【正文】 為一體。堆疊后的交換機(jī)之間通過(guò)24Gbps的背板堆疊總線進(jìn)行傳輸，而具有冗余連接的特性（注：市場(chǎng)上大多支持萬(wàn)兆的機(jī)箱式交換機(jī)，機(jī)箱里的插槽模塊之間傳輸?shù)谋嘲蹇偩€帶寬為24Gbps）。GSM73xxS交換機(jī)可以單獨(dú)作為核心或作為萬(wàn)兆匯聚連接核心交換機(jī)，多臺(tái)堆疊后的交換機(jī)可通過(guò)單一的IP地址，在一個(gè)界面里就可以直接配置和升級(jí)整個(gè)堆疊組的交換機(jī)。（GSM73xxS堆疊連接示意圖）另外,GSM73xxS系列交換機(jī)，堆疊后均可以支持跨堆疊的鏈路聚合（LACP）和跨堆疊的端口鏡象技術(shù)；此方案設(shè)計(jì)中的核心交換機(jī)GSM73xxS與匯聚層交換機(jī)GSM7212智能交換機(jī)之間采用雙鏈路互聯(lián)，可提供高達(dá)4Gbps的連接帶寬，并且是冗余備份連接和數(shù)據(jù)傳輸負(fù)載分擔(dān)的。3．全局的網(wǎng)絡(luò)安全控制策略隨著近年來(lái)局域網(wǎng)絡(luò)所面臨著日益增多的黑客攻擊,非法接入,”蠕蟲”病毒攻 IT 網(wǎng)管的成長(zhǎng)型的商業(yè)/企業(yè)網(wǎng)絡(luò),不安全的和不穩(wěn)定的網(wǎng)絡(luò)將會(huì)嚴(yán)重影響整個(gè)商業(yè)/企業(yè)的業(yè)務(wù)開展. 全新設(shè)計(jì)的“下一代安全交換機(jī)”—是迎合未來(lái)和現(xiàn)在商業(yè)/企業(yè)網(wǎng)絡(luò)所需和所關(guān)注的和所面臨問(wèn)題的最佳解決方案的理想產(chǎn)品.那么目前商業(yè)/企業(yè)主要面臨了幾個(gè)方面安全相關(guān)的問(wèn)題:首先,設(shè)備管理安全性—般來(lái)講,許多用戶對(duì)于網(wǎng)絡(luò)設(shè)備的安全最簡(jiǎn)單的印象和概念是需要去修改設(shè)備的管理員帳號(hào)和口令,對(duì)于這些管理上的簡(jiǎn)單常識(shí)問(wèn)題是容,對(duì)于一些大/中/小型應(yīng)用及網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)中,由于在前期網(wǎng)絡(luò)建設(shè)過(guò)程中,從核心到邊緣接入層的大多數(shù)設(shè)備本身就不具備實(shí)現(xiàn)安全保護(hù)的NETGEAR 高速交換網(wǎng)解決方案,園區(qū)和校園網(wǎng)絡(luò)里,這將會(huì)是非常的麻煩和辣手的,因?yàn)槟愕木W(wǎng)絡(luò)將要隨時(shí)面臨著惡意/非惡意的人使用從互聯(lián)網(wǎng)上免費(fèi)下載的攻擊和掃描工具來(lái)干擾你的網(wǎng)絡(luò)設(shè)備的正常使用,比如“中間人”攻擊，非法進(jìn)入交換機(jī)管理界面，竊取交換機(jī)用戶名/密碼/管理 IP 地址等等，信息偵聽探測(cè)，竊取修改管理數(shù)據(jù),出廠恢復(fù)你交換機(jī)的配置等等.其次,設(shè)備抗攻擊性—我們還清晰的記得前兩年”蠕蟲”猖狂泛濫的季節(jié), 比如 Code red worm, MySQL server worm, w32/blaster worm 等蠕蟲病毒的攻擊讓你的網(wǎng)絡(luò)完全處于癱瘓狀態(tài),還有各種各樣的拒絕式 DoS 和 DDoS 攻擊，這些攻擊都能大量消耗網(wǎng)絡(luò)交換機(jī)的 CPU資源，堵塞你數(shù)據(jù)傳輸?shù)膸?