¦p¦ó让ÊI络坚¤£¥iºR ¥æ换Éó¦w¥þ¤»则
±z¬O²Ä
133ÓÂsÄýªÌ
¦p¦ó过滤¥Î户³q讯¡A«O»Ù¦w¥þ¦³®Äªº数Õu转发¡H¦p¦óªý挡«Dªk¥Î户¡A«O»ÙÊI络¦w¥þ应¥Î¡H¦p¦ó进¦æ¦w¥þÊIºÞ¡A¤Î时发现ÊI络«Dªk¥Î户¡B«Dªk¦æ为¤Î远µ{ÊIºÞ«H®§ªº¦w¥þ©Ê©O¡H这¨½§Ú们总结¤F6 条ªñ´Á¥æ换Éó¥«场¤W¤@¨Ç¬y¦æªº¦w¥þ设¸m¥\¯à¡A§Æ±æ对¤j®a¦³©Ò帮§U¡C
L2-L4 层过滤
现¦bªº·s«¬¥æ换Éó¤j³£¥i¥H³q过«Ø¥ß规则ªº¤è¦¡来实现¦UÏú过滤»Ý¨D¡C规则设¸m¦³两Ïú¼Ò¦¡¡A¤@Ïú¬OMAC¼Ò¦¡¡A¥i®ÚÕu¥Î户»Ýn¨ÌÕu·½MAC©Î¥ØªºMAC¦³®Ä实现数Õuªº¹jÖáA¥t¤@Ïú¬OIP¼Ò¦¡¡A¥i¥H³q过·½IP¡B¥ØªºIP¡B协议¡B·½应¥ÎºÝ¤f¤Î¥Øªº应¥ÎºÝ¤f过滤数Õu«Ê¥]¡F«Ø¥ß¦nªº规则¥²须ªþ¥[¨ì¬Û应ªº±µ¦¬©Î传°eºÝ¤f¤W¡A则当¥æ换É󦹺ݤf±µ¦¬©Î转发数Õu时¡A®ÚÕu过滤规则来过滤«Ê¥]¡A决©w¬O转发还¬O丢弃¡C¥t¥~¡A¥æ换Éó³q过µw¥ó¡§逻辑ÉO«D门¡¨对过滤规则进¦æ逻辑运ºâ¡A实现过滤规则ÚÌ©w¡A§¹¥þ¤£¼v响数Õu转发³t²v¡C
802.1X °ò¤_ºÝ¤fªº访问±±¨î
为¤Fªý¤î«Dªk¥Î户对§½°ìÊIªº±µ¤J¡A«O»ÙÊI络ªº¦w¥þ©Ê¡A°ò¤_ºÝ¤fªº访问±±¨î协议802.1X无论¦b¦³线LAN©ÎWLAN¤¤³£±o¨ì¤F广ªx应¥Î¡C¨Ò¦p华硕³Ì·sªºGigaX2024/2048µ¥·s¤@¥N¥æ换Éó产«~¤£仅仅¤ä«ù802.1X ªºLocal¡BRADIUS 验证¤è¦¡¡A¦Ó¥B¤ä«ù802.1X ªºDynamic VLAN ªº±µ¤J¡A§Y¦bVLAN©M802.1X ªº°ò础¤W¡A«ù¦³¬Y¥Î户账号ªº¥Î户无论¦bÊI络内ªº¦ó处±µ¤J¡A³£会¶W¶V즳802.1Q ¤U°ò¤_ºÝ¤fVLAN ªº¨î¡A©l终±µ¤JÉO¦¹账号«ü©wªºVLAN组内¡A这¤@¥\¯à¤£仅为ÊI络内ªº²¾动¥Î户对资·½ªº应¥Î´£¨Ñ¤F灵¬¡«K§Q¡A¦P时¤S«O»Ù¤FÊI络资·½应¥Îªº¦w¥þ©Ê¡F¥t¥~¡AGigaX2024/2048 ¥æ换Éó还¤ä«ù802.1XªºGuest VLAN¥\¯à¡A§Y¦b802.1Xªº应¥Î¤¤¡A¦pªGºÝ¤f«ü©w¤FGuest VLAN项¡A¦¹ºÝ¤f¤Uªº±µ¤J¥Î户¦pªG认证¥¢败©Î®Ú¥»无¥Î户账号ªº话¡A会¦¨为Guest VLAN 组ªº¦¨员¡A¥i¥H¨É¥Î¦¹组内ªº¬Û应ÊI络资·½¡A这¤@Ïú¥\¯à¦P样¥i为ÊI络应¥Îªº¬Y¤@¨Ç¸sÊ^开©ñ³Ì§C«×ªº资·½¡A¦}为¾ã个ÊI络´£¨Ñ¤F¤@个³Ì¥~围ªº±µ¤J¦w¥þ¡C
¬y¶q±±¨î(traffic control)
¥æ换É󪺬y¶q±±¨î¥i¥H预¨¾¦]为广¼½数Õu¥]¡B组¼½数Õu¥]¤Î¦]¥Øªº¦a§}错误ªº单¼½数Õu¥]数Õu¬y¶q过¤j³y¦¨¥æ换Éó带宽ªºÉݱ`负²ü¡A¦}¥i´£°ª¨t统ªº¾ãÊ^®Ä¯à¡A«O«ùÊI络¦w¥þ稳©wªº运¦æ¡C
SNMP v3 ¤ÎSSH
