文丨邱 爽

（廣州珠江數(shù)碼集團(tuán)有限公司，廣東廣州 510010）

核心交換機(jī)是放在網(wǎng)絡(luò)主干部分的交換機(jī)，一般在50臺(tái)機(jī)器以上就需要用到核心交換機(jī)，交換機(jī)作為企業(yè)網(wǎng)絡(luò)的樞紐部分，它的性能是保障網(wǎng)絡(luò)安全，穩(wěn)定性和速度的主要設(shè)備。核心交換機(jī)在網(wǎng)絡(luò)建設(shè)中具有非常重要的作用，對(duì)于中、小型企業(yè)來(lái)說(shuō)，可以提高企業(yè)內(nèi)部的網(wǎng)絡(luò)容量和速度。

1 核心交換機(jī)的功能

核心交換機(jī)采用模塊化結(jié)構(gòu)，以適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)應(yīng)用，超大容量的背板帶寬和線速的轉(zhuǎn)發(fā)速率可以有效地保證數(shù)據(jù)的無(wú)阻塞傳輸。它具有強(qiáng)大的網(wǎng)絡(luò)管理功能，可以實(shí)現(xiàn)VLAN間的通信、優(yōu)先級(jí)隊(duì)列服務(wù)和網(wǎng)絡(luò)安全控制。同時(shí)，核心交換機(jī)的硬件冗余和軟件的可伸縮性，也保證網(wǎng)絡(luò)的可靠運(yùn)行[1]。

2 核心交換機(jī)的安全控制

安全是交換機(jī)的基本功能，在企業(yè)內(nèi)部很多數(shù)據(jù)屬于保密性文件，所以企業(yè)內(nèi)部的網(wǎng)絡(luò)安全更為重要。

2.1 交換機(jī)自身的安全

核心交換機(jī)實(shí)際是一個(gè)為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計(jì)算機(jī)，但是只要是計(jì)算機(jī)就會(huì)有被攻擊的可能性，如果一些黑客非法入侵，造成網(wǎng)絡(luò)癱瘓，隨時(shí)有可能丟失數(shù)據(jù)。傳統(tǒng)交換機(jī)主要用于數(shù)據(jù)包的快速轉(zhuǎn)發(fā)，注重的是數(shù)據(jù)傳輸過(guò)程中的轉(zhuǎn)發(fā)性能，網(wǎng)絡(luò)安全就是目前企業(yè)中面臨的問(wèn)題，對(duì)網(wǎng)絡(luò)中的重要數(shù)據(jù)進(jìn)行保護(hù)，防止機(jī)密信息被泄露。

對(duì)于傳統(tǒng)的交換機(jī)來(lái)說(shuō)加強(qiáng)其安全性是尤為重要的，在原有的基礎(chǔ)上加強(qiáng)交換機(jī)的安全性，這樣從網(wǎng)絡(luò)安全和用戶的角度出發(fā)，實(shí)現(xiàn)特定的安全策略，在交換機(jī)中嵌入安全模板增加交換機(jī)的防火墻和身份認(rèn)證等功能[2]。

2.2 通過(guò)交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)安全

安全性加強(qiáng)的交換機(jī)本身具有抗攻擊性，它有著良好的安全保護(hù)功能和智能性，在系統(tǒng)安全方面實(shí)現(xiàn)很好的安全機(jī)制，通過(guò)工程師對(duì)交換機(jī)內(nèi)部結(jié)構(gòu)的設(shè)定對(duì)網(wǎng)絡(luò)信息進(jìn)行加密，防止外來(lái)入侵，使用安全機(jī)制接入，避免內(nèi)用網(wǎng)的網(wǎng)絡(luò)安全。

2.3 流量控制技術(shù)

對(duì)流經(jīng)端口的流量限制在一定的范圍內(nèi)，控制流量，可以實(shí)現(xiàn)端口保護(hù)和端口安全。流量控制功能用于交換機(jī)與交換機(jī)之間，以免發(fā)生傳輸數(shù)據(jù)異常時(shí)重要文件的丟失，對(duì)超過(guò)預(yù)定值的流量進(jìn)行丟棄處理。但它也有著自身的弱點(diǎn)，就是難以區(qū)分正常流量和異常流量，只能對(duì)數(shù)據(jù)進(jìn)行限制，沒(méi)有科學(xué)性[3]。

2.4 訪問(wèn)控制

設(shè)定一個(gè)網(wǎng)絡(luò)資源出入的控制表，確保網(wǎng)絡(luò)設(shè)備不被非法訪問(wèn)，交換機(jī)按照已經(jīng)制定好的規(guī)則對(duì)數(shù)據(jù)包進(jìn)行處理，由于規(guī)則的實(shí)現(xiàn)具有順序性，因此規(guī)則之間的相對(duì)位置的設(shè)置就顯得尤為重要。在網(wǎng)絡(luò)世界中，外網(wǎng)有防火墻等專業(yè)的安全軟件來(lái)保護(hù)，但在內(nèi)網(wǎng)中還需要交換機(jī)在保護(hù)方面發(fā)揮作用。

