2.6.3 IEEE 802.1x 认证
在传统的局域网环境中,只要有物理的连接端口,未经授权的网络设备就可以接入局域网,或者通过连接到局域网的设备进入网络,从而给企业造成了潜在的安全威胁。另外,在学校、智能小区等需要计费的网络中,验证用户接入的合法性也非常重要。 IEEE 802.1x 作为解决这个问题的良药,已经被集成到二层智能交换机中,可用于完成对用户的接入安全审核。
IEEE 802.1x 执行基于端口的网络访问控制。基于端口的网络访问控制使用交换的局域网( LAN)基础设施的物理特征来验证连接到 LAN 端口的设备,并防止访问身份验证进程已经失败的那个端口连接。 IEEE 802.1x 身份验证用于对有线以太网和无线 IEEE 802.11 网络进行经过身份验证的网络访问。 IEEE 802.1x 通过提供对集中式用户标识、身份验证、动态密钥管理和计账的支持来提高安全性和部署。
1. IEEE 802.1x 认证元素
在 IEEE 802.1x 协议中,只有具备了以下三个元素(如图 2-25 所示)才能够完成基于端口的访问控制的用户认证和授权。
客户端。一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
认证系统。在以太网系统中主要是认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
认证服务器。通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
802.1x 协议与 LAN 是无缝融合的。 802.1x 利用了交换 LAN 架构的物理特性,实现了 LAN端口上的设备认证。在认证过程中, LAN 端口要么充当认证者,要么扮演请求者。在作为认证者时, LAN 端口在需要用户通过该端口接入相应的服务之前,首先进行认证,若认证失败则不允许接入;在作为请求者时, LAN 端口则负责向认证服务器提交接入服务申请。基于端口的 MAC 锁定只允许信任的 MAC 地址向网络中发送数据。来自任何“不信任”设备的数据流会被自动丢弃,从而确保最大限度的安全。
2. IEEE 802.1x 认证过程
配置 IEEE 802.1x 基于端口的认证,必须启用认证、授权、计账( Authentication Authorization Accounting, AAA),以及认证方法列表。认证方法列表描述了查询和认证用户的次序与认证方法。
以下是 802.1x AAA 处理过程。
用户连接到交换机端口。
执行认证。
基于 RADIUS 服务器的 VLAN 分配被启用。
交换机将开始信息发送至计账服务器。
再次执行认证。
交换机发送临时计费更新信息到计账服务器。
用户从端口断开连接。
交换机发送终止信息到计账服务器。
第 3 章 交换机的选择与适用
就像梁桥、拱桥、斜拉桥、悬索桥等既功能相似,又各有其不同的特点和用途一样,交换机的种类非常之多,不仅彼此之间的性能差异较大,而且各自拥有不同的特点,分别适用于不同的场合。因此,必须根据实际环境和应用需要进行合理的选择。
3.1 交换机的分类与适用
根据不同的标准,可以对交换机作不同的分类。不同类型的交换机,各有其功能、特点和应用范围,因此,对于网络管理者而言,应当根据具体的使用环境和实际需求选择最恰当的交换机产品。
3.1.1 智能与傻瓜交换机
以交换机是否可管理为标准,可将其划分为智能交换机与傻瓜交换机。
1. 智能交换机
拥有独立的网络操作系统,可以进行配置和管理的交换机,称为智能交换机(也称可网管交换机)。
随着网络规模的扩大,接入计算机数量的增多,汇聚层交换机和核心层交换机必须选用可网管交换机,从而划分 VLAN、隔离广播域,提高数据传输效率,保障对敏感部门(总裁、财务、研发、人力资源等)的访问安全。对一些有较高性能和安全性需求,或者有较复杂网络应用的部门或工作组而言,也应当采用可网管交换机。
可网管交换机都有一个明显的特点,即都拥有一个“ CONSOLE”端口,或者位于机箱的背板,或者位于机箱的前面板(如图 3-1所示)。可网管交换机除了可以直接连接到交换机的 Console 口配置和管理外,还可以借助网络实现远程管理和维护。
2. 傻瓜交换机
不能进行配置和管理的交换机,称为傻瓜交换机(也称不可网管交换机)。如果局域网络
