网络世界 2002.12.05

思科公司产品市场经理 方斌

　　随着网络应用的逐渐成熟，越来越多的关键应用在网络中运行，而安全威胁种类的日益增多使得用户对网络安全的需求越来越突出。

　　一个值得注意的趋势是相当大部分网络安全问题所带来的损失都是来自于网络内部。因为一般用户做网络安全的时候，更多地会留意网络的边界，在内、外网的边界上放置很多网络安全措施，但实际上，传统的安全解决方案恰恰忽略了网络内部的安全威胁问题。

　　思科的安全交换理念贯穿在其主要交换机产品线之中，其中包括低端的固定配置式的Catalyst 2950/3550系列，适合一些简单的桌面接入或是小型企业；中端的Catalyst 4000/4500系列模块化交换机，它非常注重用户的投资保护，在这个平台基础上可以插入各种各样不同的模块，以适应不同应用的需要，一般它的生命周期会长得多。

　　Catalyst 6500系列是思科的高端交换机解决方案，当然也是模块化的解决方案，它在端口上有更多的灵活的选择，几乎可以连接各种各样的网络，同时还提供了更高的可扩展性，并将一些增值的服务做成交换机中的模块。比如，Catalyst 6500系列今年已经支持万兆以太网，同时还增加了比如防火墙、入侵检测系统、SSL加速器这些增值功能。

　　Catalyst 6500系列把很多通常由服务器完成的安全功能通过模块增加在交换机之中，比如在识别服务方面，通过TACACS和RADIUS保护3A服务，同时支持802.1X、动态VLAN、DHCP Interface Tracker等特性。以往防火墙主要用来实现周边安全性，而Catalyst 6500所增加的防火墙模块已经不是通常意义上讲的周边安全性，它可以对所有的内部的虚拟局域网的流量进行过滤，这样使得用户对网络内部安全性真正进行控制。而对于内、外网之间的安全连接问题，Catalyst 6500则通过IPSec VPN模块和SSL加速器来实现。除此之外，Catalyst 6500集成的入侵检测系统、网络安全管理、流量分析模块更是全面增强了Catalyst 6500的功能。

　　Catalyst 4500系列是思科的中端交换机，是中型解决方案中的主力机型。今年9月份推出的全新Catalyst 4500系列采用最新的SupervisorIV超级引擎，在可扩展性、性能和安全特性方面都有所加强，在增加更多服务功能的同时，能与旧的4000系列的交换机线卡全面兼容。4500系列增加的超级引擎冗余特性使用户可以获得集成化的可靠性，在一分钟之内实现引擎之间的自动切换。

　　Catalyst 4500系列的安全特性包括用于用户验证的802.1X、安全Telnet和支持安全的SNMPv3，通过线速访问控制列表来控制网络中的流量。DHCP Interface Tracker可以在网络上定位用户并防止窃听。MAC地址通知功能可提醒管理员新用户的到来，私用VLAN在边缘隔离交换机上的端口等安全特性都包含在4500系列中。

　　Catalyst 2950/3550系列作为用于接入环境的固定配置交换机，是实现端到端的安全解决方案的一个必备环节，同时也通过访问控制列表、端口安全性、动态VLAN等功能在网络边缘提供了良好的安全特性。

　　总之，网络安全不仅仅是网络边界上的问题，它是一个全网的问题，特别是网络内部的问题，所以，安全应该构建在交换网络之中。

　　　　　　（亚威科技 http://www.ccxx.net 转载请注明出处）