【正文】 能夠在當(dāng)前的交換式網(wǎng)絡(luò)中作出更加智能的故障切換決策。在這種情況下， ESRP 將確定備份路由器是否有更多的連接 VLAN 的活動(dòng)鏈路，并啟動(dòng)到備份路由器的切換。 ESRP 的故障切換時(shí)間非常短，在 26 秒的范圍內(nèi)。在目前的主用路由器上發(fā)生上連故障時(shí)， ESRP 會(huì)切換到有活動(dòng)上連鏈路的備份路由器。只有活動(dòng)的 ESRP 路由器廣播自己的子網(wǎng)，從而最大限度地提高入口流量成功轉(zhuǎn)發(fā)的概率。 ESRP 具有內(nèi)置的第二層冗余，它可以作為生成樹替代方案使用，在使用默認(rèn)參數(shù)時(shí)的收斂時(shí)間為 58 秒。這一故障切換時(shí)間非常短，要遠(yuǎn)遠(yuǎn)快于生成樹協(xié)議。因此，實(shí)際方案設(shè)計(jì)中，全極進(jìn)網(wǎng)絡(luò)的環(huán) 境可啟用 ESRP，而通過 VRRP 連接其它品牌交換機(jī)。 硬件 ACL ACL 是網(wǎng)絡(luò)安全的重要措施，它用于堵截惡意數(shù)據(jù)流、防止蠕蟲病毒傳播以及保護(hù)敏感數(shù)據(jù)免受非法訪問等目的。當(dāng)網(wǎng)絡(luò)中發(fā)現(xiàn)此類病毒時(shí)，由于對(duì)所有計(jì)算機(jī)逐一檢查并清除病毒需要較長(zhǎng)時(shí)間，在確信病毒已被完全清除之前，應(yīng)當(dāng)立即在交換機(jī)上設(shè)置 ACL 來阻止病毒傳 播。網(wǎng)絡(luò)中感染了病毒的計(jì)算機(jī)會(huì)不受控制地不斷試圖感染其它計(jì)算機(jī)，它連續(xù)不斷地發(fā)出大量的數(shù)據(jù)包來試探，這將阻塞正常的數(shù)據(jù)流，使網(wǎng)絡(luò)速度減慢，以至嚴(yán)重影響網(wǎng)絡(luò)的正常使用。以廣為熟悉的“沖擊波”病毒為例，受感染的 PC 不斷試圖感染其它計(jì)算機(jī)，造成網(wǎng)絡(luò)擁塞。至于一些新發(fā)布的操作系統(tǒng)漏洞，在新補(bǔ)丁尚未全部安裝到所有PC，并且新的反病毒軟件尚不可得時(shí)（種情況業(yè)內(nèi)稱為“ DayZero Threats （零天威脅”），就全靠 ACL 來保證網(wǎng)絡(luò)不受新病毒感染了。 BlackDiamond 8810 的 ACL 功能還有另一獨(dú)特的優(yōu)勢(shì)，就是它的定義非常靈活，它是業(yè)內(nèi)唯一一款使用高級(jí)語言（類 C）定義 ACL 的交換機(jī)。競(jìng)爭(zhēng)對(duì)手的產(chǎn)品，當(dāng)用戶發(fā)現(xiàn)定義了一條錯(cuò)誤的 ACL 規(guī)則時(shí)，是不能修改的，只能刪除后重新定義。這樣， ACL 的編輯、修改非常方便。 BlackDiamond 8810 每模塊支持 4K 條 ACL 規(guī)則。所謂DOS 攻擊，就是黑客發(fā)出大量欺騙性的請(qǐng)求，使服務(wù)器或網(wǎng)絡(luò)設(shè)備忙于應(yīng)付而無法提供正常的服務(wù)。 BlackDiamond 8810 具有防范和應(yīng)對(duì) DOS 攻擊 的多方位、全面的能力，保證在受到 DOS 攻擊時(shí)，交換機(jī)仍能提供一如往常的 服務(wù)。如果一個(gè)子網(wǎng)的缺省網(wǎng)關(guān)被假冒，則整個(gè)子網(wǎng)通信都不正常。 ARP 欺騙可以是攻擊者有意為之，也可能是攻擊者受病毒感染而不自覺造成的。這對(duì)網(wǎng)管人員造成更嚴(yán)重的挑戰(zhàn)。 首先， BlackDiamond 8810 作為核心路由交換機(jī)，它的 IP 地址也是其它站點(diǎn)的缺省網(wǎng)關(guān)。因此，沒有人能假冒缺省網(wǎng)關(guān)。