第三,接入安全性—對(duì)于大/中型企業(yè)/網(wǎng)絡(luò), IT 網(wǎng)管人員是無(wú)法確定哪些是合法使用網(wǎng)絡(luò)的用戶,哪些是非法的 PC 接入，對(duì)于那些沒(méi)有任何控制能力的有線網(wǎng)絡(luò)設(shè)備,使的商業(yè)/企業(yè)網(wǎng)絡(luò)能輕易的讓非法享用或盜取網(wǎng)絡(luò)資源.因此我們?cè)诖舜畏桨冈O(shè)計(jì)中所推薦的交換機(jī),都是可為成長(zhǎng)型的大、中、小型商業(yè)/企業(yè)構(gòu)建一套行之有效,而且可靠,實(shí)用的安全網(wǎng)絡(luò)解決方案。這兩個(gè)系列的”下一代安全”交換機(jī)都是可以提供全局的訪問(wèn)控制策略的配置,可基于 IP 地址,源/目的地址,端口, 和 QoS 的增強(qiáng)特性可以提供基于應(yīng)用流的流量限制.基于硬件芯片設(shè)計(jì)的下一代接入層安全工作組交換機(jī), 設(shè)計(jì)將服務(wù)質(zhì)量（QoS）、速率限制（Rating Limiting）、多層訪問(wèn)控制列表（ACL），防 DoS 攻擊以及用戶訪問(wèn)認(rèn)證()等功能都集成到硬件芯片上, 智能特性不會(huì)影響到基本二層、三層的線速轉(zhuǎn)發(fā)性能 .下一代全網(wǎng)管安全系列交換機(jī)強(qiáng)大的交換機(jī)硬件體系結(jié)構(gòu)的設(shè)計(jì)對(duì)“紅碼病毒”和“沖擊波病毒”的攻擊具有天生的防御能力，有效保證了設(shè)備和網(wǎng)絡(luò)系統(tǒng)的安全。另外,通過(guò)支持 CAR（Committed Access Rate）功能，為網(wǎng)絡(luò)帶寬的精細(xì)化的管理提供了手段5. 顯著的價(jià)值具有非常誘惑的方案設(shè)計(jì),強(qiáng)大的三層/二層交換機(jī)的功能。、NETGEAR 網(wǎng)絡(luò)關(guān)鍵技術(shù)介紹 鏈路聚合控制(LACP)技術(shù)一般而言,鏈路聚合技術(shù)也稱為主干鏈路捆綁技術(shù)（Trunking），我們可將交換機(jī)的幾個(gè)端口通過(guò)設(shè)置讓它們聚合在一起,就象虛擬成了一個(gè)端口一樣。單個(gè)傳輸鏈路中斷不會(huì)影響其他鏈路的傳輸IEEE IEEE 的使用需要交換機(jī)或服務(wù)器網(wǎng)卡的支持。鏈路聚合控制協(xié)議（Link Aggregation Control Protocol）是 IEEE 標(biāo)準(zhǔn)的主要內(nèi)容之一，它定義了一種標(biāo)準(zhǔn)的聚合控制方式。IEEE 聚合配置之后，鏈路聚合控制協(xié)議數(shù)據(jù)單元（LACPDU）就會(huì)在服務(wù)器和交換機(jī)或者是交換機(jī)與交換機(jī)之間進(jìn)行交換。聚合形成后，交換設(shè)備維護(hù)聚合鏈路狀態(tài)，當(dāng)雙方配置變化時(shí)，自動(dòng)調(diào)整或解散聚合鏈路。當(dāng)聚合狀態(tài)或配置變化事件發(fā)生時(shí)，本系統(tǒng)通過(guò)發(fā)送協(xié)議報(bào)文通知對(duì)端自身的變化。協(xié)議報(bào)文不攜帶序列號(hào)，因此雙方不檢測(cè)和重發(fā)丟失的協(xié)議報(bào)文。