Publicité
Switches manageables ProSafe nouvelle génération pour la périphérie de réseau
Sécurité professionnelle
Le contrôle de trafic par filtrage d'adresse MAC et la sécurité par port aident à réduire le trafic autorisé vers et hors des ports ou interfaces spécifiées
pour augmenter la sécurité globale du système et éviter les problèmes de blocage d'adresses MAC dû aux débordements.
Le DHCP snooping surveille le trafic DHCP entre les clients DHCP et les serveurs pour filtrer les messages DHCP nocifs et construire une base de don-
nées (adresse MAC, adresse IP, VLAN ID port) pour prévenir les attaques de type spoofing sur les serveurs DHCP.
IP Source Guard et le Dynamic ARP Inspection utilisent les bases de données de liaisons DHCP snooping par port et par VLAN pour rejeter les paquets
entrants qui ne correspondent pas aux bases de données et pour faire respecter les sources IP/MAC afin d'éliminer le trafic malveillant.
Les ACL (Access Control Lists) Couche 2/ couche 3-v4 / couche 3-v6/ couche 4 peuvent être liées aux ports, aux interfaces de niveau 2, aux VLANs et
LAGs (Link Aggregation Groups ou Port channel) pour un blocage rapide des données non voulues et un trafic conforme.
Les ACLs sur l'interface CPU (Control Plane ACLs) sont utilisés pour définir l'adresse IP/MAC ou le protocole à travers lequel l'accès à la gestion est
autorisé pour accroître la sécurité HTTP/HTTPS ou Telnet/SSH
Le BPDU (Bridge protocol data unit) permet à l'administrateur réseau de renforcer le Spanning Tree (STP) et de conserver la topologie active cohérente
et prévisible - Les périphériques ou switches non autorisés derrière les ports ayant le BPDU activé ne seront pas capable d'influencer la topologie glo-
bale STP en créant des boucles.
Le STRG (Spanning Tree Root Guard) renforce la topologie réseau de la couche 2 en empêchant les problèmes potentiels lorsque, par exemple, de nou-
veaux équipements du réseau non autorisés ou imprévus deviennent la racine d'un VLAN donné
L'assignation de VLAN dynamique 802.1x,
incluant le mode de création de VLAN dynami-
que et VLAN invité / VLAN non-authentifié
pour renforcer la politique de sécurité utilisa-
teur et des équipements RADIUS
Le MAB 802.1x (MAC Address Authentication
Bypass) est un mécanisme d'authentification
supplémentaire qui permet aux périphériques
qui ne sont pas 802.1x de contourner le pro-
cessus traditionnel 802.1x, leur permettant de
s'authentifier sur le réseau en utilisant leur
adresse MAC client comme identifiant.
Lorsque le trafic passe par le double VLAN (DVLAN - QoQ) d'un domaine client vers un autre au travers du "metro core" dans un environnement hétérogène :
les ID VLAN des clients sont préservés et un ID VLAN de votre fournisseur d'accès est ajouté au trafic, ainsi, il peut passer le "metro core" sûrement et simplement
Les VLAN privés (avec les VLAN primaires,
VLAN isolés, les communautés de VLAN, port
espion, port hôte, agrégats) isolent la couche 2
des ports qui partagent le même domaine de
broadcast, permettant à un domaine VLAN
broadcast d'être segmenté en plus petits sous
domaines point à multipoints sur les switches
de niveau 2 d'un même réseau
Secure Shell (SSH) et SNMPv3 (avec ou sans authentification MD5 ou SHA) vous garantissent des sessions SNMP et Telnet sûres
La gestion de l'administration TACACS+ et RADIUS renforce l'authentification des "Login" et "Enable" stricts pour la configuration des switches, basés
sur les standards de l'industrie : exec authorization utilisant TACACS+ ou RADIUS; command authorization utilisant TACACS+ et le serveur RADIUS;
l'user exec accounting pour HTTP et HTTPS utilisant TACACS+ ou RADIUS; et l'authentification de domaine en plus de l'user ID et le mot de passe
Qualité de service avancée
Implémentation matérielle avancée basée sur la priorité des couches 2 (MAC), couches 3 (IP) et couches 4 (transport UDP/TCP par port)
8 queues pour la gestion des priorités et politiques QoS diverses s'appuyant sur 802.1p (CoS) et DiffServ. Elles peuvent être appliquées aux interfaces et aux VLANs
Granularité 'Advanced rate limiting' descendant à 1 Kbps et bande passante minimum garantie peuvent être associées aux ACL pour une meilleure granulalité
Priorité Voix sur IP automatique avec Auto-VoIP
Accélération de flux iSCSI et protection automatique / QoS avec Auto-iSCSI
Contrôle de flux
Contrôle de flux 802.3x via IEEE 802.3, spéci-
fications de l'annexe 31 B avec contrôle de
flux symétrique, contrôle de flux asymétrique
ou pas de contrôle de flux
Permet au trafic d'un périphérique d'être réduit un moment donné : un périphérique qui souhaite stopper la transmission de données vers un autre péri-
phérique sur le réseau transmet une trame PAUSE
Support UDLD
L'implémentation de UDLD détecte les liens uni-
directionnels des ports physiques (UDLD doit
être activé des 2 côtés du lien pour détecter un
lien unidirectionnel)
A la fois le "mode normal" et "le mode agressif " sont implémentés pour obtenir une compatibilité parfaite avec les produits concurrents, incluant le port
"D-Disable" triggering dans les 2 cas
• Jusque 48 clients (802.1x) par port sont supportés, incluant l'authentification des domaines utilisateurs
pour faciliter la convergence des déploiements : par exemple, lorsqu'un téléphone IP est branché sur le
pont d'un PC, le téléphone IP et le PC peuvent s'authentifier sur le même port du switch mais en utilisant
des politiques d'assignation de VLAN différentes (VLAN Voix pour l'un, VLAN données pour l'autre
• Une liste d'adresses MAC client non autorisées est conservée sur le serveur RADIUS pour l'utilisation du MAB
• Le MAB peut être configuré par port sur le switch
• Le MAB s'initialise seulement après le processus d'authentification dot1x et uniquement lorsque le
client ne répond à aucun des paquets EAPOL envoyés par le switch
• Lorsque les clients 802.1X essaient de se connecter, le switch envoie l'adresse MAC de chaque client
au serveur d'authentification
• Le serveur RADIUS compare l'adresse MAC du client à la liste des adresses autorisées
• Le serveur RADIUS renvoie la politique d'accès et l'affectation du VLAN au switch pour chaque client
• Les VLANs privés sont utiles dans les configurations DMZ où les serveurs ne sont pas supposés commu-
niquer les uns avec les autres mais avec un routeur; Cela évite d'avoir recours à des VLANs par port
plus complexes avec leur interface IP respective /sous réseau et routage L3 associé
• Une autre utilisation des VLANs privés est le déploiement de type "carrier-class" lorsque l'utilisateur ne
doit pas voir, espionner ou attaquer le trafic des autres utilisateurs.
• Contrôle de flux asymétrique qui permettent au switch de répondre aux trames PAUSE reçues, mais les
ports ne peuvent pas générer de trames PAUSE
• Contrôle de flux symétrique qui permet au switch à la fois de répondre et de générer des trames contrôle
MAC PAUSE
• Le protocole UDLD fonctionne en échangeant des paquets contenant de l'information sur les périphéri-
ques en relation
• Le but est de détecter et d'empécher le transfert sur des liens unidirectionnels au niveau des canaux de
la couche 2 dans lequel un lien bidirectionnel arrête le trafic passant dans une direction
- 7 -
Série 5300
Publicité
