gbps,可实现无阻塞的双向千兆转发;采用全图形化WEB配置界面;常规功能像VLAN、QoS、IGMP、广播抑制等也是一应俱全。

  本次试用的主要关注点是网络的安全性与可靠性,就像前面所提到的,安全性主要是网络准入控制,依靠802.1x和port security,而可靠性主要是链路冗余,依靠STP和link aggregation,在这两方面,SLM2024的表现如何?请往下看:

网络准入控制与端口安全

  非管理型交换机无法实现网络准入控制。我们常见到这样的情景,任何人只要手中有一根网线,插入交换机,他的电脑就可以访问网络中的资源了,这其实存在很高的风险——如何区分公司内部电脑和外部电脑,管理员往往毫无办法。也许在以前这一问题并不突出,但随着笔记本的普及,交换机端口管理便成了一个无法忽视的问题。

  SLM2024支持802.1x和port security,前者配合radius验证可以很轻松的将非受权用户拒之门外,而后者可以在用户通过radius验证后,额外的再对端口提供另一层保护。

802.1x、Radius

  802.1x是IEEE为了解决基于端口的接入控制而定义的一个标准。802.1x认证由三部分组成:客户端、认证系统和认证服务器。在客户端和认证系统之间使用 802.1x协议进行通信,在认证系统和认证服务器之间使用RADIUS 协议进行通信。SLM2024在这里就像是个代理,而且控制着端口的开关,如果认证通过,端口将开放,客户机可以对网络进行访问,反之,即使用户插上的网线,网络也是不通的。

  SLM2024还提供了重新认证机制(Enable periodic reauthentication),当认证时间到达(默认3600秒),交换机发起重新认证,如果认证成功,用户可以继续使用网络,如果认证失败,用户将不能再使用网络。

SLM2024
802.1x配置

  要实现网络准入功能,SLM2024的设置方法很简单,主要分两步,一是设置端口状态(Status Port Control),二是配置radius服务器。我们在上图中开启了802.1x,接下来需要配置端口状态,共有三种状态,Auto、forceauthorized和forceunauthorized。Auto指端口根据认证成功与否开启或关闭相应端口,forceauthorized指端口始终打开,而不进行验证,forceunauthorized指端口始终关闭,不响应用户请求。默认为forceauthorized,我们将7、8两个端口修改成了Auto。第一步完成,非常简单。

 第二步,配置radius服务器,我们使用的是WinRadius。WinRadius的设置也很简单,全图形界面,有兴趣的网友可以在网上找到很多教程,这里不再赘述。

SLM2024
配置radius服务器

  接下来我们配置SLM2024端的radius设置。

SLM2024
配置radius参数

  配置radius参数只需要填写三部分,radius服务器地址,key String和本地交换机IP地址,这里的key string就是在配置radius服务器时使用的NAS密钥。radius服务器不仅可以用于802.1x认证,还可以用于登录SLM2024配置页时的认证(在usage type中选定)。到此SLM2024和radius服务器的配置工作就全部完成了,还差最后一点,PC机配置。

SLM2024
802.1x身份验证

  PC机配置仅需一步,Windows XP之后的系统都支持802.1x身份验证,在本地连接-->属性中我们只需将“选择网络身份验证方法”设置为“md5-质询”即可。全部配置完成,效果如何?我们只需将电脑的网线插入SLM2024的7或8端口就能看到。

  当把网线插入端口7时,XP给出了提示信息,在网络连接中,可以看到“本地连接6”正在进行身份验证。左下角的QQ正在试图登录。

SLM2024 SLM2024
身份认证中

SLM2024
点击提示信息,用户被告之需要输入用户名及密码

SLM2024 SLM2024
验证通过,端口已开放,IP地址获得成功,QQ登录成功

  通过简单的几步设置,借助SLM2024我们就实现了基本的网络准入控制。

port security

  SLM2024中的port security是个很实用的工具,它为网络准入提供了更进一步的控制。我们可以设想这样一个场景,用户A是本公司职员,自然也知道802.1x验证时所用的用户名和密码,这时如果他将个人的笔记本连入公司网络也是全完可以做到的,因为802.1x只验证用户身份,而不验证电脑的身份(MAC地址)。

SLM2024
设置port security

  设置port security很简单,管理员不用一个个的去录入每台PC的MAC地址,只需将Learning mode设置为Limited Dynamic Lock,SLM2024就可以自动学习并记录插入特定端口的主机MAC地址。Max Entries指记录MAC地址的数量,如果设置为2,SLM2024将记录前两个不同的MAC地址并认为这两个IP地址是合法的,比较严格的作法是将此值设置为1。Action on violation指如果端口检测到非法MAC地址,将采取何种操作——丢弃MAC帧、正常转发、关闭端口,我们选择的是关闭端口。

