作為網絡中應用最為廣泛的交換機，如何能開發其安全特性以有效的保護對網絡的訪問，一些組織和廠商也紛紛提出自己的安全策略。例如現在通過多層交換機特性來提高網絡的安全和對帶寬的控制已經相當的普遍。隨著一些安全特性如訪問控制列表（ACL）和802.1x標準已經成為許多廠商產品的標準，一些使用者開始了把它們作為網絡設施安全的一個單獨增加的層次。

二層的以太網在大多數的商業和其他的組織中是局域網訪問的最重要的網絡，所以二層交換機的廠商不斷的增強交換機的智能性。這種智能交換機可以以IP 地址查找數據包，這些數據包存在于網絡的三層或者四層當中。許多的二層交換機能夠處理基于從二層到四層的數據包流，這樣大大提高了交換機的服務質量和網絡安全策略。 大部分的局域網交換機廠家如，阿爾卡特，3COM，思科，戴爾，惠普等等已經在他們的交換機產品當中包含了這些特性。

在網絡設備廠商看來，加強安全性的交換機是對普通交換機的升級和完善，除了具備一般的功能外，這種交換機還具備普通交換機所不具有的安全策略功能。這種交換機從網絡安全和用戶業務應用出發，能夠實現特定的安全策略，限制非法訪問，進行事后分析，有效保障用戶網絡業務的正常開展。實現安全性的一種作法就是在現有交換機中嵌入各種安全模塊。現在，越來越多的用戶都表示希望交換機中增加防火墻、VPN、數據加密、身份認證等功能。下面就介紹幾種常見的交換機安全策略。

802.1x標準

作為一種局域網的安全特性802.1x可能仍然有許多的用戶不是非常了解。并且網絡的設計者和管理者通常不是非常廣泛的應用這種授權標準。原因非常簡單802.1x依賴于Windows XP客戶端，唯一的支持這種技術的Windows 桌面操作系統。

IEEE 802.1x協議是一個把網絡設備授權給客戶的標準。它替代了局域網的目錄，例如微軟的活動目錄， Novell的目錄服務器或者輕量目錄訪問協議服務器。一些安全專家表示，這是一個更加有效的保護局域網安全的措施，因為一些不能登陸目錄服務器的客戶通常都能夠發現并使用網絡資源，如打印機，沒有安全共享的存儲器和對因特網的訪問。

一些網絡服務管理者表示802.1x非常的實用，但是它的兼容性是它不能廣泛使用的一個重要原因。目前有許多人并不采納802.1x協議，因為很明顯如果采用802.1x那些使用Macintosh和Linux的用戶將被排斥在外。這些是非常矛盾的一件事情，有非常多的網絡設備都支持802.1x協議，但是卻只有非常少的客戶能夠使用它。

流量控制技術

把流經端口的異常流量限制在一定的范圍內。許多交換機具有基于端口的流量控制功能，能夠實現風暴控制、端口保護和端口安全。流量控制功能用于交換機與交換機之間在發生擁塞時通知對方暫時停止發送數據包，以避免報文丟失。廣播風暴抑制可以限制廣播流量的大小，對超過設定值的廣播流量進行丟棄處理。 不過，交換機的流量控制功能只能對經過端口的各類流量進行簡單的速率限制，將廣播、組播的異常流量限制在一定的范圍內，而無法區分哪些是正常流量，哪些是異常流量。同時，如何設定一個合適的閾值也比較困難。

訪問控制列表（ACL）技術

ACL通過對網絡資源進行訪問輸入和輸出控制，確保網絡設備不被非法訪問或被用作攻擊跳板。ACL是一張規則表，交換機按照順序執行這些規則，并且處理每一個進入端口的數據包。每條規則根據數據包的屬性(如源地址、目的地址和協議)要么允許、要么拒絕數據包通過。由于規則是按照一定順序處理的，因此每條規則的相對位置對于確定允許和不允許什么樣的數據包通過網絡至關重要。

虛擬局域網（VLAN）技術

虛擬局域網是人們非常熟悉的一個交換機功能。也是應用廣泛的一個安全策略。虛擬局域網絡是指在交換局域網的基礎上，采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。從技術角度講，VLAN的劃分可依據不同原則，一般有以下三種劃分方法：1、基于端口的VLAN劃分，2、基于MAC地址的VLAN劃分，3、基于路由的VLAN劃分。就目前來說，對于VLAN的劃分主要采取上述第1、3種方式。

通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權限和邏輯網段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網絡的整體性能和安全性。而且通過對VLAN的創建，隔離了廣播，縮小了廣播范圍，可以控制廣播風暴的產生。對于采用VLAN技術的網絡來說，一個VLAN可以根據部門職能、對象組或者應用將不同地理位置的網絡用戶劃分為一個邏輯網段。這樣也使的網絡管理變的簡單、直觀。

“懲罰箱”策略

下面介紹一種基于交換機的安全策略。目前一些學校發現一些學生總是嘗試著攻擊學校的數據庫服務器，或者一些學生下載大量的多媒體文件，這些事情對網絡擁塞非常嚴重使得網絡訪問變的很慢。針對這些問題，學校里使用了三層和四層交換機，并且建立安全策率以限制網絡帶寬和網絡訪問，這樣有效的防止的學生的黑客行為和對帶寬的占用。

這些方法也被一些使用私用網絡的公司中的E1交換機所采用。這些E1交換機支持三層和四層的服務例如基于IP地址，UDP協議端口和媒體訪問控制層（MAC）地址的速度限制和訪問控制列表（ACL）。UPN軟件可以有效的利用這些特性使得網絡的管理人員制定一些策略和具有一定限制的訪問角色：一個全部特性的角色可能包括對全部服務的訪問，并且保證在每秒100M的速度。而一個具有限制的角色（受限制的訪問者或者和“懲罰箱”有關的一些人）可能被禁止對因特網的訪問，只保留了一些電子郵箱和企業內部網服務的訪問。并且被限制在一個比全部特性角色要低的帶寬。

在一些學校里ACL也被用來限制學生的活動，通過限制一定的IP地址組訪問服務器和其他的禁止學生反問的資源就可以很好的保護網絡的安全和性能。思科的 Catalyst 3550 和2950交換機就具有三層ACL，包過濾和802.1x授權的功能，可以很好的用來保護校園網絡中局域網的安全。這些智能的局域網交換機可以幫助學校使學生訪問更多的服務而同時又能保護重要的資源如財務系統的服務器---僅僅可以讓授權的用戶訪問。