L2-L4 層過濾 $1H?k  
Vm'ReH  
    現(xiàn)在的新型交換機(jī)大都可以通過建立規(guī)則的方式來實現(xiàn)各種過濾需求。規(guī)則設(shè)置有兩種模式，一種是MAC模式，可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實現(xiàn)數(shù)據(jù)的隔離，另一種是IP模式，可以通過源IP、目的IP、協(xié)議、源應(yīng)用端口及目的應(yīng)用端口過濾數(shù)據(jù)封包；建立好的規(guī)則必須附加到相應(yīng)的接收或傳送端口上，則當(dāng)交換機(jī)此端口接收或轉(zhuǎn)發(fā)數(shù)據(jù)時，根據(jù)過濾規(guī)則來過濾封包，決定是轉(zhuǎn)發(fā)還是丟棄。另外，交換機(jī)通過硬件“邏輯與非門”對過濾規(guī)則進(jìn)行邏輯運(yùn)算，實現(xiàn)過濾規(guī)則確定，完全不影響數(shù)據(jù)轉(zhuǎn)發(fā)速率。 >r{3t{  
mvVVPf9  
802.1X 基于端口的訪問控制 ^c< <I-o|  
\-GV8A2:k  
    為了阻止非法用戶對局域網(wǎng)的接入，保障網(wǎng)絡(luò)的安全性，基于端口的訪問控制協(xié)議802.1X無論在有線LAN或WLAN中都得到了廣泛應(yīng)用。新一代交換機(jī)產(chǎn)品不僅僅支持802.1X 的Local、RADIUS 驗證方式，而且支持802.1X 的Dynamic VLAN 的接入，即在VLAN和802.1X 的基礎(chǔ)上，持有某用戶賬號的用戶無論在網(wǎng)絡(luò)內(nèi)的何處接入，都會超越原有802.1Q 下基于端口VLAN 的限制，始終接入與此賬號指定的VLAN組內(nèi)，這一功能不僅為網(wǎng)絡(luò)內(nèi)的移動用戶對資源的應(yīng)用提供了靈活便利，同時又保障了網(wǎng)絡(luò)資源應(yīng)用的安全性；另外， 在802.1X的應(yīng)用中，如果端口指定了Guest VLAN項，此端口下的接入用戶如果認(rèn)證失敗或根本無用戶賬號的話，會成為Guest VLAN 組的成員，可以享用此組內(nèi)的相應(yīng)網(wǎng)絡(luò)資源，這一種功能同樣可為網(wǎng)絡(luò)應(yīng)用的某一些群體開放最低限度的資源，并為整個網(wǎng)絡(luò)提供了一個最外圍的接入安全。 .2Q`. o)  
,