縱觀網絡產生以來的發展歷史，從可管理到智能化，從高性能到多應用，從單一數據傳輸到語音/圖像/多種媒體應用等等，當今網絡技術發展的速度和趨勢遠遠超過人們當初的預想。

網絡設備廠商、集成商們更是主動依據用戶的不同需求，設計符合用戶需要的貼心網絡，但不管網絡具有什么樣的特色，網絡的安全始終至關重要，是一個永恒的主題。因為網絡安全是信息化應用的重要保障。

誰來保障網絡的安全性

隨著網絡技術的發展，國內外的主要網絡設備廠商各種針對網絡安全的應用解決方案應運而生。從防范外部攻擊的防火墻、入侵檢測系統IDS，到防范內部攻擊的安全交換機的部署，從網絡局部防范到網絡全局防御，從被動式防范到主動式防御等，無一不是為了更好地保障網絡安全。

STAR-S3550-24G

據權威機構調查顯示，在目前的網絡環境中，80%的攻擊和越權訪問來自于內部，因為在網絡內部存在大量和企業事業相關的許多應用，如辦公自動化、ERP、多媒體教學、Email服務器、Web服務等，要想從根本上杜絕內部攻擊和非法越權，首先必須強化企事業內部網絡的安全防范與安全管理，即局域網內部必須使用安全交換機。

從接入到匯聚以至核心，每一層交換機都必須具備安全機制和防范策略，層層把關，層層控制，確保非法用戶無法進入網絡，以竊取網絡重要信息（如破壞Email服務器，攻擊三層網關，造成網絡癱瘓，使得網絡上的用戶都無法收發郵件）；控制合法用戶合理使用網絡資源，避免合法用戶無意、有意或惡意攻擊網絡(如BT惡意下載)，防止大量消耗和占有網絡帶寬資源，堵塞網絡出口，使正常的辦公教學無法進行。

根據以上分析可以看出，所有這些策略機制和解決方案中，安全交換機的部署始終是首當其沖，至關重要的，可以說安全交換機是安全解決方案中的命脈。銳捷網絡的交換機針對在其網絡環境中部署位置的不同，設計和內嵌了不同的安全機制和策略。接入交換機STAR-S2100系列主要是部署在網絡的接入層；而STAR-S3550系列和RG-S3750系列交換機主要是部署在網絡的匯聚層，能夠充分發揮三層網關的作用。

建立安全門戶，嚴格接入控制

安全接入交換機STAR-S2100系列起到安全門戶的作用，它必須能夠阻止非法用戶接入網絡。STAR-S2100系列交換機能根據網絡規模和網絡應用的不同，提供不同的安全接入控制策略，如與銳捷網絡強大的RG-SAM系統結合的802.1x接入控制，可嚴格控制接入用戶，并保證認證前、認證中、認證上網后的用戶始終一致，避免用戶在認證后，私自篡改信息如MAC地址、IP地址后，以進行攻擊等行為。

另外STAR-S2100系列具有的端口硬件綁定用戶IP地址和MAC地址，多種ACL控制策略，可以根據用戶網絡環境需要靈活控制用戶接入。

STAR-S2100系列具有的專家級ACL、具有的“應用的深度識別和控制”能力，基于時間的數據流的帶寬限速、IGMP組播源端口檢查等功能都是通過交換機內部先進交換芯片內部集成的FFP處理模塊硬件處理，在實現全線速數據轉發的同時，實現如下安全策略功能：

控制合法用戶對網絡資源的訪問；控制用戶通過BT惡意下載占有網絡帶寬資料；保證重要任務如語音、多媒體應用等優先傳輸，占有合理帶寬資源；控制非法組播源播放非法信息和占有網絡帶寬資源，有效確保網絡合理化運營和使用。

采用三層轉發，有效防范攻擊

在網絡中，匯聚層交換機和核心層交換機的作用與接入交換機不同，它們承擔了網關和三層路由轉發功能的重擔。由于IP掃描和DoS攻擊對三層交換機的影響和危害嚴重，常常會使交換機內CPU處理滿負荷，造成交換機處理能力下降，甚至癱瘓，用戶無法正常上網。

對此，銳捷網絡推出的匯聚交換機STAR-S3550系列和RG-S3750交換機，以及核心路由交換機RG-S6500系列和RG-S6800E系列，均采用了業界領先的交換芯片，其內部采用了先進硬件三層轉發機制（最長匹配轉發方式）可以有效抗擊惡意IP地址掃描。

同時，交換機內部更是內嵌了安全策略（如內制的防DoS攻擊、防IP掃描機制），保證數據包路由轉發功能不受IP掃描和攻擊的影響。IGMP源端口和源IP檢查功能對非法組播源的防范和控制，以及對各種硬件ACL（如專家級ACL、時間ACL等）的訪問權限控制，都為網絡健壯地運營提供了保證。

增強關卡控制，實現全局聯動

銳捷網絡交換機在提供安全機制的同時，更是考慮交換機本身的安全。

交換機就是網絡中的一個一個關卡，如果關卡自己都遭到攻擊乃至癱瘓，那么它們又如何能起到關卡的控制作用呢？

銳捷網絡交換機無論從接入STAR-S2100，到匯聚STAR-S3550、RG-S3750，到核心骨干路由交換機RG-S6500系列和RG-S6800E系列，都支持管理信息的加密傳輸SSH和SNMPv3，支持Telnet/Web訪問交換機的源IP地址控制等，這樣一來，不但增強了設備網管的安全性，而且有效避免黑客惡意攻擊和控制設備。

另外特別需要說明的是，為方便網絡中交換機安全策略的設置，銳捷網絡STAR-S2100系列接入安全交換機還支持安全策略的自動同步下發功能。配合銳捷網絡的“GSN全局安全網絡解決方案”，實現了在同一網絡環境下的全局聯動，使網絡中的每個設備都在發揮著安全防護的作用。

RG-S6810E

綜上所述，交換機的安全策略未來將朝著自動、聯動、一體化的方向發展。而在網絡邊緣，則必須部署接入安全交換機，它們將發揮網絡門戶的作用，從每一個用戶接入網絡開始，實現對網絡用戶行為的控制和限制。