許多的二層交換機(jī)能夠處理基于從二層到四層的數(shù)據(jù)包流，這樣大大提高了交換機(jī)的服務(wù)質(zhì)量和網(wǎng)絡(luò)安全策略，而其中局域網(wǎng)和企業(yè)內(nèi)部網(wǎng)絡(luò)當(dāng)中的安全性更是成為焦點(diǎn)。

作為網(wǎng)絡(luò)中應(yīng)用最為廣泛的交換機(jī)，如何能開發(fā)其安全特性以有效的保護(hù)對(duì)網(wǎng)絡(luò)的訪問，一些組織和廠商也紛紛提出自己的安全策略。例如現(xiàn)在通過多層交換機(jī)特性來提高網(wǎng)絡(luò)的安全和對(duì)帶寬的控制已經(jīng)相當(dāng)?shù)钠毡椤?/p>

二層的以太網(wǎng)在大多數(shù)的商業(yè)和其他的組織中是局域網(wǎng)訪問的最重要的網(wǎng)絡(luò)，所以二層交換機(jī)的廠商不斷的增強(qiáng)交換機(jī)的智能性。這種智能交換機(jī)可以以IP地址查找數(shù)據(jù)包，這些數(shù)據(jù)包存在于網(wǎng)絡(luò)的三層或者四層當(dāng)中。

許多的二層交換機(jī)能夠處理基于從二層到四層的數(shù)據(jù)包流，這樣大大提高了交換機(jī)的服務(wù)質(zhì)量和網(wǎng)絡(luò)安全策略。BMCPowerTrix系列交換機(jī)產(chǎn)品當(dāng)中就包含了這些增強(qiáng)的安全特性。

在網(wǎng)絡(luò)設(shè)備廠商看來，加強(qiáng)安全性的交換機(jī)是對(duì)普通交換機(jī)的升級(jí)和完善，除了具備一般的功能外，這種交換機(jī)還具備普通交換機(jī)所不具有的安全策略功能。這種交換機(jī)從網(wǎng)絡(luò)安全和用戶業(yè)務(wù)應(yīng)用出發(fā)，能夠?qū)崿F(xiàn)特定的安全策略，限制非法訪問，進(jìn)行事后分析，有效保障用戶網(wǎng)絡(luò)業(yè)務(wù)的正常開展。

實(shí)現(xiàn)安全性的一種作法就是在現(xiàn)有交換機(jī)中嵌入各種安全模塊。現(xiàn)在，越來越多的用戶都表示希望二層交換機(jī)中增加防火墻、VPN、數(shù)據(jù)加密、身份認(rèn)證等功能。下面就介紹幾種BMC的二層交換機(jī)的安全策略。

一、802.1x標(biāo)準(zhǔn)

作為一種局域網(wǎng)的安全特性802.1x可能仍然有許多的用戶不是非常了解。并且網(wǎng)絡(luò)的設(shè)計(jì)者和管理者通常不是非常廣泛的應(yīng)用這種授權(quán)標(biāo)準(zhǔn)。原因非常簡(jiǎn)單802.1x依賴于WindowsXP客戶端，唯一的支持這種技術(shù)的Windows桌面操作系統(tǒng)。

IEEE802.1x協(xié)議是一個(gè)把網(wǎng)絡(luò)設(shè)備授權(quán)給客戶的標(biāo)準(zhǔn)。它替代了局域網(wǎng)的目錄，例如微軟的活動(dòng)目錄等。一些安全專家表示，這是一個(gè)更加有效的保護(hù)局域網(wǎng)安全的措施，因?yàn)橐恍┎荒艿顷懩夸浄?wù)器的客戶通常都能夠發(fā)現(xiàn)并使用網(wǎng)絡(luò)資源，如打印機(jī)，沒有安全共享的存儲(chǔ)器和對(duì)因特網(wǎng)的訪問。

二、流量控制技術(shù)

把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。許多二層交換機(jī)具有基于端口的流量控制功能，能夠?qū)崿F(xiàn)風(fēng)暴控制、端口保護(hù)和端口安全。流量控制功能用于交換機(jī)與交換機(jī)之間在發(fā)生擁塞時(shí)通知對(duì)方暫時(shí)停止發(fā)送數(shù)據(jù)包，以避免報(bào)文丟失。廣播風(fēng)暴抑制可以限制廣播流量的大小，對(duì)超過設(shè)定值的廣播流量進(jìn)行丟棄處理。

三、訪問控制列表(ACL)技術(shù)

ACL通過對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問輸入和輸出控制，確保網(wǎng)絡(luò)設(shè)備不被非法訪問或被用作攻擊跳板。ACL是一張規(guī)則表，二層交換機(jī)按照順序執(zhí)行這些規(guī)則，并且處理每一個(gè)進(jìn)入端口的數(shù)據(jù)包。

每條規(guī)則根據(jù)數(shù)據(jù)包的屬性(如源地址、目的地址和協(xié)議)要么允許、要么拒絕數(shù)據(jù)包通過。由于規(guī)則是按照一定順序處理的，因此每條規(guī)則的相對(duì)位置對(duì)于確定允許和不允許什么樣的數(shù)據(jù)包通過網(wǎng)絡(luò)至關(guān)重要。

四、ARP攻擊防護(hù)技術(shù)

ARP欺騙攻擊、ARPFlood攻擊是利用ARP地址解析過程中的信任機(jī)制來進(jìn)行偽裝和欺騙攻擊等，造成網(wǎng)絡(luò)中部分主機(jī)或者全部主機(jī)的無(wú)法訪問網(wǎng)絡(luò)。ARP攻擊防護(hù)技術(shù)就是從各種攻擊手段的原理出發(fā)。

在二層交換機(jī)上提供多種防欺騙、防掃描的技術(shù)，例如BMC二層交換機(jī)采用的ARPGuard、Anti-arpscan、FreeARP發(fā)送、AM訪問管理等技術(shù)實(shí)現(xiàn)來很好的解決多種ARP攻擊防護(hù)。

五、虛擬局域網(wǎng)(VLAN)技術(shù)

虛擬局域網(wǎng)是人們非常熟悉的一個(gè)二層交換機(jī)功能。也是應(yīng)用廣泛的一個(gè)安全策略。虛擬局域網(wǎng)絡(luò)是指在交換局域網(wǎng)的基礎(chǔ)上， 采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處 于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。

從技術(shù)角度講，VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法：1、基于端口的VLAN劃分，2、基于MAC地址的VLAN劃分，3、基于路由的VLAN劃分。就目前來說，對(duì)于VLAN的劃分主要采取上述第1、3種方式。

通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。而且通過對(duì)VLAN的創(chuàng)建。

隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。對(duì)于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個(gè)VLAN可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。這樣也使的網(wǎng)絡(luò)管理變的簡(jiǎn)單、直觀。