通常，當(dāng)網(wǎng)絡(luò)站點(diǎn)收到一個(gè) ARP 請(qǐng)求時(shí)，就會(huì)把該請(qǐng)求包中的源 IP 和源 MAC 取出構(gòu)成一個(gè) ARP 表項(xiàng)，去更新自己的 ARP 表。值得注意的是， ARP 欺騙的攻擊者也可以利用 Gratuitous ARP Request 來達(dá)到目的，它只要廣播一個(gè) ARP 請(qǐng)求包，其目標(biāo) MAC 地址是廣播地址，源 MAC 地址是攻擊者的 MAC 地址，源 IP 是要假冒的 IP，而要求解釋的 IP 也是要假冒的 IP，這樣，整個(gè)子網(wǎng)的所有站點(diǎn)（包括作為缺省網(wǎng)關(guān)的路由器）就會(huì)刷新 ARP 表，使被假冒的 IP 對(duì)應(yīng)于攻擊者的 MAC地址，而不是原來 正確的 MAC 地址。 攻擊者也可能假冒某些“平凡”站點(diǎn)（例如普通 PC）的 IP。其結(jié)果是，在BlackDiamond 8810 上，該 VLAN 中只有通過 DHCP 得到 IP 的站點(diǎn)和手工輸入靜態(tài) ARP 條目的站點(diǎn)才有對(duì)應(yīng)的 ARP 條目，而且這些條目永遠(yuǎn)不變。這樣，被假冒者與其它子網(wǎng)的通信都保持正常，但與自身所在子網(wǎng)的通信仍可能有問題。關(guān)閉 ARP 學(xué)習(xí) 這種方式 ，也用于強(qiáng)制用戶使用DHCP 獲得 IP，而不是用手工指定 IP，因?yàn)椋挥型ㄟ^ DHCP 得到 IP 的站點(diǎn)在BlackDiamond 8810 上才有 對(duì)應(yīng)的 ARP 條目。強(qiáng)制用戶使用 DHCP 獲得 IP，可以避免 IP 地址重復(fù)。網(wǎng)絡(luò)的性能評(píng)估和健康診斷非常需要流量統(tǒng)計(jì)和分析工具。對(duì)于非常粗略的流量統(tǒng)計(jì)， SNMP 也可勝任。端口鏡像可以提供最詳盡的分析報(bào)告（只要分析軟件有能力），但是它分析的范圍有限，它只能在同一時(shí)間監(jiān)控少數(shù)端口，而不能監(jiān)控交換機(jī)的所有端口，更不能監(jiān)控整個(gè)網(wǎng)絡(luò)。 SFlow 采用抽樣檢查的統(tǒng)計(jì)方式，可以詳盡地分析網(wǎng)絡(luò)流量的組成成分，可以同時(shí)分析整臺(tái)交換機(jī)甚至整個(gè)網(wǎng)絡(luò)，并且可以分析萬兆端口。 SFlow 是一種體系結(jié)構(gòu)，它定義交換機(jī)如何向 流量分析 /統(tǒng)計(jì)軟件提供流量信息，以及流量分析 /統(tǒng)計(jì)軟件如何從交換機(jī)獲取流量信息。情況類似于 SNMP 和 RMON。 SFlow 對(duì)網(wǎng)絡(luò)的透視作用，就如同 X 光機(jī)和 CT 掃描等醫(yī)療設(shè)備在診斷人體病患上的作用一樣。通過 SFlow 的分析，可以及時(shí)發(fā)現(xiàn)潛在的安 全隱患、發(fā)現(xiàn)病毒和攻擊源、探究蠕蟲病毒的特征以及分析網(wǎng)絡(luò)性能問題。 ? 分析某臺(tái)服務(wù)器的流量的組成成分，有助于較為準(zhǔn)確地評(píng)估服務(wù)器的性能。例如可以確定，是 FTP 太多導(dǎo)致 Web 響應(yīng)遲緩，還是 Web 本身的流量就太大，當(dāng)然，如果其它端口的流量還相當(dāng)可觀，則應(yīng)當(dāng)將這些端口關(guān)閉。 SFlow 可以在麻煩出現(xiàn)之前就發(fā)現(xiàn)它。 綜合考慮，我們?cè)诮粨Q機(jī)上可同時(shí)啟動(dòng)防病毒 ACL，防 ARP 欺騙和sFlow 流量監(jiān)控功能，實(shí)時(shí)智能地發(fā)現(xiàn)全網(wǎng)異常流量并將其過濾；同時(shí)如果安全需求，我們可進(jìn)一步在交換機(jī)支持 證，防止非法用戶接入上網(wǎng)。