【正文】 分組分類能力。Extreme8810能夠根據(jù)IP數(shù)據(jù)包前80字節(jié)的任一位或組合進(jìn)行分類，因此可以實(shí)現(xiàn)最細(xì)的業(yè)務(wù)分類能力，輕易區(qū)分不同類型的流量。216。 全DiffServ標(biāo)準(zhǔn)的分組分類能力。交換機(jī)均能支持全64個(gè)級(jí)別的Diffserv分類、重寫(remark)(remark)標(biāo)準(zhǔn)。保證QOS的全網(wǎng)實(shí)施且與其它廠家兼容。216。 業(yè)界唯一的最小帶寬保證，最高帶寬限速能力。每個(gè)QOS隊(duì)列均能保證最小的保證帶寬，及最高的允許帶寬，及最高的突發(fā)帶寬。最小帶寬保證低優(yōu)先級(jí)的流量不被“餓死”，最高帶寬保證該類流量不超量使用，最高突發(fā)帶寬允許在網(wǎng)絡(luò)沒有瓶頸時(shí)可以以最高帶寬使用，達(dá)到最高的性能。216。 基于雙向速率協(xié)商機(jī)制的區(qū)分服務(wù)以及雙向帶寬管理和分配方式確保了用戶的投資和帶寬需要；同時(shí)利用流量鑒別技術(shù)和隊(duì)列技術(shù)對(duì)用戶的數(shù)據(jù)傳輸質(zhì)量和服務(wù)級(jí)別進(jìn)行定義，根據(jù)用戶的投資提供區(qū)別服務(wù)。216。 自動(dòng)QOS映射能力，簡(jiǎn)化QOS的全網(wǎng)部署。QOS部署要求全網(wǎng)內(nèi)實(shí)施，也就是說QOS起自客戶PC，終于服務(wù)器，因此接入層交換機(jī)還需識(shí)別來自PC的QOS標(biāo)識(shí)，然后自動(dòng)映射到相應(yīng)的隊(duì)列，Extreme8810具備QOS自動(dòng)映射能力。這樣，所有的QOS配置僅需在網(wǎng)絡(luò)邊緣通過網(wǎng)管實(shí)施QOS策略。216。 Extreme的QOS處理，包括識(shí)別，分類，標(biāo)記，重寫，隊(duì)列，調(diào)度，限速在內(nèi)，均為ASIC處理，保證不引入額外的時(shí)延。216。 通過組合QOS及web/，根據(jù)不同的用戶名指定不同的QOS及帶寬等級(jí)。216。 下圖是8810和同類產(chǎn)品在不同數(shù)據(jù)吞吐量情況下高優(yōu)先級(jí)業(yè)務(wù)的優(yōu)先級(jí)保證，無論流量大小，Extreme的產(chǎn)品高優(yōu)先級(jí)的業(yè)務(wù)不受影響。一般來說，網(wǎng)絡(luò)安全體現(xiàn)在以下幾個(gè)主要方面：252。 網(wǎng)絡(luò)設(shè)備的安全252。 網(wǎng)絡(luò)管理系統(tǒng)的安全252。 網(wǎng)絡(luò)業(yè)務(wù)的安全252。 數(shù)據(jù)傳輸?shù)陌踩?52。 用戶網(wǎng)絡(luò)的安全以上幾個(gè)方面又是在網(wǎng)絡(luò)的不同層面來實(shí)現(xiàn)的，即骨干層面、管理層面、業(yè)務(wù)層面、用戶接入層面來分別實(shí)現(xiàn)。Extreme從如下幾個(gè)方面著手來保證網(wǎng)絡(luò)的安全： 設(shè)備安全特性方案中的網(wǎng)絡(luò)設(shè)備本身也采用了多項(xiàng)先進(jìn)的安全特性來確保對(duì)病毒和攻擊的免疫能力。本方案中采用的Extreme網(wǎng)絡(luò)設(shè)備，使用LPM轉(zhuǎn)發(fā)技術(shù)。區(qū)別于和其他廠家的傳統(tǒng)三層交換機(jī)使用基于流表的方式（IP Host Forwarding）來完成數(shù)據(jù)包的快速轉(zhuǎn)發(fā)。