【正文】 分組分類能力。Extreme8810能夠根據(jù)IP數(shù)據(jù)包前80字節(jié)的任一位或組合進行分類，因此可以實現(xiàn)最細的業(yè)務分類能力，輕易區(qū)分不同類型的流量。216。 全DiffServ標準的分組分類能力。交換機均能支持全64個級別的Diffserv分類、重寫(remark)(remark)標準。保證QOS的全網實施且與其它廠家兼容。216。 業(yè)界唯一的最小帶寬保證，最高帶寬限速能力。每個QOS隊列均能保證最小的保證帶寬，及最高的允許帶寬，及最高的突發(fā)帶寬。最小帶寬保證低優(yōu)先級的流量不被“餓死”，最高帶寬保證該類流量不超量使用，最高突發(fā)帶寬允許在網絡沒有瓶頸時可以以最高帶寬使用，達到最高的性能。216。 基于雙向速率協(xié)商機制的區(qū)分服務以及雙向帶寬管理和分配方式確保了用戶的投資和帶寬需要；同時利用流量鑒別技術和隊列技術對用戶的數(shù)據(jù)傳輸質量和服務級別進行定義，根據(jù)用戶的投資提供區(qū)別服務。216。 自動QOS映射能力，簡化QOS的全網部署。QOS部署要求全網內實施，也就是說QOS起自客戶PC，終于服務器，因此接入層交換機還需識別來自PC的QOS標識，然后自動映射到相應的隊列，Extreme8810具備QOS自動映射能力。這樣，所有的QOS配置僅需在網絡邊緣通過網管實施QOS策略。216。 Extreme的QOS處理，包括識別，分類，標記，重寫，隊列，調度，限速在內，均為ASIC處理，保證不引入額外的時延。216。 通過組合QOS及web/，根據(jù)不同的用戶名指定不同的QOS及帶寬等級。216。 下圖是8810和同類產品在不同數(shù)據(jù)吞吐量情況下高優(yōu)先級業(yè)務的優(yōu)先級保證，無論流量大小，Extreme的產品高優(yōu)先級的業(yè)務不受影響。一般來說，網絡安全體現(xiàn)在以下幾個主要方面：252。 網絡設備的安全252。 網絡管理系統(tǒng)的安全252。 網絡業(yè)務的安全252。 數(shù)據(jù)傳輸?shù)陌踩?52。 用戶網絡的安全以上幾個方面又是在網絡的不同層面來實現(xiàn)的，即骨干層面、管理層面、業(yè)務層面、用戶接入層面來分別實現(xiàn)。Extreme從如下幾個方面著手來保證網絡的安全： 設備安全特性方案中的網絡設備本身也采用了多項先進的安全特性來確保對病毒和攻擊的免疫能力。本方案中采用的Extreme網絡設備，使用LPM轉發(fā)技術。區(qū)別于和其他廠家的傳統(tǒng)三層交換機使用基于流表的方式（IP Host Forwarding）來完成數(shù)據(jù)包的快速轉發(fā)?；诹鞅淼目焖俎D發(fā)機制要求為每個目的地建立一個轉發(fā)表項，而流表的建立方式，使得每個新數(shù)據(jù)流的第一個數(shù)據(jù)包必須經過CPU進行處理，當網絡上出現(xiàn)掃描攻擊的時候，會導致流表的快速溢出，引起CPU負載快速上升，并最終導致網絡設備性能下降，使得整個網絡不能進行正常的數(shù)據(jù)包傳輸。通過使用LPM轉發(fā)技術，可以大大縮減快速轉發(fā)表的大小，提高每條快速轉發(fā)表表項覆蓋的范圍，從而很好地解決了流表溢出所帶來的問題，大大提高了網絡系統(tǒng)抗擊病毒攻擊的能力，提高了網絡系統(tǒng)的可靠性，并最終保證了網絡的高性能和高擴展性。此外，訪問控制列表是網絡設備數(shù)據(jù)流量主要過濾的手段，是網絡設備的安全防范的重要功能之一。ACL可以根據(jù)數(shù)據(jù)流的MAC地址、IP地址、端口號、ICMP信息、TCP/UDP端口號進行判別，并進行相應數(shù)據(jù)丟棄、過濾、轉發(fā)策略（QOS）的實施。有效增強了網絡傳輸?shù)目煽匦?