安全高性能 H3C S1850-28P交换机评测

来源:节能型动力电池测试    发布时间:2024-10-25 22:11:03

  对于慢慢的变多的中小企业而言,采购设备往往不仅要满足当前的需求,还需要仔细考虑未来一段时间内业务规模的增长。随着这两年用户对网络安全的认知加大,“安全”也成了网络设备采购的一个潜在指标。尽管中小企业会对产品价格敏感,但这并不代表用户会为了性价比而不关心技术细节。如何明智的选择一款质优物美的产品,成为了大家更为关心的话题。

  【IT168评测】H3C S1850系列以太网交换机是杭州华三通信技术有限公司(以下简称H3C公司)专为构建高性能网络需求而自主研发设计并推出的全千兆二层网管交换机,在满足高性能的基础上,提供更全面的安全接入策略和更强的网络管理维护易用性;可大范围的应用于政府、中小型企业、普职教、安防监控以及酒店等多行业的网络建设场景。

  H3C S1850系列共有4款产品,分别是10端口的S1850-10P,28端口的S1850-28P,28端口且带有POE供电功能的 S1850-28P-PWR,以及52端口的S1850-52P。本次评测的具体型号是S1850-28P,这款产品由于配置合理,同时也是选用频率较高的一款产品。

  尽管体积较小,但这并不代表S1850-28P功能缩水,它依然配有Console口,可以很快捷的针对交换机进行高级功能的配置,同时该机型也内置了Web界面,通过简单的方法启用该功能后,能够最终靠Web界面来完成后续的复杂配置。

  另外,这是一款无风扇的交换机,所以我们大家可以将它安心的放置在办公区域,而不需要担心噪音打扰到同事。

  通过Console连接到交换机,加电后依次进行开启http服务、配置IP地址、配置管理员账号、分配账号访问方式的配置,即可通过Web的方式针对交换机进行配置。实际做到傻瓜化配置。

  另外,S1850-28P还支持通过FTP、TFTP实现设备的远程升级,支持SNMP v1/v2/v3,可支持Open View等通用网管平台,以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,使设备管理更方便。并且支持SSH2.0等加密方式,使得管理更加安全。

  首先在浏览器中输入我们刚才配置的交换机IP地址,登录到其Web界面。此处依次输入用户名和密码即可登录,同时在登录界面,我们大家可以选择中文或英文的界面语言。

  登录到系统中后,会自动进入到“设备概览”选项卡,在该选项卡下,能够正常的看到交换机的CPU与内存占用率,以及日志和交换机的基础信息。在“系统日志”处,可以很清晰的看到用户的登录情况,以及网卡的通断等操作详情。对于管理员排查问题故障有着积极的帮助作用。而右侧的“INFO”则能够最终靠写入描述信息,方便在海量设备要维护时,确认设备的相应物理信息,如所在的办公室、设备维护人等。

  修改INFO中的信息,其实就是修改的SNMP信息。在设备→SNMP下,对属性信息做修改即可。不仅远端SNMP连接过来能够正常的看到这一些信息,在“设备概览”下,一样能看到这些数据。

  在“设备信息”选项卡下,可以通过查看交换机上不同端口的颜色,来确定端口的工作情况。例如,绿色标示工作正常,而灰色标示并未连接网线。

  尽管在初次配置时需要使用Console进行连接,但在后续运维中,可以说基本上不再需要和Console打交道。例如在升级固件时,可以直接在设备→设备维护→软件升级下,从本地上传新的固件进行升级。

  如果担心配置出错导致产生严重故障,也可以在设备→配置管理→配置备份下,提前将现有配置保存成文件,方便在出现问题时回滚。

  对于企业中日常性的设备盘点,也可以不需要事必躬亲,跑到交换机跟前挨个抄MAC地址和产品条码。通过设备→设备维护→电子标签,我们可以很方便的获得这些信息。

  S1850-28P对端口的配置也可以在Web界面完成,通过设备→端口管理→设置/详情/显示,可以非常方便的对这些数值进行调整,要知道即使在Console下,这些配置的设置也是非常繁琐的。通过端口限速,可以防止恶意侵占网络带宽,也为网络带宽的精细化管理提供了手段。

  有些时候,我们需要对网络流量进行审计,这个时候就需要交换机需要拥有端口镜像功能,可以将一个或一组端口的流量镜像到某一个端口上进行sniffer。S1850-28P提供了一组镜像端口的能力,可以通过点选的方式,来设定哪些端口是监视口,哪些端口是镜像口。端口的启用、关闭,以及功能的启用、关闭都可以通过点击完成。

  在设备→接口统计信息下,可以查看到每个端口的流量情况,通过简单的分析,这里的数据也可以方便网络工程师对网络故障进行排查。

  至于像VLAN、VLAN虚接口、IPv4路由等基础功能,自然是必不可少的。而通过IGMP Snooping,则可以进行设置,为端口和组播MAC地址建立起映射关系。根据这样的映射关系,只向连有组成员的端口转发组播数据。这样在面对组播报文时,就不会转发给交换机的所有端口,从而节省大量的系统资源。

  对于规模量级较大的网络,可能需要配置生成树协议,在网络→MSTP下,可以在此进行配置。MSTP是IEEE 802.1s中提出的一种STP和VLAN结合使用的新协议,它既继承了RSTP端口快速迁移的优点,又解决了RSTP中不同VLAN必须运行在同一棵生成树上的问题。MSTP与STP/RSTP一脉相承,三者有很好的兼容性,从外部来看,一个MSTP域就相当于一个交换机,对不同的域、STP、RSTP交换机是透明的。

  在设计之初,S1850-28P就考虑到了对安全策略功能的加强和和完善。其支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”。支持IP Source Guard特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及DoS攻击。另外,利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器,保证DHCP环境的真实性和一致性。支持端口安全特性族,可以有效防范基于MAC地址的攻击,实现基于MAC地址允许/限制流量。

