文丨邱 爽

（廣州珠江數(shù)碼集團有限公司，廣東廣州 510010）

核心交換機是放在網(wǎng)絡(luò)主干部分的交換機，一般在50臺機器以上就需要用到核心交換機，交換機作為企業(yè)網(wǎng)絡(luò)的樞紐部分，它的性能是保障網(wǎng)絡(luò)安全，穩(wěn)定性和速度的主要設(shè)備。核心交換機在網(wǎng)絡(luò)建設(shè)中具有非常重要的作用，對于中、小型企業(yè)來說，可以提高企業(yè)內(nèi)部的網(wǎng)絡(luò)容量和速度。

1 核心交換機的功能

核心交換機采用模塊化結(jié)構(gòu)，以適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)應(yīng)用，超大容量的背板帶寬和線速的轉(zhuǎn)發(fā)速率可以有效地保證數(shù)據(jù)的無阻塞傳輸。它具有強大的網(wǎng)絡(luò)管理功能，可以實現(xiàn)VLAN間的通信、優(yōu)先級隊列服務(wù)和網(wǎng)絡(luò)安全控制。同時，核心交換機的硬件冗余和軟件的可伸縮性，也保證網(wǎng)絡(luò)的可靠運行[1]。

2 核心交換機的安全控制

安全是交換機的基本功能，在企業(yè)內(nèi)部很多數(shù)據(jù)屬于保密性文件，所以企業(yè)內(nèi)部的網(wǎng)絡(luò)安全更為重要。

2.1 交換機自身的安全

核心交換機實際是一個為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計算機，但是只要是計算機就會有被攻擊的可能性，如果一些黑客非法入侵，造成網(wǎng)絡(luò)癱瘓，隨時有可能丟失數(shù)據(jù)。傳統(tǒng)交換機主要用于數(shù)據(jù)包的快速轉(zhuǎn)發(fā)，注重的是數(shù)據(jù)傳輸過程中的轉(zhuǎn)發(fā)性能，網(wǎng)絡(luò)安全就是目前企業(yè)中面臨的問題，對網(wǎng)絡(luò)中的重要數(shù)據(jù)進行保護，防止機密信息被泄露。

對于傳統(tǒng)的交換機來說加強其安全性是尤為重要的，在原有的基礎(chǔ)上加強交換機的安全性，這樣從網(wǎng)絡(luò)安全和用戶的角度出發(fā)，實現(xiàn)特定的安全策略，在交換機中嵌入安全模板增加交換機的防火墻和身份認證等功能[2]。

2.2 通過交換機實現(xiàn)網(wǎng)絡(luò)安全

安全性加強的交換機本身具有抗攻擊性，它有著良好的安全保護功能和智能性，在系統(tǒng)安全方面實現(xiàn)很好的安全機制，通過工程師對交換機內(nèi)部結(jié)構(gòu)的設(shè)定對網(wǎng)絡(luò)信息進行加密，防止外來入侵，使用安全機制接入，避免內(nèi)用網(wǎng)的網(wǎng)絡(luò)安全。

2.3 流量控制技術(shù)

對流經(jīng)端口的流量限制在一定的范圍內(nèi)，控制流量，可以實現(xiàn)端口保護和端口安全。流量控制功能用于交換機與交換機之間，以免發(fā)生傳輸數(shù)據(jù)異常時重要文件的丟失，對超過預(yù)定值的流量進行丟棄處理。但它也有著自身的弱點，就是難以區(qū)分正常流量和異常流量，只能對數(shù)據(jù)進行限制，沒有科學(xué)性[3]。

2.4 訪問控制

設(shè)定一個網(wǎng)絡(luò)資源出入的控制表，確保網(wǎng)絡(luò)設(shè)備不被非法訪問，交換機按照已經(jīng)制定好的規(guī)則對數(shù)據(jù)包進行處理，由于規(guī)則的實現(xiàn)具有順序性，因此規(guī)則之間的相對位置的設(shè)置就顯得尤為重要。在網(wǎng)絡(luò)世界中，外網(wǎng)有防火墻等專業(yè)的安全軟件來保護，但在內(nèi)網(wǎng)中還需要交換機在保護方面發(fā)揮作用。

