文丨邱 爽

（廣州珠江數(shù)碼集團(tuán)有限公司，廣東廣州 510010）

核心交換機(jī)是放在網(wǎng)絡(luò)主干部分的交換機(jī)，一般在50臺機(jī)器以上就需要用到核心交換機(jī)，交換機(jī)作為企業(yè)網(wǎng)絡(luò)的樞紐部分，它的性能是保障網(wǎng)絡(luò)安全，穩(wěn)定性和速度的主要設(shè)備。核心交換機(jī)在網(wǎng)絡(luò)建設(shè)中具有非常重要的作用，對于中、小型企業(yè)來說，可以提高企業(yè)內(nèi)部的網(wǎng)絡(luò)容量和速度。

1 核心交換機(jī)的功能

核心交換機(jī)采用模塊化結(jié)構(gòu)，以適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)應(yīng)用，超大容量的背板帶寬和線速的轉(zhuǎn)發(fā)速率可以有效地保證數(shù)據(jù)的無阻塞傳輸。它具有強(qiáng)大的網(wǎng)絡(luò)管理功能，可以實(shí)現(xiàn)VLAN間的通信、優(yōu)先級隊(duì)列服務(wù)和網(wǎng)絡(luò)安全控制。同時(shí)，核心交換機(jī)的硬件冗余和軟件的可伸縮性，也保證網(wǎng)絡(luò)的可靠運(yùn)行[1]。

2 核心交換機(jī)的安全控制

安全是交換機(jī)的基本功能，在企業(yè)內(nèi)部很多數(shù)據(jù)屬于保密性文件，所以企業(yè)內(nèi)部的網(wǎng)絡(luò)安全更為重要。

2.1 交換機(jī)自身的安全

核心交換機(jī)實(shí)際是一個為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計(jì)算機(jī)，但是只要是計(jì)算機(jī)就會有被攻擊的可能性，如果一些黑客非法入侵，造成網(wǎng)絡(luò)癱瘓，隨時(shí)有可能丟失數(shù)據(jù)。傳統(tǒng)交換機(jī)主要用于數(shù)據(jù)包的快速轉(zhuǎn)發(fā)，注重的是數(shù)據(jù)傳輸過程中的轉(zhuǎn)發(fā)性能，網(wǎng)絡(luò)安全就是目前企業(yè)中面臨的問題，對網(wǎng)絡(luò)中的重要數(shù)據(jù)進(jìn)行保護(hù)，防止機(jī)密信息被泄露。

對于傳統(tǒng)的交換機(jī)來說加強(qiáng)其安全性是尤為重要的，在原有的基礎(chǔ)上加強(qiáng)交換機(jī)的安全性，這樣從網(wǎng)絡(luò)安全和用戶的角度出發(fā)，實(shí)現(xiàn)特定的安全策略，在交換機(jī)中嵌入安全模板增加交換機(jī)的防火墻和身份認(rèn)證等功能[2]。

2.2 通過交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)安全

安全性加強(qiáng)的交換機(jī)本身具有抗攻擊性，它有著良好的安全保護(hù)功能和智能性，在系統(tǒng)安全方面實(shí)現(xiàn)很好的安全機(jī)制，通過工程師對交換機(jī)內(nèi)部結(jié)構(gòu)的設(shè)定對網(wǎng)絡(luò)信息進(jìn)行加密，防止外來入侵，使用安全機(jī)制接入，避免內(nèi)用網(wǎng)的網(wǎng)絡(luò)安全。

2.3 流量控制技術(shù)

對流經(jīng)端口的流量限制在一定的范圍內(nèi)，控制流量，可以實(shí)現(xiàn)端口保護(hù)和端口安全。流量控制功能用于交換機(jī)與交換機(jī)之間，以免發(fā)生傳輸數(shù)據(jù)異常時(shí)重要文件的丟失，對超過預(yù)定值的流量進(jìn)行丟棄處理。但它也有著自身的弱點(diǎn)，就是難以區(qū)分正常流量和異常流量，只能對數(shù)據(jù)進(jìn)行限制，沒有科學(xué)性[3]。

2.4 訪問控制

設(shè)定一個網(wǎng)絡(luò)資源出入的控制表，確保網(wǎng)絡(luò)設(shè)備不被非法訪問，交換機(jī)按照已經(jīng)制定好的規(guī)則對數(shù)據(jù)包進(jìn)行處理，由于規(guī)則的實(shí)現(xiàn)具有順序性，因此規(guī)則之間的相對位置的設(shè)置就顯得尤為重要。在網(wǎng)絡(luò)世界中，外網(wǎng)有防火墻等專業(yè)的安全軟件來保護(hù)，但在內(nèi)網(wǎng)中還需要交換機(jī)在保護(hù)方面發(fā)揮作用。