為了滿足現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)管理與維護(hù)的要求，減低理與維護(hù)的工作強(qiáng)度復(fù)雜度，提高工作效率， Extreme 公司推出了全面的網(wǎng)絡(luò)管理解決方案 EPICenter。 Extreme EPICenter工具包括： ? 設(shè)備探測(cè) 發(fā)現(xiàn)和管理網(wǎng)上的設(shè)備 ? ? VLAN 工具 —多個(gè)交換 VLAN 的創(chuàng)建和管理 ? Extreme 監(jiān)控工具 —對(duì)每一臺(tái)交換機(jī)進(jìn)行全面的配置和狀態(tài)監(jiān)控 ? 實(shí)時(shí)統(tǒng)計(jì)工具查看多端口、多交換機(jī)數(shù)據(jù)的實(shí)時(shí)統(tǒng)計(jì)程序 ? MAC/IP 尋址工具 —搜索 MAC 和 IP 地址的工具 ? 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)管理管理、生成和監(jiān)控網(wǎng)絡(luò)的拓?fù)鋱D ? 配置管理中心對(duì)全網(wǎng)的配置進(jìn)行集中的 管理 ? ESRP/VRRP 管理 —管理和配置 ESRP/VRRP ? 報(bào)警系統(tǒng)對(duì)網(wǎng)絡(luò)的異常進(jìn)行報(bào)警 ? 動(dòng)態(tài)報(bào)表工具生成被管理設(shè)備的報(bào)表 ? Administration 工具 —中心化用戶管理和 RADIUS 鑒別 EPICenter 利用 Java 工具實(shí)現(xiàn)了一個(gè)三層的客戶機(jī) /服務(wù)器 /數(shù)據(jù)庫(kù)體系結(jié)構(gòu)。 EPICenter 的三部分主要功能是服務(wù)器及其關(guān)系數(shù)據(jù)庫(kù)、管理統(tǒng)（ RDBMS）和 EPICenter 固有的基于 瀏覽器的客戶機(jī)應(yīng)用。 RDBMS 就是 Sybse Adaptive Server Anywhere，它包含EPICenter 用來管理已確認(rèn)的設(shè)備和 EPICenter 用戶的信息，數(shù)據(jù)庫(kù)是用作永久數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)緩存的。 Extreme 網(wǎng)絡(luò)管理解決方案的特點(diǎn) 擴(kuò)充的管理能力 無論應(yīng)用環(huán)境設(shè)計(jì)得多么完善，網(wǎng)絡(luò)管理仍然是一個(gè)困難的任務(wù)，改變網(wǎng)絡(luò)配置，創(chuàng)建虛擬局域網(wǎng)（ VLAN），創(chuàng)建協(xié)議過濾器，以及路由任務(wù)的分配都是非常復(fù)雜的功能。因?yàn)檫@個(gè)管理模塊有一個(gè)用戶接口，它可以簡(jiǎn)化所有這些動(dòng)作。 EPICenter 的 配置管理器 提供了一 個(gè)機(jī)制和一個(gè)圖形界面，用來從被管理設(shè)備上載或者向被管理設(shè)備下載配置文件，這個(gè)軟件還可以將 EPICenter 的軟件映射下載到 Extreme Networks 的設(shè)備中去 ，配置管理器還提供一個(gè)方式儲(chǔ)存配置文件，從而允許多個(gè)版本的跟蹤。 虛擬局域網(wǎng)（ VLAN）管理器 允許管理員級(jí)的用戶控制 VLAN 管理的所有方面，這包括創(chuàng)建和刪除 VLAN 的能力，在現(xiàn)有 VLAN 上增加和減少端口的能力，創(chuàng)建和修改用以過濾 VLAN 業(yè) 務(wù)的協(xié)議過濾器的能力，以及對(duì)成員交換機(jī)分配路由責(zé)任的能力。故障探測(cè)是以 SNMP Trap， RMON 門 限和輪詢?yōu)榛A(chǔ)的。報(bào)警系統(tǒng)是可以定制的，因此，它可以在用戶指定的條件（如特定的重復(fù)次數(shù)或超出指定的門限值等）下報(bào)告錯(cuò)誤。 