另外值得關(guān)心的是,在做鏈路聚合的時(shí)候,建議聚合內(nèi)的鏈路的線路速度最好相同（例如，全都為 100 Mbps 或 1 Gbps），最好都是全雙工的。 VRRP 虛擬路由冗余技術(shù)在 TCP/IP 網(wǎng)絡(luò)中，為了保證一個(gè)主機(jī)能與其他子網(wǎng)內(nèi)的網(wǎng)絡(luò)設(shè)備(比如服務(wù)器)不間斷的訪問(wèn)和傳輸，首先需要為該主機(jī)指定一個(gè)默認(rèn)網(wǎng)關(guān)。動(dòng)態(tài)路由協(xié)議能夠繞過(guò)任意網(wǎng)絡(luò)中的故障點(diǎn)來(lái)選擇到達(dá)目的子網(wǎng)網(wǎng)關(guān)的最佳路徑，但動(dòng)態(tài)路由協(xié)議對(duì)于網(wǎng)絡(luò)設(shè)備的處理開銷較大，且路由表收斂工程慢。但是，使用默認(rèn)網(wǎng)關(guān)的風(fēng)險(xiǎn)是使用缺省網(wǎng)絡(luò)的路由器成了單一的故障點(diǎn)，即如果該路由器發(fā)生故障，所有使用該網(wǎng)關(guān)作為下一跳主機(jī)的通信必然要中斷。NETGEAR 高速交換網(wǎng)解決方案 VRRP 協(xié)議將系統(tǒng)中多臺(tái)三層交換機(jī)或者路由器組成 VRRP 組，該組中擁有一個(gè)虛擬默認(rèn)網(wǎng)關(guān)地址。如果活動(dòng)路由器發(fā)生了故障，它將選擇一個(gè)優(yōu)先權(quán)最高的冗余備份路由器（Backup）來(lái)替代活動(dòng)路由器。那么,對(duì)于一個(gè)虛擬路由器，我們還需要確定如何選舉主虛擬路由器。 2．在一個(gè)虛擬路由器中的其它路由器（除主虛擬路由器之外）作為備份虛擬路由器，隨時(shí)監(jiān)測(cè)主虛擬路由器的狀態(tài)。如果備份虛擬路由器長(zhǎng)時(shí)間沒(méi)有接收到來(lái)自主虛擬路由器的報(bào)文，則將自己狀態(tài)轉(zhuǎn)為 Master。這時(shí)每一個(gè)主虛擬路由器就會(huì)比較 VRRP 報(bào)文中的優(yōu)先級(jí)和自己本地的優(yōu)先級(jí)，如果本地的優(yōu)先級(jí)小于VRRP 報(bào)文中的優(yōu)先級(jí)，則將自己的狀態(tài)轉(zhuǎn)為 Backup，否則保持自己的狀態(tài)不變。 虛擬路由器的狀態(tài) VRRP 協(xié)議定義了虛擬路由器可以處于三種狀態(tài)的其中一種，這三種狀態(tài)Initialize、 Master 和 Backup。在此狀態(tài)時(shí)，路由器不會(huì)對(duì) VRRP 報(bào)文做任何處理。 5) 在 Master 狀態(tài)中只有接收到比自己的優(yōu)先級(jí)大的 VRRP 報(bào)文時(shí)，才會(huì)轉(zhuǎn)為 Backup，只有當(dāng)接收到端口的 Shutdown 事件時(shí)才會(huì)轉(zhuǎn)為Initialize。 4) 只有當(dāng)備份虛擬路由器接收到 MASTER_DOWN 這個(gè)定時(shí)器到時(shí)的事件時(shí)，才會(huì)轉(zhuǎn)為 Master 狀態(tài)，成為主虛擬路由器；而當(dāng)接收到比自己的優(yōu)先級(jí)小的 VRRP 報(bào)文時(shí)，它只是做丟棄這個(gè)報(bào)文的處理，從而就不對(duì)定時(shí)器做重置處理。