，是網絡安全規(guī)劃的一項主要手段。然而訪問控制列表對數(shù)據(jù)包的過濾如果通過交換機的CPU來實現(xiàn)，則會造成數(shù)據(jù)包轉發(fā)較大的延遲，有再大的背板帶寬和很多廠商宣稱的線速性能也沒有實際意義，轉發(fā)根本無法達到線速的數(shù)據(jù)包轉發(fā)。只有采用基于硬件的ASCI芯片技術實現(xiàn)的數(shù)據(jù)包過濾才可以滿足線速轉發(fā)的要求。在當前網絡安全日益惡化、網絡攻擊及網絡病毒日益泛濫的今天，訪問控制列表的作用尤為重要。在網絡設備的選擇中，有些廠商甚至連基本的VLAN間訪問控制都無法實現(xiàn)，而宣傳功能齊全的情況屢見不鮮。所以，能夠提供真正權威的第三方測試報告將為我校的設備選擇提供一份可靠的依據(jù)。網絡的安全防范，除了設備本身的安全性外，系統(tǒng)的安全準入是網絡安全的第一道關口。如果一個局域網內裝有無法保證網絡安全的端點設備，會造成網絡安全受到威脅，因而帶來許多痛苦以及財務影響。要避免發(fā)生這些威脅網絡安全的事件，只是把網絡端口關閉或是不讓人們在辦公大樓里連接上網絡是不夠的。真正有效的訪問控制必須要采取主動，在任何威脅進入到內部的網絡資源前，就必須要能很好地確保所有端點設備的安全，不用擔心任何威脅的侵入。Extreme的最新內網安全設備Sentriant AG200 能夠滿足這個需求。它能提供完整的網絡訪問控制平臺 (Network Access Control platform, NAC)。這個平臺使用在多種不同的網絡基礎建設上，不分任何訪問方式（有線、無線、虛擬專用網 – VPN），并與多種端點設備兼容。Sentriant AG200 會自動測試每個端點，并在允許訪問網絡之前，確定終端設備是否滿足組織的安全要求。任一不合標準的設備會被隔離，并限制訪問，直到使用多個解決方法修復后，才能給與完全的訪問權利。有了上述專用的安全接入設備，配合交換機的安全功能，Extreme能夠提供完善的安全方案。網絡用戶的接入在某些情況下是需要監(jiān)督和控制的。為了防止未授權用戶私自接入網絡，我們可以通過在交換機上實施諸如MAC、IP、VLAN、用戶名等多種組合的綁定，來確保阻止非法用戶的接入。當前，網絡用戶采用代理服務器或地址轉換技術共享上條線路接入網絡的情況也很普遍，而未有很好的解決方案。本方案中安全接入采用如下的技術手段來實現(xiàn)：。216。 +EAP標準。通過該功能，網絡系統(tǒng)可以控制用戶是否能夠接入網絡和如何使用網絡資源，無論用戶的終端設備設備是否配置了正確的IP地址，只有使用設備的用戶擁有合法的用戶帳號才能接入網絡，否則，用戶是無法接入網絡系統(tǒng)的。這樣就可以將非法用戶屏蔽在網絡之外，減少網絡收到黑客攻擊的可能性。216。 用戶接入認證技術可以將通過認證的用戶動態(tài)分配到特定的VLAN中，通過對VLAN的控制，最終實現(xiàn)對用戶可使用網絡資源的控制。216。 提供的基于WEB的用戶認證方式，大大降低了實施用戶接入技術的復雜性，用戶的終端設備上無需安裝特定的客戶端軟件即可完成用戶的接入認證。通過單端口上多用戶接入認證技術，可以保證用戶接入認證技術的廣泛應用以及在異構網絡上的實施。216。 支持終端設備的接入控制。通過Extreme網絡設備上的MAC地址鎖定和MAC地址限制功能，網絡系統(tǒng)可以控制非法設備的接入，進一步提高網絡的安全性。216。 強制使用DHCP的能力。在現(xiàn)代企業(yè)網絡覆蓋范圍日益擴大和網絡結構日益復雜的今天，越來越多的企業(yè)網絡通過DHCP方式來實現(xiàn)企業(yè)內部IP地址的分配，通過DHCP的使用，系統(tǒng)管理員可以更好的實現(xiàn)網絡的優(yōu)化與管理，降低網絡管理的復雜度。但企業(yè)內部可能出現(xiàn)的無管理下的靜態(tài)配置IP地址，將導致IP地址的不可管理性，并會導致因IP地址沖突而帶來的網絡不可用的問題。