SLM2024 SLM2024

  我们将端口6上的网线拔下并插入测试电脑,结果端口就被关闭了,交换机上的指示灯完全没有反应,效果等同于物理断开,在右图中可以看到,端口实际处于挂起状态(suspended)。此时即使将正确的主机插入端口6,其依然处于挂起状态(用户无法激活),只有在SLM2024中使用Reactivate suspended port才可将端口激活。在实际使用中,“违反/关闭”也许有些过于严厉,“违反/丢弃”倒是更“实惠”的选择,因为这样既控制住了端口又不会为管理员带来额外的工作量。

链路冗余

  在组建网络时,我们除了要考虑安全性还要考虑可靠性,实现高可靠性一种最简单的方法就是在交换机之间部署一条以上的连接实现链路冗余,这可以很好的避免因单链路失效而导致一个接入节点整体失效。不过实现链路冗余,交换机必须具备一定机制来避免“广播风暴”,这种机制就是生成树协议(Spanning Tree Protocol)。STP协议应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。

  STP用于交换机之间,所以部署冗余链路两台交换机必须都支持STP。同时,STP是标准协议,不同品牌型号的产品只要支持该协议都可以被部署到STP网络中。

  我们简单搭建了一个STP网络环境,由两台设备组成,核心交换机是一台IP-COM的产品,SLM2024被当做接入层交换机。我们先看一下核心交换机上的配置:

SLM2024
核心交换机上的STP设置

  设置过程非常简单,仅需一步——将系统优先级设置为0。系统优先级数值越小在整个网络中这台交换机越有可能成为根桥(在STP网络中必须有一个根桥,通常为核心交换机),0表示最高的优先级。其它选项保持默认值即可。接下来我们看一下SLM2024上的设置:

SLM2024
无需任何修改,保持默认值即可

SLM2024
当我们用两条网线连接在交换机之间时,端口1被阻塞,端口2处于转发状态

SLM2024 SLM2024
拔掉端口2上的网线,网络大概中断了30秒钟后重新联通,端口1变为了转发状态

SLM2024 SLM2024
修改设置,缩短端口切换延时

  在大型网络中,为了保持STP结构的稳定,并不建议将老化时间及转发延时修改得过低,虽然这可以缩短端口切换延时。但小型网络环境结构相对简单,不妨优化一下,如上图我们将老化时间由20秒改为10秒,转发延时由15秒改为7秒,对比前后两张PING操作截图,效果还是比较明显的。

实现链路冗余,STP只是方法之一,SLM2024还提供了另一种更为方便的实现方式——Link aggregation。Link aggregation的设置方法也非常简单,SLM2024支持8条汇聚链路,设置方法如下:

SLM2024
Link aggregation设置

SLM2024
Link Aggregation可以做到在网线断开的瞬间网络完全无中断

  设置Link Aggregation只需选中相应端口,它们将共同属于一条冗余链路,同样的设置必须在两台交换机上进行,Link Aggregation的冗余效果可以做到连接完全无中断。另外,在配置时有一点要注意,参与Link Aggregation的相应端口应当关闭生成树协议(STP)。

其它实用功能介绍

SLM2024
SLM2024状态页

  在Summary页面可以直观的看到交换机端口的使用状况,绿色表示端口当前处于活动状态,点击相应图示可以直接进入端口设置页面,非常方便。

SLM2024
广播抑制

  网络中存在过多广播帧将大大降低整个网络的传输表现,因为无论网络大小,同一子网中的所有客户端都将对每一个广播帧做出回应,这对网络本身及客户端都是一种消耗,我们在设计网络时如何缩小广播域是必须要考虑的。SLM2024提供了广播抑制功能,一定程度上可以抑制恶意广播对网络造成Flood攻击。

PConline评测室总结

SLM2024
思科 SLM2024  图库  评测  论坛  报价  网购实价

  SLM2024可以作为中小型网络的核心交换机,24个1000Mbps端口与2个光电复用端口完全可以满足企业对网络灵活性和高速传输的需求,同时兼具易用性和安全性;在大型网络中,SLM2024作为高速的接入层设备,支持标准802.1Q协议,可实现跨交换机的VLAN,同时支持SPT,QoS,端口安全,802.1x等,功能上可谓大小通吃。价格方面,SLM2024的媒体报价为3500元,已经与同类产品非常接近,总体实力不容小觑。

  作为一款面向SMB市场的产品,虽然SLM2024具有出色的性价比,但产品本身没有本地化(汉化)不得不说是一个遗憾,希望在新版Firmware中得到改进。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/25491688/viewspace-694360/,如需转载,请注明出处,否则将追究法律责任。

上一篇: 没有了~
请登录后发表评论 登录
全部评论

注册时间:2011-05-03

  • 博文量
    6
  • 访问量
    5456