使用交换机安全措施：构建严密的体系结构

使用交换机安全措施：构建严密的体系结构，熟练掌握下面的交换机安全措施知识点，你只需花几分钟的时间就能学会交换机安全措施  。很多安全问题也将在文中提到  。

完美的产品首要要有个出色的体系结构设计  。现在，很多交换机产品采用全分布式体系结构设计，通过功能强大的ASIC芯片进行高速路由查找，使用最长匹配、逐包转发的方式进行数据转发，从而大大提升了路由交换机的转发性能和扩充能力  。

DCRS-7600系列IPv6万兆路由交换机除采用上述的全分布式体系结构设计外，还具有非常出色的交换机安全措施功能设计，可有效地防止攻击和病毒，更适合大规模、多业务、复杂流量访问的网络，更加适合以太网的城域化发展  。

它的S-ARP（安全ARP）功能可有效防止ARP-DOS攻击；Anti-Sweep（防扫描）功能可自动监测各种恶意扫描行为，实施报警或者采取其他安全措施，如禁止网络访问等，此特性可将很多未知的新型病毒扼制在大规模爆发之前；S-ICMP（安全ICMP）功能可有效防止PING-DOS攻击，灵活防止黑客利用ICMPUnreachable攻击第三方的行为  。

安全智能的S-Buffer功能和软件IP流量抗冲击功能可防止分布式DOS攻击（DDOS攻击）通过智能监控并调整报文数据Buffer和冲向CPU的IP报文队列流量，使得核心交换机在DDOS攻击下，安然无恙  。

交换引擎CPU核心保护，可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪；关键协议绿色通道功能可保障正常、合法、速度合理的关键控制报文（STP、MSTP、RIP、OSFP、BGP、组播协议、双引擎板间心跳等）在大流量业务下不被淹没，快速处理不中断；

先进的LPM技术可抵抗“冲击波”病毒、“zeroday”病毒、“SQLslammerwarm”病毒等；端口信任模式则可检测非法DHCPServer、非法RadiusServer等，只在信任端口才能接入这些设备，从而保障网络的安全  。

DCRS-7600系列可基于时间段设置交换机安全措施策略，安全设置随时间而动，在不同的时间段自动切换为不同的策略；智能化流量控制，可基于ACL进行流量分类，比起传统的基于交换机端口、ToS、DCSP、CoS、802.1P的分类方式，ACL-X更加精细和贴近业务分类；而安全策略分发更加灵活，可配置到任意端口、VLAN、VLAN接口，极为灵活  。

基于应用的业务安全管理SecAPP，使得具有线速业务感知的功能，可即时感知各种高层应用业务的发生，而这个过程丝毫不影响交换机的转发性能，所以说是线速的；智能业务策略功能可根据事先设定的策略，对各种高层应用业务进行分类，区分合法业务、非法业务、受限业务  。

交换机安全措施深度业务控制（基于ACL-X）功能可将分类后的业务执行不同的交换机安全措施，这里要借助强大的ACL-X和QoS，实现灵活的接入准入控制或者流量限制  。BT是让人即爱又恨的应用  。

在告诉下载文件的同时，用户的带宽则被过度地占用，严重影响其它网络应用的进程，SecAPP对于限制BT有着最为直接的作用，SecAPP可在不影响交换机转发性能的前提下，实现对BT、电驴等P2P应用业务的准入控制和流量管理，可有管理性地控制用户带宽  。