对性能和安全性要求不是很高,那么工作组交换机可以选用不可网管交换机。由于傻瓜交换机价格非常便宜,因此被广泛应用于低端网络(如学生机房、网吧等)的接入层,用于提供大量廉价的网络接口。傻瓜交换机没有“ CONSOLE”端口。图 3-2 所示为 D-Link 傻瓜交换机。
3.1.2 固定端口与模块化交换机
以交换机的结构为标准,可将其划分为固定端口交换机和模块化交换机。
1. 固定端口交换机
固定端口交换机虽然相对来说价格便宜一些,但是只能提供有限数量的固定端口(如100Base-TX、 1000Base-T、 1000Base-SX 等)和固定类型的接口(如 StackWise 和 FlexStack堆叠接口)或插槽(如 GBIC、 SFP、 X2、 XFP 等插槽)。因此,无论从可连接的用户数量上,还是从可使用的传输介质上,都具有一定的局限性,通常作为接入层交换机,为普通用户提供网络接入;或者作为汇聚层交换机,实现接入层交换机之间的连接。图 3-3 所示为 Cisco Catalyst 3560 系列固定端口交换机,被用于为中高端用户提供网络接入。
如果交换机拥有 GBIC、 SFP 或 XFP 等类型的插槽,可以根据需要选用不同标准的模块(如 1000Base-SX、 1000Base-LX 或 1000Base-T 等),以适应多种类型的传输介质(双绞线、多模光纤、单模光纤等),从而拥有一定的灵活性。
2. 模块化交换机
模块化交换机(也称机箱交换机)虽然在价格上要昂贵得多,但拥有更大的灵活性和可扩充性,用户可任意选择不同数量、不同速率和不同接口类型的模块,以适应千变万化的网络需求。而且,模块化交换机都拥有很高的处理性能(背板带宽、转发速率和传输速率等)、很强的容错能力,支持交换模块的冗余备份,并且往往拥有可热插拔的双电源,以保证交换机的电力供应。因此,模块化交换机通常被应用于核心层交换机或汇聚层交换机,以适应大量的数据转发处理,以及复杂的网络环境和网络需求。图 3-4 所示为 Cisco Catalyst 4503 模块化交换机。
在选择交换机时,应按照网络需求和投入资金,综合考虑选择模块化交换机或固定端口交换机。一般来说,核心层交换机应考虑其扩充性、兼容性和排错性,因此,应当选用模块化交换机;而汇聚层交换机和接入层交换机则由于任务较为单一,故可采用简单的固定端口交换机。
3.1.3 接入层、汇聚层与核心层交换机
以交换机的应用规模或所处网络位置为标准,可以将网络交换机划分为接入层交换机、汇聚层交换机和核心层交换机,如图 3-7 所示。通常情况下,支持 500 个信息点以上大型网络应用的交换机为核心层交换机,支持 300 个信息点以下中型网络的交换机为汇聚层交换机,而支持 100 个信息点以内的交换机为接入层交换机。
1. 接入层交换机
接入层交换机(也称工作组交换机)通常为固定配置端口交换机,拥有 16~48个 100Base-TX 或 1000Base-T 以太网端口,用于实现普通计算机的网络接入。同时,还往往拥有 2~4 个 1000 Mbps(甚至是10 Gbps)端口或插槽,用于实现与汇聚层交换机的千兆位(或万兆位)连接。图 3-8所示为 Cisco Catalyst 2960S 系列接入层交换机。小型网络中的接入层交换机往往是
不可管理的傻瓜交换机,而大中型网络中的接入层交换机则一般采用可网管交换机,以提高网络的安全性、稳定性和可管理性。
2. 汇聚层交换机
汇聚层交换机(也称部门交换机、骨干交换机或聚合交换机)是面向楼宇或部门接入的交换机,用于将接入层交换机连接在一起,并实现与核心层交换机的连接。汇聚层可以是固定配置,也可以是模块配置,一般有光纤接口。与接入层交换机相比,汇聚层交换机通常采用1000 Mbps 端口或插槽,并拥有 2~4 个 10 Gbps 端口或插槽。同时,具有网络管理的功能,可以通过计算机的串口直接连接,或者通过网络远程连接,实现对交换机的配置、监控和测试。支持基于端口的 VLAN,可实现端口管理,对流量进行控制。图 3-9 所示为拥有 8 个10 Gbps 热插拔上行链路模块的 Cisco Catalyst 4500-X 系列汇聚层交换机。
3. 核心层交换机