另外,VRRP 協(xié)議比 CISCO 的 HSRP 的一個(gè)優(yōu)勢(shì)就是支持對(duì) VRRP 報(bào)文的認(rèn)證方式。但是，在一個(gè)有安全性要求的網(wǎng)絡(luò)環(huán)境中，可以對(duì) VRRP 報(bào)文增加認(rèn)證方式，路由器對(duì)發(fā)送 VRRP 報(bào)文增加認(rèn)證字，而接受NETGEAR 高速交換網(wǎng)解決方案VRRP 報(bào)文的路由器會(huì)將收到的 VRRP 報(bào)文的認(rèn)證字與本地配置的認(rèn)證字進(jìn)行比較，若相同，就認(rèn)為是一個(gè)合法的 VRRP 報(bào)文，進(jìn)行處理；若不相同，則認(rèn)為是一個(gè)不合法 VRRP 報(bào)文，就會(huì)丟棄. QoS 策略和控制機(jī)制 QoS 服務(wù)質(zhì)量—隊(duì)列技術(shù)Qos 技術(shù)是能為網(wǎng)絡(luò)中不同類型業(yè)務(wù)的數(shù)據(jù)流提供服務(wù)的能力,主要目的是提供資源帶寬的控制,更有效的使用網(wǎng)絡(luò)資源,控制抖動(dòng)和傳輸延遲及丟包率((如實(shí)時(shí)多媒體應(yīng)用，IP 電話、VOD 視頻點(diǎn)播等),定制可控的服務(wù)和保證關(guān)鍵應(yīng)用的傳輸. 如果僅是 IP 技術(shù)本身是只能提供“盡力(besteffort)”服務(wù)模式的，所以缺乏完善的 QoS 機(jī)制，就無(wú)法適應(yīng)計(jì)算機(jī)及應(yīng)用系統(tǒng)多樣化的要求。解決 IP 網(wǎng)絡(luò) QoS 問(wèn)題的關(guān)鍵在于網(wǎng)絡(luò)如何通過(guò)各種智能手段參予對(duì)不同數(shù)據(jù)流、應(yīng)用系統(tǒng)乃至用戶對(duì)網(wǎng)絡(luò)使用的管理，充分發(fā)揮網(wǎng)絡(luò)的利用率，使有限的帶寬發(fā)揮最大的作用。為實(shí)現(xiàn)上述目的，QoS 提供了下述功能：報(bào)文分類。 網(wǎng)絡(luò)擁塞避免。 QoS 信令協(xié)議等等.NETGEAR 高速交換網(wǎng)解決方案服務(wù)質(zhì)量可以通過(guò)采用多種隊(duì)列的管理工具來(lái)解決不同數(shù)據(jù)流的問(wèn)題,比如:先進(jìn)先出(FIFO)對(duì)列:網(wǎng)絡(luò)擁塞是存儲(chǔ)數(shù)據(jù)包,擁塞解除后,按數(shù)據(jù)包到達(dá)次序轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)先級(jí)別隊(duì)列(PQ):確保重要數(shù)據(jù)流得到最快處理,優(yōu)先級(jí)別越高的數(shù)據(jù)有限處理.優(yōu)先級(jí)隊(duì)列可以根據(jù)網(wǎng)絡(luò)協(xié)議,接口,數(shù)據(jù)包大小以及源/目的地址來(lái)賦予數(shù)據(jù)包的級(jí)別高低. 一般的網(wǎng)絡(luò)設(shè)備 PQ 都可支持四個(gè)優(yōu)先級(jí)別，依次為：高優(yōu)先級(jí)，中等優(yōu)先級(jí)，一般優(yōu)先級(jí)和低優(yōu)先級(jí),而此方案中使用的交換機(jī)都是每端口都可支持 8 個(gè)優(yōu)先隊(duì)列(07)的, IP 優(yōu)先級(jí)值有 8 個(gè)(07)，0 優(yōu)先級(jí)最低，7 優(yōu)先級(jí)最高。