基于流表的快速轉(zhuǎn)發(fā)機(jī)制要求為每個(gè)目的地建立一個(gè)轉(zhuǎn)發(fā)表項(xiàng)，而流表的建立方式，使得每個(gè)新數(shù)據(jù)流的第一個(gè)數(shù)據(jù)包必須經(jīng)過CPU進(jìn)行處理，當(dāng)網(wǎng)絡(luò)上出現(xiàn)掃描攻擊的時(shí)候，會(huì)導(dǎo)致流表的快速溢出，引起CPU負(fù)載快速上升，并最終導(dǎo)致網(wǎng)絡(luò)設(shè)備性能下降，使得整個(gè)網(wǎng)絡(luò)不能進(jìn)行正常的數(shù)據(jù)包傳輸。通過使用LPM轉(zhuǎn)發(fā)技術(shù)，可以大大縮減快速轉(zhuǎn)發(fā)表的大小，提高每條快速轉(zhuǎn)發(fā)表表項(xiàng)覆蓋的范圍，從而很好地解決了流表溢出所帶來的問題，大大提高了網(wǎng)絡(luò)系統(tǒng)抗擊病毒攻擊的能力，提高了網(wǎng)絡(luò)系統(tǒng)的可靠性，并最終保證了網(wǎng)絡(luò)的高性能和高擴(kuò)展性。此外，訪問控制列表是網(wǎng)絡(luò)設(shè)備數(shù)據(jù)流量主要過濾的手段，是網(wǎng)絡(luò)設(shè)備的安全防范的重要功能之一。ACL可以根據(jù)數(shù)據(jù)流的MAC地址、IP地址、端口號(hào)、ICMP信息、TCP/UDP端口號(hào)進(jìn)行判別，并進(jìn)行相應(yīng)數(shù)據(jù)丟棄、過濾、轉(zhuǎn)發(fā)策略（QOS）的實(shí)施。有效增強(qiáng)了網(wǎng)絡(luò)傳輸?shù)目煽匦?，是網(wǎng)絡(luò)安全規(guī)劃的一項(xiàng)主要手段。然而訪問控制列表對(duì)數(shù)據(jù)包的過濾如果通過交換機(jī)的CPU來實(shí)現(xiàn)，則會(huì)造成數(shù)據(jù)包轉(zhuǎn)發(fā)較大的延遲，有再大的背板帶寬和很多廠商宣稱的線速性能也沒有實(shí)際意義，轉(zhuǎn)發(fā)根本無法達(dá)到線速的數(shù)據(jù)包轉(zhuǎn)發(fā)。只有采用基于硬件的ASCI芯片技術(shù)實(shí)現(xiàn)的數(shù)據(jù)包過濾才可以滿足線速轉(zhuǎn)發(fā)的要求。在當(dāng)前網(wǎng)絡(luò)安全日益惡化、網(wǎng)絡(luò)攻擊及網(wǎng)絡(luò)病毒日益泛濫的今天，訪問控制列表的作用尤為重要。在網(wǎng)絡(luò)設(shè)備的選擇中，有些廠商甚至連基本的VLAN間訪問控制都無法實(shí)現(xiàn)，而宣傳功能齊全的情況屢見不鮮。所以，能夠提供真正權(quán)威的第三方測(cè)試報(bào)告將為我校的設(shè)備選擇提供一份可靠的依據(jù)。網(wǎng)絡(luò)的安全防范，除了設(shè)備本身的安全性外，系統(tǒng)的安全準(zhǔn)入是網(wǎng)絡(luò)安全的第一道關(guān)口。如果一個(gè)局域網(wǎng)內(nèi)裝有無法保證網(wǎng)絡(luò)安全的端點(diǎn)設(shè)備，會(huì)造成網(wǎng)絡(luò)安全受到威脅，因而帶來許多痛苦以及財(cái)務(wù)影響。要避免發(fā)生這些威脅網(wǎng)絡(luò)安全的事件，只是把網(wǎng)絡(luò)端口關(guān)閉或是不讓人們?cè)谵k公大樓里連接上網(wǎng)絡(luò)是不夠的。