2.5 安全的體系結(jié)構(gòu)

交換機(jī)的結(jié)構(gòu)體系決定其轉(zhuǎn)發(fā)性能和擴(kuò)充能力，除交換機(jī)自身要具有全分布式體系結(jié)構(gòu)設(shè)計(jì)，還應(yīng)該具有非常出色的安全性能設(shè)計(jì)，可以應(yīng)付大規(guī)模、多業(yè)務(wù)、復(fù)雜流量的大規(guī)模網(wǎng)絡(luò)訪問。

3 網(wǎng)絡(luò)內(nèi)控管理系統(tǒng)

3.1 內(nèi)網(wǎng)管理存在的問題

（1）由于現(xiàn)在的電腦終端的用戶較多的使用的是XP或以上的系統(tǒng)，系統(tǒng)安全漏洞非常多，而電腦的運(yùn)用著大都缺乏電腦的相關(guān)知識，不能對補(bǔ)丁采取安裝的安全，影響計(jì)算機(jī)的內(nèi)網(wǎng)安全。（2）有些內(nèi)網(wǎng)沒有加密，導(dǎo)致很多臨時(shí)訪問者訪問內(nèi)網(wǎng)資源，造成內(nèi)網(wǎng)信息的遺失。（3）內(nèi)部工作人員擅自將內(nèi)部的設(shè)計(jì)圖紙和信息通過各種方式傳送到外網(wǎng)，造成重要資料的丟失。（4）終端用戶由于感染病毒造成計(jì)算機(jī)癱瘓或數(shù)據(jù)丟失。（5）計(jì)算機(jī)用戶的劇增，而維護(hù)人員相對較少，管理和維護(hù)的壓力不斷增大。（6）內(nèi)部用戶不規(guī)范的使用行為，私自修改IP地址，隨意用移動儲存設(shè)備拷貝文件，擅自接入外網(wǎng)，應(yīng)用程序的隨意裝卸，造成計(jì)算機(jī)終端的不安全運(yùn)行[4]。

3.2 內(nèi)網(wǎng)安全管理

要使得整個網(wǎng)絡(luò)安全，就需要構(gòu)建起一套統(tǒng)一的、可擴(kuò)展的內(nèi)部安全系統(tǒng)，內(nèi)部安全系統(tǒng)是網(wǎng)絡(luò)安全的基礎(chǔ)，是實(shí)現(xiàn)管理電子化、自動化，可以在企業(yè)內(nèi)部實(shí)現(xiàn)安全管理工作。

（1）智能安全網(wǎng)管。智能安全網(wǎng)管為內(nèi)網(wǎng)的網(wǎng)絡(luò)管理和維護(hù)提供強(qiáng)大的支持平臺，是系統(tǒng)管理員理想的安全故障管理平臺。（2）內(nèi)網(wǎng)審計(jì)。通過對網(wǎng)絡(luò)流量的實(shí)時(shí)審計(jì)，控制用戶設(shè)定的安全控制策略，對受控對象的活動進(jìn)行審計(jì)，采用基于主機(jī)和網(wǎng)絡(luò)相結(jié)合的手段實(shí)現(xiàn)網(wǎng)絡(luò)的控制管理。網(wǎng)絡(luò)管理人員為計(jì)算機(jī)終端的使用者提供檢查當(dāng)前系統(tǒng)運(yùn)行狀態(tài)的有效手段。（3）內(nèi)網(wǎng)監(jiān)控。安全管理核心平臺負(fù)責(zé)管理配置中心的監(jiān)控規(guī)則，根據(jù)需要設(shè)置規(guī)則，并向控制臺發(fā)出報(bào)警信息，對網(wǎng)絡(luò)訪問量進(jìn)行控制，驗(yàn)證網(wǎng)絡(luò)訪問者的身份。

4 核心交換機(jī)的選購原則

4.1 模塊化結(jié)構(gòu)

模塊化交換機(jī)也稱背板式交換機(jī)或機(jī)箱式交換機(jī)，價(jià)格較貴，但擁有更為強(qiáng)大的靈活性和可擴(kuò)充性，用戶可選擇性較強(qiáng)，適應(yīng)面廣。模塊化交換機(jī)大都有很強(qiáng)的容錯能力，支持交換模塊冗余備份，具備可熱插拔雙電源，電力供應(yīng)充足。因此，作為網(wǎng)絡(luò)中樞的核心交換機(jī)，必須采用模塊。

4.2 三層交換機(jī)

