【SLM2024】安全可靠！思科SLM2024千兆交换机首测-交换机--思科-802-1x

　　保障企业网络的稳定与安全就像是在维护一个链条，整个链条有很多部分组成，而我们最常见到的是这个链条中的四个部分，边界（路由器），内网（交换机），终端（PC）和用户本身。在这四个环节中，用户是最薄弱的一环，终端与边界安全应该是目前最被人们关注的两点，而内网安全，也就是交换机的职责，似乎却被很多人所忽视。

　　我应该买台怎样的交换机呢？如果您非常在意成本，那非管理型产品将是您的选，但这时内网对于每个人都是“大门敞开”，除了安全风险，由于这类产品不支持链路冗余，级联链路单点失效也会对网络造成较大的影响。所以，傻瓜型交换机虽然做到了低价易用，但往往并不是最佳的选择。

　　交换机应当负责起内网的安全性与可靠性，前者依靠内网准入机制，后者依靠链路冗余，本次新品试用我们也将主要围绕这两个方面。啊！差点忘了介绍本文的主角，主角是思科近期推出的面向中小企业市场的千兆交换机系列中的一款——思科精睿（Cisco Small Business）SLM2024，其产品定位在中小型企业、网络边缘或大型企业的工作组，媒体报价3500元。

802.1x配置

　　要实现网络准入功能，SLM2024的设置方法很简单，主要分两步，一是设置端口状态（Status Port Control），二是配置radius服务器。我们在上图中开启了802.1x，接下来需要配置端口状态，共有三种状态，Auto、forceauthorized和forceunauthorized。Auto指端口根据认证成功与否开启或关闭相应端口，forceauthorized指端口始终打开，而不进行验证，forceunauthorized指端口始终关闭，不响应用户请求。默认为forceauthorized，我们将7、8两个端口修改成了Auto。第一步完成，非常简单。>>

　　第二步，配置radius服务器，我们使用的是WinRadius。WinRadius的设置也很简单，全图形界面，有兴趣的网友可以在网上找到很多教程，这里不再赘述。

验证通过，端口已开放，IP地址获得成功，QQ登录成功

　　通过简单的几步设置，借助SLM2024我们就实现了基本的网络准入控制。>>

port security

　　SLM2024中的port security是个很实用的工具，它为网络准入提供了更进一步的控制。我们可以设想这样一个场景，用户A是本公司职员，自然也知802.1x验证时所用的用户名和密码，这时如果他将个人的笔记本连入公司网络也是全完可以做到的，因为802.1x只验证用户身份，而不验证电脑的身份（MAC地址）。

修改设置，缩短端口切换延时

　　在大型网络中，为了保持STP结构的稳定，并不建议将老化时间及转发延时修改得过低，虽然这可以缩短端口切换延时。但小型网络环境结构相对简单，不妨优化一下，如上图我们将老化时间由20秒改为10秒，转发延时由15秒改为7秒，对比前后两张PING操作截图，效果还是比较明显的。>>

　　实现链路冗余，STP只是方法之一，SLM2024还提供了另一种更为方便的实现方式——Link aggregation。Link aggregation的设置方法也非常简单，SLM2024支持8条汇聚链路，设置方法如下：

思科 SLM2024  图库  评测  论坛  报价  网购实价

　　SLM2024可以作为中小型网络的核心交换机，24个1000Mbps端口与2个光电复用端口完全可以满足企业对网络灵活性和高速传输的需求，同时兼具易用性和安全性；在大型网络中，SLM2024作为高速的接入层设备，支持标准802.1Q协议，可实现跨交换机的VLAN，同时支持SPT，QoS，端口安全，802.1x等，功能上可谓大小通吃。价格方面，SLM2024的媒体报价为3500元，已经与同类产品非常接近，总体实力不容小觑。

　　作为一款面向SMB市场的产品，虽然SLM2024具有出色的性价比，但产品本身没有本地化（汉化）不得不说是一个遗憾，希望在新版Firmware中得到改进。

　　注：由于文章篇幅所限，部分常规功能并未在文中进行介绍，包括端口镜像、IGMP SNOOPING、VLAN、QoS等。[]