真正有效的訪問控制必須要采取主動(dòng)，在任何威脅進(jìn)入到內(nèi)部的網(wǎng)絡(luò)資源前，就必須要能很好地確保所有端點(diǎn)設(shè)備的安全，不用擔(dān)心任何威脅的侵入。Extreme的最新內(nèi)網(wǎng)安全設(shè)備Sentriant AG200 能夠滿足這個(gè)需求。它能提供完整的網(wǎng)絡(luò)訪問控制平臺(tái) (Network Access Control platform, NAC)。這個(gè)平臺(tái)使用在多種不同的網(wǎng)絡(luò)基礎(chǔ)建設(shè)上，不分任何訪問方式（有線、無線、虛擬專用網(wǎng) – VPN），并與多種端點(diǎn)設(shè)備兼容。Sentriant AG200 會(huì)自動(dòng)測(cè)試每個(gè)端點(diǎn)，并在允許訪問網(wǎng)絡(luò)之前，確定終端設(shè)備是否滿足組織的安全要求。任一不合標(biāo)準(zhǔn)的設(shè)備會(huì)被隔離，并限制訪問，直到使用多個(gè)解決方法修復(fù)后，才能給與完全的訪問權(quán)利。有了上述專用的安全接入設(shè)備，配合交換機(jī)的安全功能，Extreme能夠提供完善的安全方案。網(wǎng)絡(luò)用戶的接入在某些情況下是需要監(jiān)督和控制的。為了防止未授權(quán)用戶私自接入網(wǎng)絡(luò)，我們可以通過在交換機(jī)上實(shí)施諸如MAC、IP、VLAN、用戶名等多種組合的綁定，來確保阻止非法用戶的接入。當(dāng)前，網(wǎng)絡(luò)用戶采用代理服務(wù)器或地址轉(zhuǎn)換技術(shù)共享上條線路接入網(wǎng)絡(luò)的情況也很普遍，而未有很好的解決方案。本方案中安全接入采用如下的技術(shù)手段來實(shí)現(xiàn)：。216。 +EAP標(biāo)準(zhǔn)。通過該功能，網(wǎng)絡(luò)系統(tǒng)可以控制用戶是否能夠接入網(wǎng)絡(luò)和如何使用網(wǎng)絡(luò)資源，無論用戶的終端設(shè)備設(shè)備是否配置了正確的IP地址，只有使用設(shè)備的用戶擁有合法的用戶帳號(hào)才能接入網(wǎng)絡(luò)，否則，用戶是無法接入網(wǎng)絡(luò)系統(tǒng)的。這樣就可以將非法用戶屏蔽在網(wǎng)絡(luò)之外，減少網(wǎng)絡(luò)收到黑客攻擊的可能性。216。 用戶接入認(rèn)證技術(shù)可以將通過認(rèn)證的用戶動(dòng)態(tài)分配到特定的VLAN中，通過對(duì)VLAN的控制，最終實(shí)現(xiàn)對(duì)用戶可使用網(wǎng)絡(luò)資源的控制。216。 提供的基于WEB的用戶認(rèn)證方式，大大降低了實(shí)施用戶接入技術(shù)的復(fù)雜性，用戶的終端設(shè)備上無需安裝特定的客戶端軟件即可完成用戶的接入認(rèn)證。通過單端口上多用戶接入認(rèn)證技術(shù)，可以保證用戶接入認(rèn)證技術(shù)的廣泛應(yīng)用以及在異構(gòu)網(wǎng)絡(luò)上的實(shí)施。216。 支持終端設(shè)備的接入控制。通過Extreme網(wǎng)絡(luò)設(shè)備上的MAC地址鎖定和MAC地址限制功能，網(wǎng)絡(luò)系統(tǒng)可以控制非法設(shè)備的接入，進(jìn)一步提高網(wǎng)絡(luò)的安全性。216。 強(qiáng)制使用DHCP的能力。