第三層交換機(jī)具有路由功能，將IP地址信息用于網(wǎng)絡(luò)路徑選擇，并實(shí)現(xiàn)不同網(wǎng)段間數(shù)據(jù)的線速交換。當(dāng)網(wǎng)絡(luò)規(guī)模足夠大，不得不劃分VLAN以減小廣播所造成的影響時(shí)，只有借助第三層交換機(jī)才能實(shí)現(xiàn)VLAN間的線速路由。另外，借助第三層交換機(jī)還可以設(shè)置訪問列表，限制VLAN間的訪問，保障敏感部門的安全。因此，作為核心交換機(jī)，必須選用第三層交換機(jī)。

4.3 企業(yè)需求

雖然高性能的中心交換機(jī)比比皆是，但并不意味著必須購買最好的設(shè)備，而應(yīng)當(dāng)購買自己所需要的設(shè)備。應(yīng)該選擇那些能夠滿足網(wǎng)絡(luò)應(yīng)用需要的，除此之外，太高的性能和太大的擴(kuò)展能力都將可惜地被閑置。除滿足現(xiàn)有需求外，還應(yīng)當(dāng)在技術(shù)、性能和擴(kuò)展性等方面適當(dāng)超前，以適應(yīng)未來的發(fā)展。通常情況下，中心交換機(jī)的擴(kuò)展能力和性能應(yīng)當(dāng)略大于未來幾年內(nèi)網(wǎng)絡(luò)應(yīng)用和擴(kuò)展的要求。

4.4 可靠性

對于中心交換機(jī)而言，對穩(wěn)定的要求高過對性能的要求。原因很簡單，如果網(wǎng)絡(luò)性能一般，但可提供安全、穩(wěn)定的服務(wù)，那么網(wǎng)絡(luò)運(yùn)行就是正常的，用戶也會覺得是值得信賴的。盡管網(wǎng)絡(luò)帶寬很高、性能非常強(qiáng)勁、服務(wù)訪問特別舒服，但是經(jīng)常發(fā)生故障，導(dǎo)致服務(wù)器無法訪問、Internet無法共享，那么無論是誰都會對此失去信心。當(dāng)在網(wǎng)絡(luò)上運(yùn)行重要的應(yīng)用時(shí)，網(wǎng)絡(luò)癱瘓還將導(dǎo)致正常業(yè)務(wù)的中斷和重要數(shù)據(jù)的丟失。

4.5 最佳性價(jià)比

現(xiàn)在中心交換機(jī)產(chǎn)品中，美國產(chǎn)品以其性能強(qiáng)勁、運(yùn)行穩(wěn)定、功能豐富而著稱，只是價(jià)格過于昂貴。我國國產(chǎn)產(chǎn)品雖然在一些參數(shù)上略遜一籌，但是擁有絕對的價(jià)格優(yōu)勢，具有中文管理界面，方便日常管理。所以如果局域網(wǎng)組建時(shí)偏重于性能，建議選擇高性能的產(chǎn)品，若注重價(jià)格，則建議選擇以華為為代表的國產(chǎn)產(chǎn)品。

4.6 安全性

注重交換機(jī)的網(wǎng)絡(luò)安全性，保護(hù)企業(yè)內(nèi)部資料信息，在網(wǎng)絡(luò)世界中，外網(wǎng)有防火墻等專業(yè)的安全軟件來保護(hù)，但在內(nèi)網(wǎng)中還需要交換機(jī)在保護(hù)方面發(fā)揮作用。

5 結(jié)語

在網(wǎng)絡(luò)時(shí)代的今天網(wǎng)絡(luò)系統(tǒng)安全就顯得尤為重要，必須對交換機(jī)進(jìn)行必要的安全配置，應(yīng)用系統(tǒng)安全，在應(yīng)用系統(tǒng)安全上，注重企業(yè)內(nèi)部的管理，要使得整個網(wǎng)絡(luò)安全，就需要構(gòu)建起一套統(tǒng)一的、可擴(kuò)展的內(nèi)部安全系統(tǒng)，內(nèi)部安全系統(tǒng)是網(wǎng)絡(luò)安全的基礎(chǔ)，是實(shí)現(xiàn)管理電子化、自動化，可以在企業(yè)內(nèi)部實(shí)現(xiàn)安全管理工作。

[1] 桑建青，企業(yè)網(wǎng)絡(luò)安全問題與對策淺析．青海民族學(xué)院學(xué)報(bào)，社會科學(xué)版，2008（4：）154-156．

[2] 陳錦花，網(wǎng)絡(luò)安全策略研究．商場現(xiàn)代化，2008（30）：120-121．

[3] Merike Kaeo．網(wǎng)絡(luò)安全性設(shè)計(jì)．北京：人民郵電出版社，2000.

[4] 黃世權(quán)．影響網(wǎng)絡(luò)安全的因素及其解決方案．甘肅科技，2004(12).