  S1850-28P提供802.1X和MAC认证方式对接入的用户进行认证,支持客户端软件版本检测、Guest VLAN等功能,和iMC配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制,最大程度的减少非法用户对网络安全的危害。

  查询ARP和管理ARP的方法也非常简单,在网络→ARP管理下,能够正常的看到已产生的ARP记录,包括VLAN和端口信息。

  1、如果ARP报文中的源MAC地址和以太网报文头中的源MAC地址不一致,则丢弃此ARP报文

  2、如果ARP应答报文中的目的MAC地址是全0、全1或者和以太网报文头中的目的MAC地址不一致,则丢弃此ARP报文

  3、如果ARP应答报文的源IP地址和目的IP地址或ARP请求报文的源IP地址是全0、全1或者组播IP地址,则丢弃此ARP报文

  开启DHCP Snooping,可以针对端口设置信任或非信任,以放行合法的DHCP服务器。

  在认证安全方面,S1850-28P支持MAC认证和802.1X认证。一般来说两种方法分别有不同的适用范围,如果企业已经搭建了Radius服务器,则可以使用802.1X认证,如果没有的话,则可以使用MAC认证,两种方法都很灵活。可以针对特定的端口开启不同的认证方式。

  另外还可以针对端口进行安全配置,在认证→端口安全下,拥有详细的配置选项。

  随着绿色节能的理念盛行,S1850-28P也秉承这个理念进行开发,其大幅度降低设备的功耗以及故障点,同时降低辐射,达到家用电器的辐射标准,对人体无伤害。设备采用多种绿色节能设计,满足材料环保与安全性的欧盟RoHS标准。

  另外,S1850-28P也在产品中提供了“绿色节能”的功能,通过设备→绿色节能进行配置,可以针对特定的端口,在特定的时间段进行限制是否关闭端口。该功能实现简单,且效果明显。例如可以针对一些设备所连接的端口,在非工作时段的配置端口关闭。

  说起链路聚合,可能很多人并没有用过。然而这项功能随着虚拟化与云计算的盛行,开始渐渐的走进平常用户。例如群晖的NAS系统,多数都支持链路聚合,在交换机开启链路聚合的前提下,设备的传输速度可以达到1+1=2的效果。

  除却这种NAS系统,在Windows Server 2012 R2以及最新的ESXI中,系统也对链路聚合有了很好的支持。链路聚合不光为网络带来了“冗余”的特性,同时也带来了“聚合”的叠加效果。

  链路聚合的配置需要交换机、服务端的双方配合才能实现。说实线P这个价位的交换机而言,能够支持多达8组的链路聚合,真的是非常超值。

  开启链路聚合只需要在网络→链路聚合下,先创建一个聚合接口,然后选择该接口所关联的物理成员端口即可。

  以Windows Server 2012 R2为例,在服务端也要做一个小小的设置,通过使用“NIC”组合,将两个以上的网络接口成组,成组模式选择“LACP”,负载均衡选择“地址哈希”。

  而在交换机的链路聚合→显示页面下,也可以看到端口处于正常工作的“选中”状态。

  在网络→LACP下也能够看到端口的工作状态以及对端状态。可以说链路聚合的配置方法在这里被极大的简化了。

  为了准确获得S1850-28P的性能数据,我们将针对华三S1850-28P交换机的RFC2544, RFC2889性能进行全面测试,看看它的功能性能是否可以满足企业网络的需求。

  北京信而泰科技股份有限公司,是中国市场上测试端口出货量最大的网络测试仪供应商,可实现以太网2~7层测试与协议仿真、IP网络验收与监测、IP网络及设备性能测试等各种功能。自2007年成立以来,信而泰BigTao(道)系列网络测试仪、iTester系列网络测试仪、Tlite手持网络测试仪、Teststorm2~7层测试平台被通信设备制造商、服务提供商、科研院所、高等院校、电力、交通等各领域客户广泛采用,实现对复杂网络及网络设备的各种测试。信而泰的全系列网络测试仪产品均为自主研发,可根据客户的特殊需求提供定制化服务,用户也可以基于信而泰的测试仪方便的进行二次开发。

  BigTao系列测试仪是一款统一的网络产品测试平台,能够满足研发、实验、网络监控、质量控制、生产环节等过程中的对测试的要求,提供完美的专业测试解决方案。BigTao系列测试仪支持100G、40G、万兆、10/100/1000M测试模块,可实现全网络的协议测试及仿真。BigTao测试仪支持IPv4和IPv6协议栈,单个端口能够仿真数十万个接口、模拟数千万真实用户连接,提供全球非常好的性价比2-7层复杂协议的测试、仿真及一致性测试解决方案。

  吞吐量,即在设备不丢包时达到的最大转发速率,吞吐量的结果越大,则说明设备性能越好;

  时延,即在设备不丢包的情况下,转发报文的时间,数值越小,则说明性能越好;

  确定当从多个端口传输到一个端口或从一个端口传输到多个端口时的吞吐量。和全网状吞吐量测试一样,这个测试是一个度量在无帧丢失时交换帧的性能。这个测试的结果可以被用来确定DUT当交换通信量来自多个以太网端口时,利用一个以太网端口的能力。

  总体来看,在性能方面,S1850-28P的表现符合预期,性能优异,系统稳定。在易用性方面,Web界面的功能与配置可以说是诚意满满,针对安全策略方面,S1850-28P提供了非常多的选择和功能保障。ARP入侵检测、DHCP Snooping以及80.21X与MAC认证,都是非常不错且实用的功能。通过这一些功能,做到让最终用户可靠、安全的使用网络。

回到顶部