在現(xiàn)代企業(yè)網(wǎng)絡(luò)覆蓋范圍日益擴(kuò)大和網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜的今天，越來越多的企業(yè)網(wǎng)絡(luò)通過DHCP方式來實(shí)現(xiàn)企業(yè)內(nèi)部IP地址的分配，通過DHCP的使用，系統(tǒng)管理員可以更好的實(shí)現(xiàn)網(wǎng)絡(luò)的優(yōu)化與管理，降低網(wǎng)絡(luò)管理的復(fù)雜度。但企業(yè)內(nèi)部可能出現(xiàn)的無管理下的靜態(tài)配置IP地址，將導(dǎo)致IP地址的不可管理性，并會(huì)導(dǎo)致因IP地址沖突而帶來的網(wǎng)絡(luò)不可用的問題。利用設(shè)備獨(dú)有的的ARP Learning Disable功能，系統(tǒng)管理員可以針對(duì)性地強(qiáng)制網(wǎng)絡(luò)設(shè)備上的某些端口連接的終端設(shè)備必須使用DHCP獲得的IP地址，否則終端設(shè)備不能夠接入網(wǎng)絡(luò)，進(jìn)而保證網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)系統(tǒng)的高速、可靠運(yùn)行是非常重要的。但隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，新興的網(wǎng)絡(luò)病毒與攻擊軟件與日俱增，對(duì)網(wǎng)絡(luò)造成的危害是前所未有的。最早如SQL蠕蟲病毒產(chǎn)生，造成了無法大型網(wǎng)絡(luò)癱瘓，寬帶互聯(lián)網(wǎng)發(fā)生前所未有的阻塞。再到?jīng)_擊波、振蕩波等網(wǎng)絡(luò)病毒，使得網(wǎng)絡(luò)管理疲于奔命解救瀕臨癱瘓的網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)攻擊軟件如典型的DOS（拒絕服務(wù)攻擊）和DDOS（分布式DOS攻擊）攻擊類型，會(huì)造成包括如服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端機(jī)器在內(nèi)的各種具有網(wǎng)絡(luò)接口的設(shè)備資源耗盡、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)阻塞。種種情況均使得當(dāng)前網(wǎng)絡(luò)系統(tǒng)的安全成為主要攻關(guān)課題。Extreme具備完善的智能化安全防御解決方案，不但可以從用戶的安全接入方面降低安全風(fēng)險(xiǎn)，同時(shí)在合法用戶接入后的網(wǎng)絡(luò)使用當(dāng)中，實(shí)時(shí)的監(jiān)控網(wǎng)絡(luò)流量，發(fā)現(xiàn)流量異常的苗頭，直接進(jìn)行相關(guān)動(dòng)作進(jìn)行防范，達(dá)到了事前預(yù)警的效果，防患于未然。核心交換機(jī)采用獨(dú)特的CLEARFlow技術(shù)，CLEARFlow不僅具備當(dāng)前RMON，sFlow，NetFlow的所有優(yōu)點(diǎn)，而且提供了擴(kuò)展性、動(dòng)態(tài)性、適應(yīng)實(shí)時(shí)性更高的流量測(cè)量和分析工具。這提供了網(wǎng)絡(luò)的優(yōu)化、統(tǒng)計(jì)計(jì)費(fèi)、以及網(wǎng)絡(luò)安全防范的手段。從圖中的安全防御過程可以看出，該方案具備了智能主動(dòng)的安全特性，改變了以往網(wǎng)絡(luò)流量監(jiān)控技術(shù)不加選擇鏡像數(shù)據(jù)流的低效方法，當(dāng)只有異常流量發(fā)生的時(shí)候才會(huì)把相關(guān)的流量鏡像到專業(yè)的安全設(shè)備中進(jìn)行分析，既不影響網(wǎng)絡(luò)的性能，分析結(jié)果確認(rèn)是攻擊后，通知相關(guān)的設(shè)備進(jìn)行聯(lián)動(dòng)，從而在病毒和攻擊沒有完全爆發(fā)之前消除安全隱患。 