掌握交换机设定秘籍守护网络安全

统的日志记录整合到集中的储存库中。

设定watchdog

watchdog通过设定一个计时器，如果设定的时间间隔内计时器没有重启，则生成一个内在CPU重启指令，使设备重新启动，这一功能可使交换机在紧急故障或意外情况下时可智能自动重启，保障网络的安全运行。

硬件watchdog比软件watchdog有更好的可靠性。软件watchdog基于内核的定时器实现，当内核或中断出现异常时，软件watchdog将会失效。而硬件watchdog由自身的硬件电路控制， 独立于内核。无论当前系统状态如何，硬件watchdog在设定的时间间隔内没有被执行写操作，仍会重新启动系统。

秘籍五：查看是否可通过双镜像文件恢复

现在一些新型的交换机已经具备了双映像文件，这一功能可保护设备在异常情况下(固件升级失败等)仍然可正常启动运行。

交换机文件系统分majoy和mirror两部分进行保存，如果一个文件系统损害或中断，另外一个文件系统会将其重写，如果两个文件系统都损害，则设备会清除两个文件系统并重写为出厂时默认设置，确保系统安全启动运行。

秘籍六：限制流量控制

通过交换机的流量控制功能，可以把流经端口的异常流量限制在一定的范围内。

例如，思科交换机具有基于端口的流量控制功能，能够实现风暴控制、端口保护和端口安全。

风暴控制能够缓解单播、广播或组播包导致的网络变慢，通过对不同种类流量设定一个阈值，交换机在端口流量达到设定值时启动流量控制功能甚至将端口宕掉。

端口保护类似于端口隔离，设置了端口保护功能的端口之间不交换任何流量。

端口安全是对未经许可的地址进行端口级的访问限制。现在华为交换机也提供流量控制和广播风暴抑制比等端口控制功能。

流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包，以避免报文丢失。广播风暴抑制可以限制广播流量的大小，对超过设定值的广播流量进行丢弃处理。

不过，交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制，将广播、组播的异常流量限制在一定的范围内，而无法区分哪些是正常流量，哪些是异常流量。同时，如何设定一个合适的阈值也比较困难。如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表 )。

ACL利用IP地址、TCP/UDP端口等对进出交换机的报文进行过滤，根据预设条件，对报文做出允许转发或阻塞的决定。思科和华为的交换机均支持IP ACL和MAC ACL，每种ACL分别支持标准格式和扩展格式。标准格式的ACL根据源地址和上层协议类型进行过滤，扩展格式的ACL根据源地址、目的地址以及上层协议类型进行过滤。

通过细分不同的网络流量，企业用户可以针对性地对异常流量分别进行控制。如通过IP报文的协议字段控制单播类异常流量，通过以太帧的协议字段控制广播类异常报文，通过IP目的地址段控制组播类报文。除了这些控制手段之外，网络管理员还需要经常注意网络异常流量，及时定位异常流量的源主机，并且排除故障。

交换机的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机带宽的异常负荷，并可提高系统的整体效能，保持网络安全稳定的运行。

总结：掌握配置秘籍 轻松防护

交换机产品是企业数据传输的中转枢纽，它的安全设置直接关系到企业网络传输的稳定安全。现在为了应对更加复杂的网络环境，在安全设计上交换机产品也都配置有相当丰富的安全功能，因此我们只需充分利用这些网络安全设置功能，进行合理的组合搭配，就可为企业网络搭建一层安全的防护屏障。

虽然对于多数企网的高安全需求，企业仍需添加更为专业的网络安全设备，但对于交换机的防护设置，既可轻松增加企业网络的安全性，又可为一些中小企业或网吧业主在网络设备投入上节约成本，何乐而不为呢，因此一起来了解掌握交换机配置秘籍，进行轻松地防护吧。