但在 IPv6 協(xié)議中并沒(méi)有嚴(yán)格規(guī)定 IPv6 路由設(shè)備應(yīng)如何使用這一優(yōu)先級(jí)區(qū)域 定制隊(duì)列(CQ):上提供一定固定比例的帶寬,其他帶寬給其他應(yīng)用使用. 我們可以設(shè)置各個(gè)輪選隊(duì)列的發(fā)送的大小。CQ 最大可以支持 16NETGEAR 高速交換網(wǎng)解決方案?jìng)€(gè)輪選隊(duì)列。加權(quán)隊(duì)列(WFQ):提供智能隊(duì)列工具,可以確保隊(duì)列得到帶寬, 然后根據(jù)加權(quán)公平算法對(duì)各種業(yè)務(wù)流量進(jìn)行公平調(diào)度。這種隊(duì)列機(jī)制配置方便。在輸入端口，每個(gè) IP 流都可以進(jìn)行速度限制，基于數(shù)據(jù)流進(jìn)行帶寬分配。流量控制可以基于第 2 層端口、數(shù)據(jù)流類以及單個(gè)第 4 層數(shù)據(jù)流，可以應(yīng)用于不同的環(huán)境，為接入提供不同級(jí)別的訪問(wèn)速度控制。 QoS 服務(wù)質(zhì)量DiffServ 區(qū)分服務(wù) DiffServ 是 IETF 組織在 1998 年推出的基于 DSCP 的 QoS 解決方案，這是一種基于類的 QoS 技術(shù)，主要用于骨干網(wǎng)。DiffServ 通過(guò)將業(yè)務(wù)定義為有限的類，可以很好地解決擴(kuò)展性的問(wèn)題，同時(shí)，由于 DiffServ 很好地沿襲了 IP 本身的技術(shù)理念。因此，目前商用網(wǎng)絡(luò)中的 QoS實(shí)現(xiàn)總體上基本都是基于 DiffServ 模型的。與 IntServ 不同，它不需要使用 RSVP(帶寬預(yù)留技術(shù))，即應(yīng)用程序在發(fā)出報(bào)文前，不需要通知路由設(shè)備為其預(yù)留資源?？梢杂貌煌姆椒▉?lái)指定報(bào)文的QoS，如 IP 報(bào)文的優(yōu)先級(jí)位（IP Precedence)，報(bào)文的源地址和目的地址等。 通常在配置 DiffServ 時(shí)，在邊界設(shè)備上通過(guò)報(bào)文的源地址和目的地址等對(duì)報(bào)文進(jìn)行分類，對(duì)不同的報(bào)文設(shè)置不同的 CoS 值，而其他設(shè)備只需要用 CoS 值來(lái)進(jìn)行報(bào)文的分類。它通過(guò)下列技術(shù)來(lái)現(xiàn)：CAR(允許的訪問(wèn)速率)：它根據(jù)報(bào)文的 ToS 或 CoS 值（對(duì)于 IP 報(bào)文是指 IP 優(yōu)先級(jí)或者 DSCP，對(duì)于層 MPLS 報(bào)文是指 EXP 域等等）、IP 報(bào)文的五元組等信息進(jìn)行報(bào)文分類，完成報(bào)文的標(biāo)記和流量監(jiān)管。 在 DiffServ 的服務(wù)中，有擁塞管理和擁塞避免兩種策略。典型的擁塞管理策略有：WFQ（加權(quán)公平隊(duì)列）、PQ（優(yōu)先級(jí)隊(duì)列）、CQ（可定制隊(duì)列）等等。