在不影響網(wǎng)絡(luò)運(yùn)作的情況下防御威脅 使用網(wǎng)絡(luò)虛擬誘惑裝置快速檢測(cè)，從而創(chuàng)建早期預(yù)警系統(tǒng)，當(dāng)發(fā)現(xiàn)虛擬目標(biāo)時(shí)報(bào)警 隔離攻擊者，并阻止他們與網(wǎng)絡(luò)上的其它設(shè)備進(jìn)行通訊，但允許重要的數(shù)據(jù)繼續(xù)正常傳輸 補(bǔ)充現(xiàn)有的周邊安全和基于主機(jī)的安全解決方案 在所有供應(yīng)商的交換機(jī)上都可以高效操作，但是與支持 ExtremeXOS174。 CLEARFlow 的交換機(jī)結(jié)合，就可以處理您的多路千兆級(jí)流量，并減少安全保證所需的成本。同時(shí)，為了在本次網(wǎng)絡(luò)系統(tǒng)建設(shè)中，盡最大可能杜絕安全隱患，建設(shè)一套強(qiáng)健的網(wǎng)絡(luò)系統(tǒng)，我們提出以下安全策略建議供參考：Access Control Lists (ACLs)ACL 是每個(gè)安全策略的組成部份，控制和監(jiān)視什么數(shù)據(jù)包進(jìn)入和離開網(wǎng)絡(luò)幾乎是網(wǎng)絡(luò)安全的定義。盡管交換機(jī)的工作是進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)而不是阻止它。但是有些數(shù)據(jù)包我們必須阻止它。 今天的internet上有一些眾所周知并且被接受的安全過濾策略。包括： ? Ingress Filtering (RFC 2827/BCP 38) ? Private Address Space Filtering (RFC 1918) ? Bogon and Martian Filtering ()216。 Ingress Filtering最近頻繁出現(xiàn)的各種DoS攻擊，使用偽裝的源IP地址給內(nèi)網(wǎng)帶來了很多的麻煩，全面影響了內(nèi)網(wǎng)的通訊。RFC 2827/BCP 38建議的入口地址過濾（Ingress Filtering） 提供了一個(gè)簡(jiǎn)便有效且直觀的方法來解決這個(gè)問題。 入口過濾在RFC2827/BCP 38 (Best Current Practice ) 中指定。它高度建議使用入口過濾，不僅可以使你的網(wǎng)絡(luò)安全，而且可以使其它的網(wǎng)絡(luò)不會(huì)被來自你的網(wǎng)絡(luò)的偽裝的源IP給攻擊。許多的網(wǎng)絡(luò)攻擊者使用偽裝的源IP地址來隱藏它們的身份。在網(wǎng)絡(luò)使用了入口過濾功能后，也更加容易定位網(wǎng)絡(luò)攻擊者，因?yàn)楣粽弑仨毷褂谜鎸?shí)的子網(wǎng)源IP地址。216。 過濾未分配的地址空間IP 的地址空間由Internet Assigned Numbers Authority 機(jī)構(gòu)指派給各個(gè)地區(qū)的internet 注冊(cè)者（RIRs）. 頂級(jí)的RIRs總共有3個(gè) ARIN . American Registry for Internet Numbers () RIPE . IP () APNIC . 亞太網(wǎng)絡(luò)信息中心 () 當(dāng)一個(gè)prefix (通常是 /8) 被指派給RIR,然后RIR將這些地址分配給各個(gè)地區(qū)分配者。