核心层交换机(也称企业交换机或中心交换机)属于高端交换机,全部采用模块化结构,可作为网络核心构建高速局域网。核心层交换机可以提供用户订制、优先级队列服务和网络安全控制,并能很快适应数据增长和改变的需要,从而满足用户的需求。对于有更多性能和安全需求的网络,核心层交换机不仅能传输海量数据和控制信息,更具有硬件冗余和软件可伸缩性特点,保证网络的可靠运行。图 3-10 所示为 Cisco Catalyst 6500E 系列核心层交换机。
4. 数据中心交换机
数据中心交换机属于中高端交换机,中端采用固定配置(如 Cisco Nexus 2000、 Nexus 3000、Nexus 5000、 Nexus 6000),高端采用模块化结构(如 Cisco Nexus 7000、 Nexus 9000),主要用于连接网络服务器和网络存储设备。数据中心交换机提供 24~48 个 10 Gbps 和/或 40 Gbps 速率端口, 40 Gbps 上联端口,支持二层和三层线速交换,适用于高性能数据转发。图 3-11 所示为 Cisco Nexus 2000 系列固定配置数据中心交换机,图 3-12 所示为 Cisco Nexus 7000 系列模块化数据中心交换机。
3.1.4 二、三、四层交换机
根据工作的协议层,交换机可分第二层交换机、第三层交换机和第四层交换机。
1. 第二层交换机
第二层交换机依赖于数据链路层中的信息(如 MAC 地址)完成不同端口数据间的线速交换,所有交换机都能够工作在第二层。接入层交换机通常全部采用第二层交换机。
2. 第三层交换机
第三层交换机具有路由功能,可以使用 IP 地址信息进行网络路径选择,并实现不同网段间数据的线速交换。当网络规模足够大,以至于不得不划分 VLAN 以减小广播所造成的影响时,只有借助第三层交换机才能实现 VLAN 间的线速路由。因此,在中小型网络中,核心层交换机通常都由第三层交换机充当,而大中型网络中的汇聚层交换机都选用第三层交换机。中高端固定端口的交换机,往往具有三层交换的功能,如 Cisco Catalyst 3850 系列、 Catalyst 3750系列、 Catalyst 3650 系列(如图 3-13 所示)、 Catalyst 3560 系列等。
3. 第四层交换机
第四层交换机则使用传输层包含在每一个 IP 包包头的服务进程/协议(例如 HTTP 是用于传输 Web, FTP 是用于文件传输、 Telnet 用于终端通信、 SSL 用于安全通信等)进行交换和传输处理,实现带宽分配、故障诊断和对 TCP/IP 应用程序数据流进行访问控制等。由此可见,第四层交换机应当是核心层交换机的当然之选。 Cisco Catalyst 4500 系列、 Catalyst 4900 系列、Catalyst 6500 系列和 Catalyst 6800 系列(如图 3-14 所示)交换机都支持第四层交换技术。
第二层交换机主要用于实现局域网内主机间的快速信息交流,第三层交换机主要用于实现 VLAN 间的线速转发,第四层交换技术则可以为网络应用资源提供最优分配,实现应用服务质量、负载均衡及安全控制。二、三、四层交换机并不存在谁要取代谁的问题,而是各有其针对的环境和应用的范围。
图 3-13 Cisco Catalyst 3650 系列交换机
3. 第四层交换机
第四层交换机则使用传输层包含在每一个 IP 包包头的服务进程/协议(例如 HTTP 是用于传输 Web, FTP 是用于文件传输、 Telnet 用于终端通信、 SSL 用于安全通信等)进行交换和传输处理,实现带宽分配、故障诊断和对 TCP/IP 应用程序数据流进行访问控制等。由此可见,第四层交换机应当是核心层交换机的当然之选。 Cisco Catalyst 4500 系列、 Catalyst 4900 系列、Catalyst 6500 系列和 Catalyst 6800 系列(如图 3-14 所示)交换机都支持第四层交换技术。
3.2 交换机的主要参数
局域网交换机是组成网络系统的核心设备。对用户而言,局域网交换机最主要的指标是端口的配置、数据交换能力、包交换速度等。下面将对交换机的一些重要技术参数作一些简要介绍,以便在设计网络拓扑结构和购置交换机时,根据网络的实际需要作出正确的选择。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...
