安全交换机不是“噱头”

虽然业界很多传言认为，安全交换机是厂商为了增加销售收入而玩的噱头，但通过仔细研究安全交换机与传统交换机的差异，我们不难看出，厂商们在安全交换机的功能和性能方面下了很大的工夫，两者之间存在着巨大的差别。安全交换机不是概念，而是实打实的可用的产品。这里推荐几款主流的安全交换机，并将它们的功能列出一张大表，细心的读者不难看出其与传统交换机的差异。

华为3Com Quidway S8500系列

在系统设计上，Quidway S8500系列采用分布式体系构架确保其高可靠性。所有关键部件采用冗余设计，包括主控板、交换网、电源和风扇等；采用无源背板设计，避免机箱出现单点故障;所有单板支持热插拔功能，可最大限度地减少对系统正常运行业务的影响；支持跨板链路聚合、MSTP、VRRP和等价路由等协议，保障网络的动态链路备份，满足电信级网络可靠性要求，系统可靠性达到99.9999％。

在安全方面，QuidwayS8500系列采用“最长匹配、逐包转发”模式，天然抵御“红色代码”等网络病毒；支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证；支持安全的SNMPv3的网管协议；支持配置安全，对登录用户进行认证，为不同级别的用户分配不同的配置权限；支持IP地址、VLAN ID、MAC地址和端口等多种组合绑定方式，防范各种地址盗用；支持广播报文抑制，有效控制ARP等非法广播流量对设备造成冲击；支持URPF（单播反向路径检查），防止IP地址欺骗；支持受限的IP地址的Telnet的登录和口令机制；支持报文安全过滤，防止非法侵入和恶意报文攻击；支持端口镜像，将有安全隐患的报文镜像到分析端口，利用仪器设备进行抓包分析并及时阻断；支持IEEE 802.1x、AAA/Radius、TACACS+，对用户身份进行合法性认证;支持内置Firewall，有效保障网络安全，为用户构建立体安全网络。

烽火网络F-engine S2200A系列

烽火网络F-engine S2200A系列千兆交换机最大特点为：

具有安全自我保护技术：采用病毒过滤、CPU保护、抗DoS攻击技术进行自我保护，拥有以太网环保护功能，使网络拥有50毫秒保护倒换，对实时业务的不断线支持，基于F-engine S2200A 的“节点自御＋ESR”立体防护机解决方案能在网络拓扑层面和设备内部层层保护，构筑坚固的网络防线。

具有防功能：可通过插入上联光接口插卡和植入相关防软件实现对多种非法的防范。结合速率限制；IP连接数量限制；交换机端口和MAC地址绑定；认证系统的用户名、IP地址、交换机端口的绑定等多种方式，可以为客户提供完善的防方案。积极配合运营商有力反击各种非法网络。

强有力支持IPTV等流媒体业务：扩展IGMP SNOOP支持IGMP PROXY、IGMP QUERY，强有力支持IPTV等新业务的开展，对IPTV支持多达500条组播数据按条目转发，并支持最新协议版本的处理，很好地与现有的视频点播系统结合工作，和公司开发的IPTV设备可以形成整体体系。

形象直观、功能齐全的图形界面网管系统：支持Telnet、WEB、SNMP、Console口等网管方式，网络管理者可通过统一的网络管理平台或Web方式对网络进行维护和管理。该系列产品支持RMON远程网络监控，使管理应用程序可在任一时间段内提取各种统计、分析数据。配合该公司的Easy-do网管软件，可提供多种方式下的快速软件升级；实现远程批量配置、远程线路故障诊断定位（精度1米）、链路定时开启和关闭、流量分析、本端口环回故障检测等功能。

神码智能安全交换机DCS-3950S

DCS-3950S具有一系列行之有效的安全防护机制。借助完整的ACL策略，用户能灵活地根据源/目的IP及MAC地址、IP协议类型、TCP/UDP端口号、IP Precendence、时间范围、ToS等指标对数据进行分类，并实施不同的转发策略。此举不仅可以过滤“冲击波”、“震荡波”、“红色代码”等病毒包，而且有效抑止了病毒扩散，减少网络宕机的几率。

DCS-3950S还提供了一应俱全的受控组播方案DCSCM，结合基于IGMP源端口和目的端口检查技术，用户可全面控制组播建立的过程，在保障合法组播稳定运行的同时，切断了可能潜伏的端口扫描、pingSweep等非法攻击行为。

值得一提的是，DCS-3950S全面支持神州数码网络增强型802.1x认证计费解决方案，配合神码网络的安全接入控制与计费系统DCBI-3000和802.1x客户端，能实现用户账号、密码、IP、MAC、VLAN、端口、交换机的自动绑定，避免了IP地址冲突、软件使用以及PC克隆等一系列安全隐患。此外，DCS-3950S还能实现按时长/流量计费，并进行上网时段控制，动态实现VLAN授权和带宽授权，可基于组策略实现动态IP地址分配而不必使用DHCP服务器等。

锐捷S21系列安全智能交换机

锐捷安全接入交换机S21系列主要部署在网络的接入层，起到安全门户的作用，能阻止非法用户接入网络，能根据网络规模和应用的不用，提供不同的安全接入控制策略，如与锐捷网络SAM系统结合的802.1x接入控制，可严格控制接入用户，并保证认证前、认证中、认证上网后的用户始终一致，避免用户在认证后，私自篡改信息如MAC地址、IP地址。

S21系列具有的端口硬件绑定、用户IP地址和MAC地址，多种ACL控制策略、端口ARP检查功能，可根据网络环境需要灵活控制用户接入，并防范恶意ARP欺骗行为；具有专家级ACL、ACL80、基于时间的数据流的带宽限速、IGMP组播源端口检查等功能。可实现如下安全策略：控制合法用户对网络资源的访问;保证重要任务如语音、多媒体应用等优先传输，占有合理带宽资源；控制非法组播源播放非法信息和占有网络带宽资源。

为方便设置交换机安全策略，S21特别支持安全策略的自动同步下发。配合锐捷网络的GSN全局安全网络解决方案，实现了在同一网络环境下的全局联动。

D-Link Safeguard Engine防护技术

为了加快传播速度，病毒和蠕虫能够在短时间内制造出大量的广播数据包，网管人员经常发现在新病毒爆发时，网络交换设备总是没有发出任何预警就陷入了不正常状态，这种情况在校园、网吧或者个人以太网接入（ETTH）等环境中最为常见。为了解决上述难题，D-Link特别推出了Safeguard Engine防护引擎技术。该项新技术能够在第一时间对风暴式的瘫痪攻击形式进行防御，封锁来自不同端口的大量攻击数据包，有效阻隔恶意流量的蔓延，提高交换机稳定运行的能力

目前，D-Link新一代xStack网管型交换机和智能型交换机 ( Web Smart Switch ) 均支持D-Link Safeguard Engine防护引擎技术，其中包括最新推出的10/100三层交换机DES-3800系列、新一代千兆二层交换机DGS-3400系列以及千兆Web Smart交换机DGS-1216T/1224T。