全面的網(wǎng)絡(luò)監(jiān)控 錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)可以由幾百個(gè)交換機(jī)和數(shù)以千計(jì)的獨(dú)立端口組成。 清單工具 為所有受 EPICenter 管理或監(jiān)視的設(shè)備建立一個(gè)數(shù)據(jù)庫(kù)，這些設(shè)備包括 Summit、 Alpine 和 BlackDiamond 交換機(jī)以及任何與 MIB－Ⅱ兼容的第三方設(shè)備。使用個(gè)applet，用戶可以修改基本的交 換機(jī)配置信息，并在 EPICnter 的清單數(shù)據(jù)庫(kù)中增加或刪除設(shè)備。 配置和狀態(tài)監(jiān)視工具 就是已知的 ExtremeView。使用這個(gè)模塊，無論是對(duì) Extreme Networks 的交換機(jī)還是對(duì)某些第三方設(shè)備，都可以通過基于瀏覽器的界面進(jìn)行監(jiān)視和控制，而不需要調(diào)用一個(gè)單獨(dú)的程序或者個(gè)單獨(dú)的遠(yuǎn)程登錄的會(huì)話。 ExtremeView 的四個(gè)主要功能是狀態(tài)、配置、統(tǒng)計(jì)和多會(huì)話遠(yuǎn)程登錄，這些功能共同收集端口統(tǒng)計(jì)信息，并以一種簡(jiǎn)單，合理的方式管理各種配置。應(yīng)用來自交換機(jī)的 RMON 數(shù)據(jù)，這個(gè)工具允許用戶以多種方式察看端口用情況和差錯(cuò)情況。實(shí)時(shí)統(tǒng)計(jì)工具還提供顯示過濾器，用來根據(jù)一個(gè)可配 置的端口的 TOPN 值來挑選顯示內(nèi)容。 MAC 地址或 IP 地址查找工具提供一個(gè)簡(jiǎn)單但功能強(qiáng)大的界面，用來在第 2 層（ MAC 層）或第 3 層（ IP）層查明已知地址的位置。 拓?fù)涔ぞ?允許用戶以一組網(wǎng)絡(luò)圖的形式顯示 EPICenter 管理的設(shè)備和設(shè)備之間的鏈接。當(dāng)設(shè)備加入到 EPICenter 的設(shè)備清單中時(shí)，拓?fù)涑绦蜃詣?dòng)在用戶的網(wǎng)絡(luò)圖中增加設(shè)備結(jié)點(diǎn)。用戶可以通過移動(dòng)設(shè)備網(wǎng)元，通過增加鏈路連接、非管理結(jié)點(diǎn)文本字符、調(diào)整以發(fā)現(xiàn)的設(shè)備來定制最終的網(wǎng)絡(luò)圖。 EPICenter 具有生成 動(dòng)態(tài)報(bào)告 的能力。 EPICenter 有一系列預(yù)先定義好的頁面，它們以圖形形式顯示端口的鏈接狀態(tài)，環(huán)境狀態(tài)和物理配置。 EPICer 也考慮到了嚴(yán)竣的網(wǎng)絡(luò)安全需求。 EPICenter 提供下列三個(gè)級(jí)別的訪問： ?監(jiān)視管理（ monitor）（察看交 換機(jī)參數(shù)和狀態(tài)） ?配置管理（ manager）（修改交換機(jī)參數(shù)） ?特權(quán)管理 (administrator)（創(chuàng)建、修改和刪除用戶帳號(hào)， RADIUS 認(rèn)證） 第 4章 極進(jìn)網(wǎng)絡(luò)方案特色與優(yōu)勢(shì) 網(wǎng)絡(luò)的高可靠性 Extreme 公司的網(wǎng)絡(luò)解決方案從設(shè)備的高可靠性、對(duì)應(yīng)用的高保障性和鏈路的高可靠性方面都給出了全面的解決方案。 在網(wǎng)絡(luò)的核心層、匯聚層和接入層使用的網(wǎng)絡(luò)設(shè)備都支持電源冗余備份配置。 BlackDiamond8810 產(chǎn)品均為全冗余設(shè)計(jì)，支持電源、風(fēng)扇、管理模塊、交換引擎的冗余配置，無任何單點(diǎn)故障。 