但是，當(dāng)出現(xiàn)網(wǎng)絡(luò)擁塞的時(shí)候，入口帶寬往往是高于NETGEAR 高速交換網(wǎng)解決方案出口帶寬的。這個(gè)時(shí)候數(shù)據(jù)設(shè)備默認(rèn)會(huì)對(duì)進(jìn)入的數(shù)據(jù)包實(shí)施尾部丟棄，丟棄所有入站數(shù)據(jù)包直至總數(shù)據(jù)隊(duì)列不再溢出為止。所以我們需要一種策略來(lái)防止總數(shù)據(jù)隊(duì)列的溢出，這就是擁塞避免策略。WRED 可以根據(jù)用戶的需要，對(duì)不同的數(shù)據(jù)流設(shè)置不同的丟棄閥值。通過(guò)丟棄低級(jí)別的數(shù)據(jù)包來(lái)避免總數(shù)據(jù)隊(duì)列的溢出，保證高優(yōu)先級(jí)的數(shù)據(jù)包始終能夠進(jìn)入數(shù)據(jù)總隊(duì)列接受調(diào)度。擁塞避免策略一般用于入站接口，防止因?yàn)榫€路擁塞而使數(shù)據(jù)中繼設(shè)備的隊(duì)列溢出。 訪問(wèn)控制安全機(jī)制NETGEAR “下一代”安全系列交換機(jī) GSM73xxS 和 FSM73xxS 提供了強(qiáng)勁的基于硬件的 2/3/4 層的訪問(wèn)控制列表，其 ACL 表項(xiàng)可自定義 100 條策略,每個(gè)策略可自定義 22 條規(guī)則，完全滿足整個(gè)應(yīng)用網(wǎng)絡(luò)的需求，全新設(shè)計(jì)的,基于硬件處理的 ACL功能啟用后，不會(huì)對(duì)影響整個(gè)網(wǎng)絡(luò)的交換的性能,保護(hù)路由處理。另外,利用 ACL 技術(shù)和 Qos 機(jī)制可有效控制和防止網(wǎng)絡(luò)病毒的傳播和非法的攻擊.ProSafe GSM73xxS 和 FSM73xxS 系列可以對(duì)用戶進(jìn)行基于用戶的認(rèn)證和授權(quán)，可支持完整的 + Radius work login 功能,配合 NETGEAR 在中國(guó)的 客戶端軟件及 Radius Server 軟件,可實(shí)現(xiàn)用戶名與 客戶端 IP 地址,客戶端 MAC 地址,所接交換機(jī)的管理 IP 地址(NAS IP Address),交換機(jī)端口及端口 VLAN ID , 客戶端軟件及 Radius Server , 下一代全網(wǎng)管安全系列交換機(jī)還具備交換機(jī)端口/MAC 地址綁定和多種層次(L2/3/4)的 ACL安全訪問(wèn)控制功能.。NETGEAR 高速交換網(wǎng)解決方案 用戶端口隔離方法一：用 Vlan 隔離。方法二：利用 Port Vlan 技術(shù)。MAC 地址和端口綁定的方式可分為靜態(tài)綁定和動(dòng)態(tài)綁定兩種：1）靜態(tài)綁定可通過(guò)在交換機(jī)的端口上配置指定的 MAC 地址列表來(lái)實(shí)現(xiàn)。該功能主要用戶防止非法用戶使用網(wǎng)絡(luò)，同時(shí)亦由于 MAC 地址的唯一性，網(wǎng)絡(luò)管理員可以通過(guò)查看數(shù)據(jù)包的 MAC 地址快速定位網(wǎng)絡(luò)故障點(diǎn)。一直到指定的 MAC 地址數(shù)量時(shí)，交換機(jī)端口關(guān)閉并清除 MAC 地址，然后再重學(xué)習(xí)。 ACL 訪問(wèn)控制NETGEAR 高速交換網(wǎng)解決方案ACL 是應(yīng)用到交換機(jī)接口