利用設備獨有的的ARP Learning Disable功能，系統(tǒng)管理員可以針對性地強制網絡設備上的某些端口連接的終端設備必須使用DHCP獲得的IP地址，否則終端設備不能夠接入網絡，進而保證網絡的安全性。網絡系統(tǒng)的高速、可靠運行是非常重要的。但隨著網絡技術的不斷發(fā)展，新興的網絡病毒與攻擊軟件與日俱增，對網絡造成的危害是前所未有的。最早如SQL蠕蟲病毒產生，造成了無法大型網絡癱瘓，寬帶互聯(lián)網發(fā)生前所未有的阻塞。再到沖擊波、振蕩波等網絡病毒，使得網絡管理疲于奔命解救瀕臨癱瘓的網絡系統(tǒng)。網絡攻擊軟件如典型的DOS（拒絕服務攻擊）和DDOS（分布式DOS攻擊）攻擊類型，會造成包括如服務器、網絡設備、終端機器在內的各種具有網絡接口的設備資源耗盡、系統(tǒng)宕機、網絡阻塞。種種情況均使得當前網絡系統(tǒng)的安全成為主要攻關課題。Extreme具備完善的智能化安全防御解決方案，不但可以從用戶的安全接入方面降低安全風險，同時在合法用戶接入后的網絡使用當中，實時的監(jiān)控網絡流量，發(fā)現(xiàn)流量異常的苗頭，直接進行相關動作進行防范，達到了事前預警的效果，防患于未然。核心交換機采用獨特的CLEARFlow技術，CLEARFlow不僅具備當前RMON，sFlow，NetFlow的所有優(yōu)點，而且提供了擴展性、動態(tài)性、適應實時性更高的流量測量和分析工具。這提供了網絡的優(yōu)化、統(tǒng)計計費、以及網絡安全防范的手段。從圖中的安全防御過程可以看出，該方案具備了智能主動的安全特性，改變了以往網絡流量監(jiān)控技術不加選擇鏡像數(shù)據(jù)流的低效方法，當只有異常流量發(fā)生的時候才會把相關的流量鏡像到專業(yè)的安全設備中進行分析，既不影響網絡的性能，分析結果確認是攻擊后，通知相關的設備進行聯(lián)動，從而在病毒和攻擊沒有完全爆發(fā)之前消除安全隱患。 在不影響網絡運作的情況下防御威脅 使用網絡虛擬誘惑裝置快速檢測，從而創(chuàng)建早期預警系統(tǒng)，當發(fā)現(xiàn)虛擬目標時報警 隔離攻擊者，并阻止他們與網絡上的其它設備進行通訊，但允許重要的數(shù)據(jù)繼續(xù)正常傳輸 補充現(xiàn)有的周邊安全和基于主機的安全解決方案 在所有供應商的交換機上都可以高效操作，但是與支持 ExtremeXOS174。 CLEARFlow 的交換機結合，就可以處理您的多路千兆級流量，并減少安全保證所需的成本。同時，為了在本次網絡系統(tǒng)建設中，盡最大可能杜絕安全隱患，建設一套強健的網絡系統(tǒng)，我們提出以下安全策略建議供參考：Access Control Lists (ACLs)ACL 是每個安全策略的組成部份，控制和監(jiān)視什么數(shù)據(jù)包進入和離開網絡幾乎是網絡安全的定義。盡管交換機的工作是進行數(shù)據(jù)包的轉發(fā)而不是阻止它。但是有些數(shù)據(jù)包我們必須阻止它。 今天的internet上有一些眾所周知并且被接受的安全過濾策略。包括： ? Ingress Filtering (RFC 2827/BCP 38) ? Private Address Space Filtering (RFC 1918) ? Bogon and Martian Filtering ()216。 Ingress Filtering最近頻繁出現(xiàn)的各種DoS攻擊，使用偽裝的源IP地址給內網帶來了很多的麻煩，全面影響了內網的通訊。RFC 2827/BCP 38建議的入口地址過濾（Ingress Filtering） 提供了一個簡便有效且直觀的方法來解決這個問題。 入口過濾在RFC2827/BCP 38 (Best Current Practice ) 中指定。