行为管理(锐捷交换篇)
大家好,我是小杜,今天又是元气满满的一天,刚从现场“出差”回来了,又开启了学习。今天是交换的学习,看下交换有什么不一样的地方
一、ACL
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
目的
随着网络的飞速发展,网络安全和网络服务质量QoS(Quality of Service)问题日益突出。
企业重要服务器资源被随意访问,企业机密信息容易泄露,造成安全隐患。Internet病毒肆意侵略企业内网,内网环境的安全性堪忧。
网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不到保障,造成用户体验差。
以上种种问题,都对正常的网络通信造成了很大的影响。因此,提高网络安全性服务质量迫在眉睫。ACL就在这种情况下应运而生了。
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
关于交换机配置ACL(访问控制列表)有如下:
二、端口安全
端口安全功能适用于用户希望控制端口下接入用户的IP和MAC必须是管理员指定的合法用户才能使用网络,或者希望使用者能够在固定端口下上网而不能随意移动,变换IP/MAC或者端口号,或控制端口下的用户MAC数,防止MAC地址耗尽攻击(病毒发送持续变化的构造出来的MAC地址,导致交换机短时间内学习了大量无用的MAC地址,8K/16K地址表满掉后无法学习合法用户的MAC,导致通信异常)的场景。
端口安全功能通过定义报文的源MAC地址来限定报文是否可以进入交换机的端口,你可以静态设置特定的MAC地址或者限定动态学习的MAC地址的个数来控制报文是否可以进入端口,使能端口安全功能的端口称为安全端口。只有源MAC地址为端口安全地址表中配置或者学习到的MAC地址的报文才可以进入交换机通信,其他报文将被丢弃。
还可以设定端口安全地址绑定IP+MAC,或者仅绑定IP,用来限制必须符合绑定的以端口安全地址为源MAC地址的报文才能进入交换机通信,具体案例如下
三、全局绑定
交换机配置全局ip与mac绑定:
1、绑定配置的方法链接
2、解除绑定的方法
在命令前加no例如,ruijie(config)#no address-bind 192.168.1.1 0001.1111.1111
注意:如果只配置address-bind install,没有绑定任何条目,默认所有条目合法
四、限速类
QoS(Quality of Service,服务质量)指一个网络能够利用各种基础技术,为指定的网络通信提供更好的服务能力,是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。QoS的保证对于容量有限的网络来说是十分重要的,特别是对于流多媒体应用,例如VoIP和IPTV等,因为这些应用常常需要固定的传输率,对延时也比较敏感。
交换机配置QOS功能有如下:
端口下限速的参数说明:
第一个参数为端口每秒限速多少KB,第二个参数为端口突发流量,一般建议配置为限速值的0.1倍 。
嗯嗯, 交换机是做为转发的,竟然也会有这些行为限制功能,学到了,学到了,拓宽了眼界,对交换机也有了更深入的了解,今天就分享到这了哈,明天见。