既然都说80%的安全问题来自企业网络内部,那么《网络世界》评测实验室就将2005年的千兆接入交换机公开比较测试的重点放在了安全问题上。我们向几乎所有的网络厂商发出了测试邀请,并在报纸、网站上刊出了此次测试的消息在网上展开调研。有10家厂商接受了我们的邀请,他们是上海贝尔阿尔卡特、安奈特、华硕、博达、思科系统、友讯网络、烽火网络、北电网络、神州数码和SMC,在此我们对他们表示感谢。
Alcatel Ominiswitch 6602-24和Cisco Catalyst 3560两款交换机综合性能最优,获得了《网络世界》编辑选择奖。而华硕公司的GigaX2024因极佳的性价比获得《网络世界》编辑推荐奖。
剿杀战法一 802.1x控制用户接入
网络管理员:我所管理的网络经常有不少人私接Hub、AP,那些未经授权进入网络的人带来的安全威胁很大。
测试工程师:802.1x对于以上威胁非常有效,在我们的实际测试过程中每家厂商的功能又存在不同,完全能够满足您的安全准入要求。
测试实况:经过实际的功能测试,全部厂商都支持802.1x。
然而每家厂商在认证以及认证完成后的诸多操作可谓是五花八门。体现出不同厂商的不同理解。
例如,思科具有自己的认证服务器软件ACS 3.3,结合它可以对认证完成的用户在交换机上下发ACL。思科和华硕的交换机可以根据认证服务器上的策略,将用户划归不同的VLAN,不具备802.1x认证功能的计算机,可以自动将接入端口放入一个guest VLAN。
博达、华硕和烽火网络的交换机都可以在交换机自身上设立认证数据库,方便了小型网络的使用。
博达的S2226可以在一个端口指定支持多少个用户可同时使用802.1x的认证。或者可以设定一段时间,通过命令在交换机的端口上限制不同用户名的认证工作。烽火网络具有自己开发的网络认证计费服务器端软件,此软件可以设置每台主机绑定IP、MAC地址以及可以访问的最多次数,此外,它也可以当作DHCP服务器使用,在服务器端设定一个地址池然后做绑定。此外,烽火交换机还可以设置复杂的端口绑定关系,诸如端口与Supplicant名字、MAC、VLAN ID等内容。
提供独特的802.1x客户端软件的厂商还有神州数码、D-Link和北电网络。我们将在下部分中介绍。
独树一帜的AVLAN
阿尔卡特的OminiSwitch6602-24除了支持802.1x以外还支持自己独特的AVLAN技术。这一技术颇有独到之处,用户不需要安装任何客户端,只要采用Telnet或者Web的方式访问交换机上运行的一个服务器,输入用户名和密码,交换机就会和后台的Radius和TACACS+服务器进行交互,认证用户身份,允许或者阻止用户进入到网络,并划归到相应的VLAN。
