数据中心解决方案安全技术白皮书(16)

SSH使用认证和加密来保护不安全的网络上的通信，SSH分为客户端和服务端，服务端的知名端口号为22。SSH是Secure Shell的简称，中文可叫做安全外壳，目前有stelnet(secure telnet)和SFTP(Secure FTP)两种应用。Stelnet完成远程登陆，SFTP完成文件传输，与telnet和FTP的功能相同，但是协议的处理完全不同。

2.    SNMPV3

由于SNMP承载于UDP之上，因而SNMP很容易被非法用户利用伪装IP进行攻击。特别是当攻击者先捕获到合法SNMP流量后，SNMP对其几乎不设防。也正因为如此，SNMP一直未能得到大规模的使用。在这种前提下。SNMP V3应运而生。SNMP V3支持MD5或SHA认证和DES或AES加密。从而为SNMP协议提供了合理的安全特性。

3.    常见协议的信任源控制

设备支持对SNMP、TELNET/SSH设定软件ACL，来限定只有合法的网段或者IP才能访问设备的这些协议。

4.    端口镜像

由于现阶段网络对人们的工作、生活都有极其深远的影响。高可用的网络也越来越受到关注。高可用包含两层含义：一是网络本身不出现异常；二是网络出现异常后能够迅速恢复。因此，现阶段对网络管理维护人员迅速定位问题的能力提出了很高的要求。端口镜像作为网络管理维护人员很好的网络状况监控手段成为网络管理维护人员定位问题的一个重要组成部分。端口镜像有两类：远程端口镜像和本地镜像。

本地镜像是指将交换机的1个或多个端口的报文复制到本交换机的一个监控端口，用于报文的分析和监视。例如：可以将Ethernet0/1端口上的报文复制到指定监控口Ethernet0/2，通过监控口Ethernet0/2上连接的协议分析仪进行测试和记录。目前我司所有的可管理交换机都实现了这个功能。

但本地镜像在实际应用中存在一定的缺陷，例如：当交换机不是集中放置在一个中心机房中时，为了检测分散在不同地域的交换机上的端口需要维护人员跑到现场进行镜像观测。为了降低维护人员的维护工作量，远程镜像的功能随即在一些厂商的交换机上产生了。远程镜像突破了被镜像端口和镜像端口必须在同一台交换机上的限制，使被镜像端口和镜像端口间可以跨越多个网络设备，这样维护人员就可以坐在中心机房以通过分析仪观测远端被镜像端口的数据报文了。

图17 交换机的端口镜像