2.5 安全的體系結(jié)構(gòu)

交換機的結(jié)構(gòu)體系決定其轉(zhuǎn)發(fā)性能和擴充能力，除交換機自身要具有全分布式體系結(jié)構(gòu)設(shè)計，還應(yīng)該具有非常出色的安全性能設(shè)計，可以應(yīng)付大規(guī)模、多業(yè)務(wù)、復(fù)雜流量的大規(guī)模網(wǎng)絡(luò)訪問。

3 網(wǎng)絡(luò)內(nèi)控管理系統(tǒng)

3.1 內(nèi)網(wǎng)管理存在的問題

（1）由于現(xiàn)在的電腦終端的用戶較多的使用的是XP或以上的系統(tǒng)，系統(tǒng)安全漏洞非常多，而電腦的運用著大都缺乏電腦的相關(guān)知識，不能對補丁采取安裝的安全，影響計算機的內(nèi)網(wǎng)安全。（2）有些內(nèi)網(wǎng)沒有加密，導(dǎo)致很多臨時訪問者訪問內(nèi)網(wǎng)資源，造成內(nèi)網(wǎng)信息的遺失。（3）內(nèi)部工作人員擅自將內(nèi)部的設(shè)計圖紙和信息通過各種方式傳送到外網(wǎng)，造成重要資料的丟失。（4）終端用戶由于感染病毒造成計算機癱瘓或數(shù)據(jù)丟失。（5）計算機用戶的劇增，而維護人員相對較少，管理和維護的壓力不斷增大。（6）內(nèi)部用戶不規(guī)范的使用行為，私自修改IP地址，隨意用移動儲存設(shè)備拷貝文件，擅自接入外網(wǎng)，應(yīng)用程序的隨意裝卸，造成計算機終端的不安全運行[4]。

3.2 內(nèi)網(wǎng)安全管理

要使得整個網(wǎng)絡(luò)安全，就需要構(gòu)建起一套統(tǒng)一的、可擴展的內(nèi)部安全系統(tǒng)，內(nèi)部安全系統(tǒng)是網(wǎng)絡(luò)安全的基礎(chǔ)，是實現(xiàn)管理電子化、自動化，可以在企業(yè)內(nèi)部實現(xiàn)安全管理工作。

（1）智能安全網(wǎng)管。智能安全網(wǎng)管為內(nèi)網(wǎng)的網(wǎng)絡(luò)管理和維護提供強大的支持平臺，是系統(tǒng)管理員理想的安全故障管理平臺。（2）內(nèi)網(wǎng)審計。通過對網(wǎng)絡(luò)流量的實時審計，控制用戶設(shè)定的安全控制策略，對受控對象的活動進行審計，采用基于主機和網(wǎng)絡(luò)相結(jié)合的手段實現(xiàn)網(wǎng)絡(luò)的控制管理。網(wǎng)絡(luò)管理人員為計算機終端的使用者提供檢查當前系統(tǒng)運行狀態(tài)的有效手段。（3）內(nèi)網(wǎng)監(jiān)控。安全管理核心平臺負責(zé)管理配置中心的監(jiān)控規(guī)則，根據(jù)需要設(shè)置規(guī)則，并向控制臺發(fā)出報警信息，對網(wǎng)絡(luò)訪問量進行控制，驗證網(wǎng)絡(luò)訪問者的身份。

4 核心交換機的選購原則

4.1 模塊化結(jié)構(gòu)

模塊化交換機也稱背板式交換機或機箱式交換機，價格較貴，但擁有更為強大的靈活性和可擴充性，用戶可選擇性較強，適應(yīng)面廣。模塊化交換機大都有很強的容錯能力，支持交換模塊冗余備份，具備可熱插拔雙電源，電力供應(yīng)充足。因此，作為網(wǎng)絡(luò)中樞的核心交換機，必須采用模塊。