Extreme 獨(dú)有的 hitless Failover 技術(shù)保證交換機(jī)在升級(jí)并啟用新版本軟件、主備用主控模塊切換、或更換其它模塊時(shí)，均可保證網(wǎng)絡(luò)繼續(xù)保持工作，無任何數(shù)據(jù)流中斷的發(fā)生。硬件采用具備 ECC 能力的內(nèi)存，智能電路的電源系統(tǒng)，模塊是否插緊的監(jiān)控能力。由于采用模塊化的多進(jìn)程系統(tǒng)軟件，單一進(jìn)程的故障不會(huì)導(dǎo)致整個(gè)設(shè)備系統(tǒng)的癱瘓，從而保證全面的可靠性。通過EAPS 技術(shù)，可以實(shí)現(xiàn)在進(jìn)行鏈路切換的的時(shí)候，不會(huì)導(dǎo)致上層路由協(xié)議的動(dòng)蕩，從而 保證數(shù)據(jù)流的連續(xù)、可靠運(yùn)行傳輸。 Extreme 的網(wǎng)絡(luò)設(shè)備支持所有的傳統(tǒng)安全技術(shù)： ACL、 VLAN、 IP 地址與 MAC 地址綁定、 MAC 地址與端口綁定等，為了給用戶提供更為全面的網(wǎng)絡(luò)安全保證， Extreme 設(shè)備還支持如下的安全特性： ? 支持用戶接入認(rèn)證功能。通過該功能，網(wǎng)絡(luò)系統(tǒng)可以控制用戶是否能夠接入網(wǎng)絡(luò)和如何使用網(wǎng)絡(luò)資 源，無論用戶的終端設(shè)備設(shè)備是否配置了正確的 IP 地址，只有使用設(shè)備的用戶擁有合法的用戶帳號(hào)才能接入網(wǎng)絡(luò)，否則，用戶是無法接入網(wǎng)絡(luò)系統(tǒng)的。 ? 將用戶接入認(rèn)證功能與第三方的網(wǎng)絡(luò)安全技術(shù)（如： segate）相結(jié)合，網(wǎng)絡(luò)系統(tǒng)可以在對(duì)用戶合法性進(jìn)行認(rèn)證的同時(shí)，還可以對(duì)用戶使用的終端設(shè)備的安全性進(jìn)行檢查，確定終端系統(tǒng)是否存在安全漏洞（如是否安裝了最新的“補(bǔ)丁”），若終端系統(tǒng)存在安全漏洞，網(wǎng)絡(luò)系統(tǒng)將可以強(qiáng)制終端設(shè)備進(jìn)行漏洞修補(bǔ)，然后才允許終端和用戶接入到網(wǎng)絡(luò)。 ? Extreme 公司的用戶接入認(rèn)證技術(shù)可以將通過認(rèn)證的用戶動(dòng)態(tài)分配到特定的VLAN 中，通過對(duì) VLAN 的控制，最終實(shí)現(xiàn)對(duì)用戶可使用網(wǎng)絡(luò)資源的控制。通過單端口上多用戶接入認(rèn)證技術(shù)，可以保證用戶接入認(rèn)證技術(shù)的廣泛應(yīng)用以及在異構(gòu)網(wǎng)絡(luò)上的實(shí)施。通過 Extreme 網(wǎng)絡(luò)設(shè)備上的 MAC 地址鎖定和MAC 地址限 制功能，網(wǎng)絡(luò)系統(tǒng)可以控制非法設(shè)備的接入，進(jìn)一步提高網(wǎng)絡(luò)的安全性。在網(wǎng)絡(luò)覆蓋范圍日益擴(kuò)大和網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜的今天，越來越多的網(wǎng)絡(luò)通過 DHCP 方式來實(shí)現(xiàn) IP 地址的分配，通過DHCP 的使用，系統(tǒng)管理員可以更好的實(shí)現(xiàn)網(wǎng)絡(luò)的優(yōu)化與管理，降低網(wǎng)絡(luò)管理的復(fù)雜度。利用 Extreme 網(wǎng)絡(luò)設(shè)備獨(dú)有的的 ARP Learning Disable 功能，系統(tǒng)管理員可以針對(duì)性地強(qiáng)制網(wǎng)絡(luò)設(shè)備上 的某些端口連接的終端設(shè)備必須使用DHCP 獲得的 IP 地址，否則終端設(shè)備不能夠接入網(wǎng)絡(luò)，進(jìn)而保證網(wǎng)絡(luò)的安全性。 Extreme 公