如果一個(gè)prefix 還沒有被分配給RIR，那實(shí)際上在這個(gè)prefix 是不應(yīng)該有流量的?；谶@個(gè)考慮。我們應(yīng)該將這些未分配的地址通過ACL來過濾掉。這個(gè)列表可以從下面的地址取得。 通過實(shí)現(xiàn)這個(gè)ACL，也可以使IPFDB的空間得到更有效的利用。打開CPU DOS PROTECT一個(gè)拒絕服務(wù)攻擊（DenialofService:DOS）攻擊發(fā)生于一個(gè)危急的網(wǎng)絡(luò)或計(jì)算資源被淹沒并且合法的服務(wù)請(qǐng)求無法響應(yīng)。在這種情況下，拒絕服務(wù)攻擊將很難與合法的高流量數(shù)據(jù)流有效區(qū)分。基于硬件的數(shù)據(jù)包線速轉(zhuǎn)發(fā)可以對(duì)該攻擊產(chǎn)生一定的抵抗能力。然而，網(wǎng)絡(luò)中有些操作對(duì)于任何交換機(jī)和交換機(jī)都是相同的，這就是有一類型的數(shù)據(jù)流必須要由CPU經(jīng)過軟件來處理：這類數(shù)據(jù)包（由CPU軟件處理）包括：1) 一個(gè)新發(fā)起的數(shù)據(jù)流（TCP SYN）2) 路由和控制協(xié)議包括：ICMP,BGP,OSPF3) 交換機(jī)管理流量（交換機(jī)訪問通過Telnet,SSH,HTTP,SNMP…）4) 其他一些直接發(fā)往交換機(jī)并且必須由CPU丟棄如果任何一種類型流量被范洪，CPU都有可能變得非常繁忙并且交換機(jī)的性能將極劇下降。即便使用更快的CPU，也同樣會(huì)被無盡的洪流數(shù)據(jù)包所淹沒。某些先進(jìn)的網(wǎng)絡(luò)核心設(shè)備所具有DOS保護(hù)的設(shè)計(jì)就是幫助交換機(jī)將這類攻擊數(shù)據(jù)流特征化以阻止交換機(jī)的性能下降，并且過濾非法流量以保證正常的交換服務(wù)功能。當(dāng)一個(gè)泛洪數(shù)數(shù)據(jù)被交換機(jī)收到時(shí)，DOS保護(hù)將通計(jì)這類數(shù)據(jù)包。當(dāng)這類數(shù)據(jù)接近報(bào)擎閥值時(shí)（4000包每秒），包頭信息將會(huì)被記尋。如果閥值被達(dá)到，這種類型數(shù)據(jù)包頭將會(huì)被分析，并且一個(gè)自動(dòng)基于硬件處理的ACL會(huì)被創(chuàng)建以限制這類數(shù)據(jù)包流向CPU。ACL將會(huì)被保留以減輕CPU負(fù)載。一定周期后，ACL將會(huì)過期，如果這種攻擊仍然發(fā)生，ACL也將再次被創(chuàng)建。CPU DOS PROTECT 能夠抵御大多數(shù)的DdoS 攻擊如，Jolt, opentear, raped, octopus, boink, winfreeze 等等。針對(duì)一些病毒性攻擊的過濾一些病毒性攻擊會(huì)通過端口1434 和1483 兩個(gè)端口進(jìn)行，可以通過加入相應(yīng)ACL進(jìn)行過濾。create accesslist denyudp1434 udp destination any source any deny ports 1434 precedence 360create accesslist denyudp1483 udp destination any source any deny ports 1434 precedence 380過濾ICMP 包ICMP 數(shù)據(jù)包是另一種我們需要關(guān)心的數(shù)