【TechTarget中国原创】许多组织或多或少地购买了一些并不局限于提供连接功能的智能边缘交换机，但是许多组织都往往只用这些交换机来执行最基本的工作。其中经常被忽视的就是 LAN 边缘交换机的安全性功能，包括端口级安全性和交换机级访问控制列表（ACL）。

　　LAN 边缘交换机 ACL 可作为深度防御的一个重要部分。类似于路由器和防火墙上的 ACL，交换机级 ACL 能够过滤流量、允许或拒绝端口访问。但是将这个功能放到边缘不仅能够分散负载，而且还可能能够减少其它位置所需要的规则和流量处理数量，从而改进性能。同时， LAN 边缘交换机 ACL 能够保护边缘设备不受操作同类设备的影响，这是其它 ACL 所不能完成的。

　　LAN 边缘交换机 ACL 是如何工作的？

【TechTarget中国原创】许多组织或多或少地购买了一些并不局限于提供连接功能的智能边缘交换机，但是许多组织都往往只用这些交换机来执行最基本的工作。其中经常被忽视的就是 LAN 边缘交换机的安全性功能，包括端口级安全性和交换机级访问控制列表（ACL）。

　　LAN 边缘交换机 ACL 可作为深度防御的一个重要部分。类似于路由器和防火墙上的 ACL，交换机级 ACL 能够过滤流量、允许或拒绝端口访问。但是将这个功能放到边缘不仅能够分散负载，而且还可能能够减少其它位置所需要的规则和流量处理数量，从而改进性能。同时， LAN 边缘交换机 ACL 能够保护边缘设备不受操作同类设备的影响，这是其它 ACL 所不能完成的。

　　LAN 边缘交换机 ACL 是如何工作的？

　　ACL 工作方式很简单：它们可以用来确认一个行为，受影响的流量类型（行为的目标）以及行为的来源与目的地。

　　行为：可选行为通常xx于转发数据包（“允许”），或者阻止它们的传输（“拒绝”）。

　　目标：如果交换机有 ACL，它通常至少具备三个可能：所有 IP 流量、所有 TCP 流量以及所有 UDP 流量。例如，许多交换机也为 TCP 和 UDP 提供单个端口的过滤，这样我们就能够允许 SSL 流量而阻止 NFS 流量传输。

　　来源和目的地：这些可能总是通过一个或一组 IP 地址指定的（地址与掩码）。我们也能够使用 MAC 地址和 EtherType 数据。

　　注意 ACL 中融合了来自 2层（MAC 地址）、3层（IP 地址）和4层（TCP/UDP 端口）的信息。这个注重多层协议流量并对其执行操作的功能是智能交换机实现智能的部分。

　　ACL 是按顺序处理的：流量会轮流与从上到下的每一个规则进行比对，直到遇到对应的规则，然后就会执行这个行为。例如，为了使交换机上的端口只针对连接 Citrix XenApp/XenDesktop 群的瘦客户端开放，我们可以应用一个类似于这样的 ACL（假定数据中心网络是在 192.168.100.000/000.000.000.255）：

　　? Permit TCP any 192.168.100.000 000.000.000.255 port 1494

　　? Permit TCP 192.168.100.000 000.000.000.255 any port 2598

　　? Permit TCP any 192.168.100.000 000.000.000.255 port 1494

　　? Permit TCP 192.168.100.000 000.000.000.255 any port 2598

　　? Deny any any

　　端口 1494 和 2598 主要由 ICA 使用，即 Citrix 的瘦客户端协议。来自交换机上所有 IP 节点的流量都绑定到数据中心，或者来自数据中心的绑定到交换机上的所有节点，同时穿越具体 TCP 端口的流量将被允许通过交换机到达边缘端口或上行端口。

　　智能边缘交换机安全特性：支持 VLAN；端口管理

　　ACL 并不是智能边缘交换机的{wy}安全特性。所有智能交换机都支持 VLAN。VLAN 是处理端口分组和控制这些组间流量的更可靠方法。同时，还有许多其它的安全设置（根据供应商和产品的不同而不同）可用于执行控制广播风暴和限制连接端口的 MAC 地址等功能。

　　例如，假设你的办公室在办公时办公电脑之间不需要直接连接，因为数据中心已经提供了所有的服务。为了防止病毒在主机之间的快速传播，你可以配置边缘交换机阻止相互连接的端口。下面是几种方法：

　　用 ACL 进行管理：

　　o Permit IP Any 192.168.100.000 000.000.000.255

　　o Permit IP 192.168.100.000 000.000.000.255 Any

　　o Deny IP Any 192.168.000.000 000.000.255.255

　　o Deny IP 192.168.000.000 000.000.255.255 Any

　　o Permit IP Any any

　　用 VLAN 进行管理，将每一个端口设置在一个 VLAN 中，并且不要将 VLAN 扩展到交换机外。

　　通过其它设置进行管理，如设置Cisco 交换机上所有边缘端口为“受保护的”，或者使用 HP ProCurve 交换机的“端口隔离”功能。

　　如果只有少量的交换机，手动管理 ACL （像交换机上的其余安全设置）是很容易的。交换机越多，维护一个标准的“黄金”配置和使用自动化配置工具来维护和审计配置就越重要。