¦w¥þÊIºÞSNMP v3 ´£¥X¥þ·sªºÊ^¨t结ÌÛ¡A将¦Uª©¥»ªºSNMP 标㶰¤¤¨ì¤@°_¡A进¦Ó¥[强ÊIºÞ¦w¥þ©Ê¡CSNMP v3«Ø议ªº¦w¥þ¼Ò«¬¬O°ò¤_¥Î户ªº¦w¥þ¼Ò«¬¡A§YUSM¡CUSM对ÊIºÞ®ø®§进¦æ¥[±K©M认证¬O°ò¤_¥Î户进¦æªº¡A¨ãÊ^¦a说´N¬O¥Î¤°¤\协议©M±K钥进¦æ¥[±K©M认证§¡¥Ñ¥Î户¦W称(userNmae)权«Â¤ÞÀº标识²Å(EngineID)来决©w(±À¯ò¥[±K协议CBCDES¡A认证协议HMAC-MD5-96 ©MHMAC-SHA-96)¡A³q过认证¡B¥[±K©M时´£¨Ñ数Õu§¹¾ã©Ê¡B数Õu·½认证¡B数Õu«O±K©M®ø®§时ªA务¡A从¦Ó¦³®Ä¨¾¤î«D±Â权¥Î户对ºÞ²z«H®§ªº×§ï¡B伪装©M窃§v¡C
¦Ü¤_³q过Telnet ªº远µ{ÊI络ºÞ²z¡A¥Ñ¤_Telnet ªA务¦³¤@个P©Rªº®z点¡X¡X¥¦¥H©ú¤åªº¤è¦¡传输¥Î户¦W¤Î¤f¥O¡A©Ò¥H¡A«Ü®e©ö³Q别¦³¥Î¤ßªº¤H窃¨ú¤f¥O¡A¨ü¨ì§ð击¡A¦ýªö¥ÎSSH进¦æ³q讯时¡A¥Î户¦W¤Î¤f¥O§¡进¦æ¤F¥[±K¡A¦³®Ä¨¾¤î¤F对¤f¥Oªº窃§v¡A«K¤_ÊIºÞ¤H员进¦æ远µ{ªº¦w¥þÊI络ºÞ²z¡C
Syslog©MWatchdog
¥æ换ÉóªºSyslog ¤é§Ó¥\¯à¥i¥H将¨t统错误¡B¨t统°t¸m¡B状态变¤Æ¡B状态©w´Á报§i¡B¨t统°h¥Xµ¥¥Î户设©wªº´Á±æ«H®§传°e给¤é§ÓªA务¾¹¡AÊIºÞ¤H员¨ÌÕu这¨Ç«H®§´x´¤设备ªº运¦æ状况¡A¤Î¦发现问题¡A¤Î时进¦æ°t¸m设©w©M±Æ»Ù¡A«O»ÙÊI络¦w¥þ稳©w¦a运¦æ¡C
Watchdog ³q过设©w¤@个计时¾¹¡A¦pªG设©wªº时间间¹j内计时¾¹没¦³«启¡A则¥Í¦¨¤@个内¦bCPU«启«ü¥O¡A¨Ï设备«·s启动¡A这¤@¥\¯à¥i¨Ï¥æ换Éó¦b紧«æ¬G»Ù©Î·N¥~±¡况¤U时¥i´¼¯à¦Û动«启¡A«O»ÙÊI络ªº运¦æ¡C
双¬M¹³¤å¥ó
¤@¨Ç³Ì·sªº¥æ换Éó¡A ¹³A S U SGigaX2024/2048还¨ã备双¬M¹³¤å¥ó¡C这¤@¥\¯à«O护设备¦bÉݱ`±¡况¤U(©T¥ó¤É级¥¢败µ¥)¤´µM¥i¥¿±`启动运¦æ¡C¤å¥ó¨t统¤Àmajoy©Mmirror两³¡¤À进¦æ«O¦s¡A¦pªG¤@个¤å¥ó¨t统损®`©Î¤¤断¡A¥t¥~¤@个¤å¥ó¨t统会将¨ä«写¡A¦pªG两个¤å¥ó¨t统³£损®`¡A则设备会²M°£两个¤å¥ó¨t统¦}«写为¥XÉD时Àq认设¸m¡AÚÌ«O¨t统¦w¥þ启动运¦æ¡C
¨ä实¡Aªñ´Á¥X现ªº¤@¨Ç¥æ换Éó产«~¦b¦w¥þ设计¤W¤j³£¤U¨¬¤F¥\¤Ò¡X¡X层层设¨¾¡B节节过滤¡A·Q尽¤@¤Á办ªk将¥i¯à¦s¦bªº¤£¦w¥þ¦]¯À³Ì¤jµ{«×¦a±Æ°£¦b¥~¡C广¤j¥ø业¥Î户¦pªG¯à够¥R¤À§Q¥Î这¨ÇÊI络¦w¥þ设¸m¥\¯à¡A进¦æ¦X²zªº组¦X·f°t¡A则¥i¥H³Ì¤j«×¦a¨¾SÊI络¤W¤é¯qªx滥ªº¦UÏú§ð击©M«I®`¡Aº@±zªº¥ø业ÊI络¦Û¦¹¤]¯à§ó¥[稳©T¦w¥þ¡C
¹ê¥Î¬ÛÃö·j´M: dog ysl
³]¬°º¶
| 
¥[¤J¦¬ÂÃ
| ÁcÅ餤¤å