它高度建議使用入口過濾，不僅可以使你的網絡安全，而且可以使其它的網絡不會被來自你的網絡的偽裝的源IP給攻擊。許多的網絡攻擊者使用偽裝的源IP地址來隱藏它們的身份。在網絡使用了入口過濾功能后，也更加容易定位網絡攻擊者，因為攻擊者必須使用真實的子網源IP地址。216。 過濾未分配的地址空間IP 的地址空間由Internet Assigned Numbers Authority 機構指派給各個地區(qū)的internet 注冊者（RIRs）. 頂級的RIRs總共有3個 ARIN . American Registry for Internet Numbers () RIPE . IP () APNIC . 亞太網絡信息中心 () 當一個prefix (通常是 /8) 被指派給RIR,然后RIR將這些地址分配給各個地區(qū)分配者。如果一個prefix 還沒有被分配給RIR，那實際上在這個prefix 是不應該有流量的?；谶@個考慮。我們應該將這些未分配的地址通過ACL來過濾掉。這個列表可以從下面的地址取得。 通過實現(xiàn)這個ACL，也可以使IPFDB的空間得到更有效的利用。打開CPU DOS PROTECT一個拒絕服務攻擊（DenialofService:DOS）攻擊發(fā)生于一個危急的網絡或計算資源被淹沒并且合法的服務請求無法響應。在這種情況下，拒絕服務攻擊將很難與合法的高流量數(shù)據(jù)流有效區(qū)分?；谟布臄?shù)據(jù)包線速轉發(fā)可以對該攻擊產生一定的抵抗能力。然而，網絡中有些操作對于任何交換機和交換機都是相同的，這就是有一類型的數(shù)據(jù)流必須要由CPU經過軟件來處理：這類數(shù)據(jù)包（由CPU軟件處理）包括：1) 一個新發(fā)起的數(shù)據(jù)流（TCP SYN）2) 路由和控制協(xié)議包括：ICMP,BGP,OSPF3) 交換機管理流量（交換機訪問通過Telnet,SSH,HTTP,SNMP…）4) 其他一些直接發(fā)往交換機并且必須由CPU丟棄如果任何一種類型流量被范洪，CPU都有可能變得非常繁忙并且交換機的性能將極劇下降。即便使用更快的CPU，也同樣會被無盡的洪流數(shù)據(jù)包所淹沒。某些先進的網絡核心設備所具有DOS保護的設計就是幫助交換機將這類攻擊數(shù)據(jù)流特征化以阻止交換機的性能下降，并且過濾非法流量以保證正常的交換服務功能。當一個泛洪數(shù)數(shù)據(jù)被交換機收到時，DOS保護將通計這類數(shù)據(jù)包。當這類數(shù)據(jù)接近報擎閥值時（4000包每秒），包頭信息將會被記尋。如果閥值被達到，這種類型數(shù)據(jù)包頭將會被分析，并且一個自動基于硬件處理的ACL會被創(chuàng)建以限制這類數(shù)據(jù)包流向CPU。ACL將會被保留以減輕CPU負載。一定周期后，ACL將會過期，如果這種攻擊仍然發(fā)生，ACL也將再次被創(chuàng)建。CPU DOS PROTECT 能夠抵御大多數(shù)的DdoS 攻擊如，Jolt, opentear, raped, octopus, boink, winfreeze 等等。針對一些病毒性攻擊的過濾一些病毒性攻擊會通過端口1434 和1483 兩個端口進行，可以通過加入相應ACL進行過濾。create accesslist denyudp1434 udp destination any source any deny ports 1434 precedence 360create accesslist denyudp1483 udp destination any source any deny ports 1434 precedence 380過濾ICMP 包ICMP 數(shù)據(jù)包是另一種我們需要關心的數(shù)