基于交换设备群集网络安全实现.docVIP

基于交换设备群集网络安全实现 　　【摘要】利用多台交换机群集的网络管理方式可以保证网络设备的集中管理，不但提高了企业网络运行维护的效率，而且大大增强了企业网络的安全，应用交换机群集的功能可以方便的实现处于任何位置的交换设备组合成一个整体，从而成倍地节省了企业网络有限的地址空间，因此，应用交换设备的群集对于网络地址数有限的企业来说在网络安全方面显得尤为重要。 　　【关键词】集群　交换机　网络设备　网络管理 　　随着计算机互联网络技术的迅速发展，互联网不但为企业提供了发布和检索信息以及资源共享提供了最方便的场所，也为个人使用网络资源提供了最大的平台，但同时也给网络安全方面造成了一定的威胁，并且随着大企业网络的发展规模越来越大，其网络设备的数量也越来越多，企业网络的扩展使网络的管理变的越来越困难。在企业网络中运行的设备需要很多不同的IP地址，且每台可以管理的网络设备需要进行配置用来满足企业网络运行的各方面的需要。如果设备的数量变得越来越庞大，则企业网络对IP地址的需求将也会变的越来越多。群集的网络管理方式可以很好地解决网络地址短缺和网络安全问题。 　　一、交换设备群集的分类 　　命令交换机是交换设备群集的重要角色，是企业网络中每个群集设备中必须指定唯一的一台交换机，群集的配置和管理均通过此命令交换机来完成，命令交换机要求具备的条件包括需要配置至少一个IP地址、在交换机上运行支持集群的相应软件和运行LLDP协议软件、必须只属于一个集群而不能是其它集群的命令交换机或者成员交换机。 　　第二种为成员交换机，集群中的所有交换机，包括命令交换机，都是该集群的成员交换机。如果没有特别说明，成员交换机一般并不包括命令交换机。当然只有该集群的候选交换机才能加入集群，从而成为成员交换机，运行了集群支持软件和运行了LLDP协议软件是成员交换机要求必须具备的条件，不能是其它集群的命令交换机或者成员交换机。 　　交换设备群集还分为候选交换机，它可以被命令交换机发现并且还没有加入群集的交换机。候选交换机具备的条件主要包括：运行??集群支持软件和运行了LLDP协议软件，且不能是任何集群的命令交换机或者成员交换机。使用局部配置模式下的命令来手动配置网络设备端口的所有安全地址。让该端口进行地址的互相学习，这些学习到的地址将自动成为该端口上的安全地址，直到安全地址数达到最大个数。但是，互相自动学习到的安全地址不会自动和网络地址互相绑定。如果在一个设备端口上已经绑定了网络地址，那么就不能通过自动学习IP地址的方式增加安全地址的个数。但是网络管理员可以手工配置一部分安全地址，交换机可以自动学习到另外的安全地址。 　　二、交换设备群集的创建思路 　　交换设备群集就是把一组交换设备构建为一个单一实体设备进行网络管理，群集中的交换机有两种角色，分别为命令交换机和成员交换机。集群的管理范围与跳数有关，跳数限定了命令交换机可以发现的候选交换机的范围。直接与命令交换机相连的交换机距前者的跳数为1，其余以此类推。默认情况下，命令交换机可以发现距其3跳范围以内的交换机。VLAN对集群的范围也有影响，为了保证与集群管理相关的帧的正确接收和转发，要求VLAN的划分应能保证在命令交换机、成员交换机和候选交换机之间存在二层通道。因此，对某台成员／侯选交换机而言，从命令交换机的下联端口直到该交换机上联端口的整个路径上的所有端口都应属于同一个VLAN，以便命令交换机能有效管理成员交换机和发现候选交换机。如果这些端口中包括Trunk则要求其本地虚拟局域网须为该虚拟局域网。但若该成员候选交换机已经处于路径的最末端，则对其上联端口的属性无要求。 　　交换机对LLDP协议是否支持也将影响网络设备集群的范围，命令交换机借助LLDP协议来发现集群内的其他交换机，而不支持LLDP协议的交换机将无法被发现，并且与之相连的其它换机也无法被发现，除非它们还连接到其他的支持LLDP的交换机上。如果在交换机上关闭LLDP或者在相关端口上禁用也会导致类似情况的发生。 　　三、交换设备群集的实现 　　交换设备的群集功能是开启的，在交换机上可以创建集群从而使之成为命令交换机，也可以将其加入一个集群中而成为成员交换机。一旦想要关闭集群功能，可以在特权模式下进行配置，首先进入全局配置模式，关闭集群功能，回到特权模式，验证并保存配置。如果交换机是命令交换机，关闭集群功能将删除集群，并且不能成为任何集群的候选交换机。如果交换机是成员交换机，关闭集群功能将使之退出集群，并且不能成为任何集群的候选交换机。如果交换机是候选交换机，关闭集群功能将使之不再能成为任何集群的候选交换机。可以通过全局配置模式下的命令来打开集群功能，也可以关闭交换机上的集群功能。 　　建立集群是配置集群的关键，可以通过在特权模式下来建立集群