交换机安全防范不可不知道 常见技术应用

　　随着计算机性能的不断提升，以及网络的大范围的推广使用，在企业网环境中，网络安全的问题日益凸现出来，针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重，影响越来越剧烈，用户缺乏足够的安全防范意识，致使病毒泛滥，网络中因病毒导致的故障层出不穷。而交换机作为局域网信息交换的主要设备，特别是核心、汇聚交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，应用一定的策略，通过交换机本身支持的一些功能，可以有效的减少发生网络故障的几率，以下就简单介绍一些常用的交换机安全防范技术。

　　一、IEEE802.1x强安全认证

　　在传统的局域网环境中，只要有物理的连接端口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给企业造成了潜在的安全威胁。另外，在ISP提供的小区宽带及校园网中，由于涉及到网络的计费，所以验证用户接入的合法性也显得非常重要。IEEE 802.1x认证正是解决这个问题的有效方法，目前已经被集成到二层智能交换机中，完成用户的接入安全审核。802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议，其全称为基于端口的访问控制协议。提供一种对连接到局域网的用户进行认证和授权的手段，达到接受合法用户接入，保护网络安全的目的。

　　802.1x协议利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，交换机端口上的设备首先发起认证请求，交换设备将该报文透传至认证服务器，在服务器验证认证是否合法，验证成功则返回报文，要求交换机打开端口，允许该端口下连的设备使用局域网，认证失败则不允许接入。

　　在802.1x协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。

　　1.客户端：一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。

　　2.认证系统：在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。

　　3. 认证服务器：通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。