4.2 三層交換機

第三層交換機具有路由功能，將IP地址信息用于網(wǎng)絡(luò)路徑選擇，并實現(xiàn)不同網(wǎng)段間數(shù)據(jù)的線速交換。當網(wǎng)絡(luò)規(guī)模足夠大，不得不劃分VLAN以減小廣播所造成的影響時，只有借助第三層交換機才能實現(xiàn)VLAN間的線速路由。另外，借助第三層交換機還可以設(shè)置訪問列表，限制VLAN間的訪問，保障敏感部門的安全。因此，作為核心交換機，必須選用第三層交換機。

4.3 企業(yè)需求

雖然高性能的中心交換機比比皆是，但并不意味著必須購買最好的設(shè)備，而應(yīng)當購買自己所需要的設(shè)備。應(yīng)該選擇那些能夠滿足網(wǎng)絡(luò)應(yīng)用需要的，除此之外，太高的性能和太大的擴展能力都將可惜地被閑置。除滿足現(xiàn)有需求外，還應(yīng)當在技術(shù)、性能和擴展性等方面適當超前，以適應(yīng)未來的發(fā)展。通常情況下，中心交換機的擴展能力和性能應(yīng)當略大于未來幾年內(nèi)網(wǎng)絡(luò)應(yīng)用和擴展的要求。

4.4 可靠性

對于中心交換機而言，對穩(wěn)定的要求高過對性能的要求。原因很簡單，如果網(wǎng)絡(luò)性能一般，但可提供安全、穩(wěn)定的服務(wù)，那么網(wǎng)絡(luò)運行就是正常的，用戶也會覺得是值得信賴的。盡管網(wǎng)絡(luò)帶寬很高、性能非常強勁、服務(wù)訪問特別舒服，但是經(jīng)常發(fā)生故障，導(dǎo)致服務(wù)器無法訪問、Internet無法共享，那么無論是誰都會對此失去信心。當在網(wǎng)絡(luò)上運行重要的應(yīng)用時，網(wǎng)絡(luò)癱瘓還將導(dǎo)致正常業(yè)務(wù)的中斷和重要數(shù)據(jù)的丟失。

4.5 最佳性價比

現(xiàn)在中心交換機產(chǎn)品中，美國產(chǎn)品以其性能強勁、運行穩(wěn)定、功能豐富而著稱，只是價格過于昂貴。我國國產(chǎn)產(chǎn)品雖然在一些參數(shù)上略遜一籌，但是擁有絕對的價格優(yōu)勢，具有中文管理界面，方便日常管理。所以如果局域網(wǎng)組建時偏重于性能，建議選擇高性能的產(chǎn)品，若注重價格，則建議選擇以華為為代表的國產(chǎn)產(chǎn)品。

4.6 安全性

注重交換機的網(wǎng)絡(luò)安全性，保護企業(yè)內(nèi)部資料信息，在網(wǎng)絡(luò)世界中，外網(wǎng)有防火墻等專業(yè)的安全軟件來保護，但在內(nèi)網(wǎng)中還需要交換機在保護方面發(fā)揮作用。

5 結(jié)語

在網(wǎng)絡(luò)時代的今天網(wǎng)絡(luò)系統(tǒng)安全就顯得尤為重要，必須對交換機進行必要的安全配置，應(yīng)用系統(tǒng)安全，在應(yīng)用系統(tǒng)安全上，注重企業(yè)內(nèi)部的管理，要使得整個網(wǎng)絡(luò)安全，就需要構(gòu)建起一套統(tǒng)一的、可擴展的內(nèi)部安全系統(tǒng)，內(nèi)部安全系統(tǒng)是網(wǎng)絡(luò)安全的基礎(chǔ)，是實現(xiàn)管理電子化、自動化，可以在企業(yè)內(nèi)部實現(xiàn)安全管理工作。

[1] 桑建青，企業(yè)網(wǎng)絡(luò)安全問題與對策淺析．青海民族學(xué)院學(xué)報，社會科學(xué)版，2008（4：）154-156．

[2] 陳錦花，網(wǎng)絡(luò)安全策略研究．商場現(xiàn)代化，2008（30）：120-121．

[3] Merike Kaeo．網(wǎng)絡(luò)安全性設(shè)計．北京：人民郵電出版社，2000.

[4] 黃世權(quán)．影響網(wǎng)絡(luò)安全的因素及其解決方案．甘肅科技，2004(12).