2.5 安全的體系結(jié)構(gòu)

交換機(jī)的結(jié)構(gòu)體系決定其轉(zhuǎn)發(fā)性能和擴(kuò)充能力，除交換機(jī)自身要具有全分布式體系結(jié)構(gòu)設(shè)計(jì)，還應(yīng)該具有非常出色的安全性能設(shè)計(jì)，可以應(yīng)付大規(guī)模、多業(yè)務(wù)、復(fù)雜流量的大規(guī)模網(wǎng)絡(luò)訪問(wèn)。

3 網(wǎng)絡(luò)內(nèi)控管理系統(tǒng)

3.1 內(nèi)網(wǎng)管理存在的問(wèn)題

（1）由于現(xiàn)在的電腦終端的用戶較多的使用的是XP或以上的系統(tǒng)，系統(tǒng)安全漏洞非常多，而電腦的運(yùn)用著大都缺乏電腦的相關(guān)知識(shí)，不能對(duì)補(bǔ)丁采取安裝的安全，影響計(jì)算機(jī)的內(nèi)網(wǎng)安全。（2）有些內(nèi)網(wǎng)沒(méi)有加密，導(dǎo)致很多臨時(shí)訪問(wèn)者訪問(wèn)內(nèi)網(wǎng)資源，造成內(nèi)網(wǎng)信息的遺失。（3）內(nèi)部工作人員擅自將內(nèi)部的設(shè)計(jì)圖紙和信息通過(guò)各種方式傳送到外網(wǎng)，造成重要資料的丟失。（4）終端用戶由于感染病毒造成計(jì)算機(jī)癱瘓或數(shù)據(jù)丟失。（5）計(jì)算機(jī)用戶的劇增，而維護(hù)人員相對(duì)較少，管理和維護(hù)的壓力不斷增大。（6）內(nèi)部用戶不規(guī)范的使用行為，私自修改IP地址，隨意用移動(dòng)儲(chǔ)存設(shè)備拷貝文件，擅自接入外網(wǎng)，應(yīng)用程序的隨意裝卸，造成計(jì)算機(jī)終端的不安全運(yùn)行[4]。

3.2 內(nèi)網(wǎng)安全管理

要使得整個(gè)網(wǎng)絡(luò)安全，就需要構(gòu)建起一套統(tǒng)一的、可擴(kuò)展的內(nèi)部安全系統(tǒng)，內(nèi)部安全系統(tǒng)是網(wǎng)絡(luò)安全的基礎(chǔ)，是實(shí)現(xiàn)管理電子化、自動(dòng)化，可以在企業(yè)內(nèi)部實(shí)現(xiàn)安全管理工作。

（1）智能安全網(wǎng)管。智能安全網(wǎng)管為內(nèi)網(wǎng)的網(wǎng)絡(luò)管理和維護(hù)提供強(qiáng)大的支持平臺(tái)，是系統(tǒng)管理員理想的安全故障管理平臺(tái)。（2）內(nèi)網(wǎng)審計(jì)。通過(guò)對(duì)網(wǎng)絡(luò)流量的實(shí)時(shí)審計(jì)，控制用戶設(shè)定的安全控制策略，對(duì)受控對(duì)象的活動(dòng)進(jìn)行審計(jì)，采用基于主機(jī)和網(wǎng)絡(luò)相結(jié)合的手段實(shí)現(xiàn)網(wǎng)絡(luò)的控制管理。網(wǎng)絡(luò)管理人員為計(jì)算機(jī)終端的使用者提供檢查當(dāng)前系統(tǒng)運(yùn)行狀態(tài)的有效手段。（3）內(nèi)網(wǎng)監(jiān)控。安全管理核心平臺(tái)負(fù)責(zé)管理配置中心的監(jiān)控規(guī)則，根據(jù)需要設(shè)置規(guī)則，并向控制臺(tái)發(fā)出報(bào)警信息，對(duì)網(wǎng)絡(luò)訪問(wèn)量進(jìn)行控制，驗(yàn)證網(wǎng)絡(luò)訪問(wèn)者的身份。

4 核心交換機(jī)的選購(gòu)原則

4.1 模塊化結(jié)構(gòu)

模塊化交換機(jī)也稱背板式交換機(jī)或機(jī)箱式交換機(jī)，價(jià)格較貴，但擁有更為強(qiáng)大的靈活性和可擴(kuò)充性，用戶可選擇性較強(qiáng)，適應(yīng)面廣。模塊化交換機(jī)大都有很強(qiáng)的容錯(cuò)能力，支持交換模塊冗余備份，具備可熱插拔雙電源，電力供應(yīng)充足。因此，作為網(wǎng)絡(luò)中樞的核心交換機(jī)，必須采用模塊。

4.2 三層交換機(jī)

