安全交换机的安全部署及未来发展

安全交换机有很多值得学习的地方，这里我们主要介绍怎样架设安全的交换机系统，安全交换机的IDS功能可以根据上报信息和数据流内容进行检测，在发现网络安全事件的时候，进行有针对性的操作，并将这些对安全事件反应的动作发送到交换机上，由交换机来实现精确的端口断开操作。实现这种联动，需要交换机能够支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能。

设备冗余也重要

物理上的安全也就是冗余能力是网络安全运行的保证。任何厂商都不能保证其产品不发生故障，而发生故障时能否迅速切换到一个好设备上，是令人关心的问题。后备电源、后备管理模块、冗余端口等冗余设备就能保证即使在设备出现故障的情况下，立刻赋予后备的模块、安全保障网络的运行。

安全交换机的布署

安全交换机的出现，使得网络在交换机这个层次上的安全能力大大增强。安全交换机可以配备在网络的核心，如同思科Catalyst6500这个模块化的核心交换机那样，把安全功能放在核心来实现。这样做的好处是可以在核心交换机上统一配置安全策略，做到集中控制，而且方便网络管理人员的监控和调整。而且核心交换机都具备强大的能力，安全性能是一项颇费处理能力的工作，核心交换机做起这个事情来能做到物尽其能。

把安全交换机放在网络的接入层或者汇聚层，是另外一个选择。这样配备安全交换机的方式就是核心把权力下放到边缘，在各个边缘就开始实施安全交换机的性能，把入侵和攻击以及可疑流量堵在边缘之外，确保全网的安全。这样就需要在边缘配备安全交换机，很多厂家已经推出了各种边缘或者汇聚层使用的安全交换机。它们就像一个个的堡垒一样，在核心周围建立起一道坚固的安全防线。

安全交换机有时候还不能孤军奋战，如PPPoE认证功能就需要Radius服务器的支持，另外其他的一些交换机能够和入侵检测设备做联动的，就需要其他网络设备或者服务器的支持。

安全交换机的升级

目前市场上出了很多新的安全交换机，它们是一出厂就天生具备了一些安全的功能。那么一些老交换机如何能够得到安全上的保障呢。一般来说，对于模块化的交换机，这个问题很好解决。普遍的解决方式是在老的模块化交换机上插入新的安全模块，如思科Catalyst6500就带有防火墙模块、入侵检测IDS模块等等安全模块；神州数码的6610交换机配备了PPPoE的认证模块，直接插入老交换机就能让这些“老革命”解决新问题。如果以前购置的交换机是固定式的交换机，一些有能力的型号就需要通过升级固件firmware的形式来植入新的安全功能。