第三層交換機(jī)具有路由功能，將IP地址信息用于網(wǎng)絡(luò)路徑選擇，并實(shí)現(xiàn)不同網(wǎng)段間數(shù)據(jù)的線速交換。當(dāng)網(wǎng)絡(luò)規(guī)模足夠大，不得不劃分VLAN以減小廣播所造成的影響時(shí)，只有借助第三層交換機(jī)才能實(shí)現(xiàn)VLAN間的線速路由。另外，借助第三層交換機(jī)還可以設(shè)置訪問(wèn)列表，限制VLAN間的訪問(wèn)，保障敏感部門的安全。因此，作為核心交換機(jī)，必須選用第三層交換機(jī)。

4.3 企業(yè)需求

雖然高性能的中心交換機(jī)比比皆是，但并不意味著必須購(gòu)買最好的設(shè)備，而應(yīng)當(dāng)購(gòu)買自己所需要的設(shè)備。應(yīng)該選擇那些能夠滿足網(wǎng)絡(luò)應(yīng)用需要的，除此之外，太高的性能和太大的擴(kuò)展能力都將可惜地被閑置。除滿足現(xiàn)有需求外，還應(yīng)當(dāng)在技術(shù)、性能和擴(kuò)展性等方面適當(dāng)超前，以適應(yīng)未來(lái)的發(fā)展。通常情況下，中心交換機(jī)的擴(kuò)展能力和性能應(yīng)當(dāng)略大于未來(lái)幾年內(nèi)網(wǎng)絡(luò)應(yīng)用和擴(kuò)展的要求。

4.4 可靠性

對(duì)于中心交換機(jī)而言，對(duì)穩(wěn)定的要求高過(guò)對(duì)性能的要求。原因很簡(jiǎn)單，如果網(wǎng)絡(luò)性能一般，但可提供安全、穩(wěn)定的服務(wù)，那么網(wǎng)絡(luò)運(yùn)行就是正常的，用戶也會(huì)覺(jué)得是值得信賴的。盡管網(wǎng)絡(luò)帶寬很高、性能非常強(qiáng)勁、服務(wù)訪問(wèn)特別舒服，但是經(jīng)常發(fā)生故障，導(dǎo)致服務(wù)器無(wú)法訪問(wèn)、Internet無(wú)法共享，那么無(wú)論是誰(shuí)都會(huì)對(duì)此失去信心。當(dāng)在網(wǎng)絡(luò)上運(yùn)行重要的應(yīng)用時(shí)，網(wǎng)絡(luò)癱瘓還將導(dǎo)致正常業(yè)務(wù)的中斷和重要數(shù)據(jù)的丟失。

4.5 最佳性價(jià)比

現(xiàn)在中心交換機(jī)產(chǎn)品中，美國(guó)產(chǎn)品以其性能強(qiáng)勁、運(yùn)行穩(wěn)定、功能豐富而著稱，只是價(jià)格過(guò)于昂貴。我國(guó)國(guó)產(chǎn)產(chǎn)品雖然在一些參數(shù)上略遜一籌，但是擁有絕對(duì)的價(jià)格優(yōu)勢(shì)，具有中文管理界面，方便日常管理。所以如果局域網(wǎng)組建時(shí)偏重于性能，建議選擇高性能的產(chǎn)品，若注重價(jià)格，則建議選擇以華為為代表的國(guó)產(chǎn)產(chǎn)品。

4.6 安全性

注重交換機(jī)的網(wǎng)絡(luò)安全性，保護(hù)企業(yè)內(nèi)部資料信息，在網(wǎng)絡(luò)世界中，外網(wǎng)有防火墻等專業(yè)的安全軟件來(lái)保護(hù)，但在內(nèi)網(wǎng)中還需要交換機(jī)在保護(hù)方面發(fā)揮作用。

5 結(jié)語(yǔ)

在網(wǎng)絡(luò)時(shí)代的今天網(wǎng)絡(luò)系統(tǒng)安全就顯得尤為重要，必須對(duì)交換機(jī)進(jìn)行必要的安全配置，應(yīng)用系統(tǒng)安全，在應(yīng)用系統(tǒng)安全上，注重企業(yè)內(nèi)部的管理，要使得整個(gè)網(wǎng)絡(luò)安全，就需要構(gòu)建起一套統(tǒng)一的、可擴(kuò)展的內(nèi)部安全系統(tǒng)，內(nèi)部安全系統(tǒng)是網(wǎng)絡(luò)安全的基礎(chǔ)，是實(shí)現(xiàn)管理電子化、自動(dòng)化，可以在企業(yè)內(nèi)部實(shí)現(xiàn)安全管理工作。

[1] 桑建青，企業(yè)網(wǎng)絡(luò)安全問(wèn)題與對(duì)策淺析．青海民族學(xué)院學(xué)報(bào)，社會(huì)科學(xué)版，2008（4：）154-156．

[2] 陳錦花，網(wǎng)絡(luò)安全策略研究．商場(chǎng)現(xiàn)代化，2008（30）：120-121．

[3] Merike Kaeo．網(wǎng)絡(luò)安全性設(shè)計(jì)．北京：人民郵電出版社，2000.

[4] 黃世權(quán)．影響網(wǎng)絡(luò)安全的因素及其解決方案．甘肅科技，2004(12).