5. 阻挡不明交换设备的接入BPDU/Root Guard

    在实际网络环境中，经常有些用户有意或无意将未经允许的交换设备串接至用户端口，新增交换机的BPDU信息可能会导致整个网络第二层网络逻辑拓朴结构变化，引起网络架构震荡；更为严重的是，黑客可能假冒第二层SPT信息包冲击甚至改变整个网络二层结构，夺取网络SPT中Root的位置，使得网络无法正常工作。因此对于SPT BPDU信息和SPT Root的保护，是避免不明交换设备任意接入的根本保障。

    思科交换机的BPDU Guard功能在端口上启用后，一旦受到其它交换机的BPDU信息，此端口立刻Shutdown（防止接口连入交换机），必须有网络管理员手工恢复。

    而思科交换机的ROOT Guard，则是在在DP端口上实现，该端口就不会改变，只会是DP了，这样可以防止新加入的交换机成为root，该端口就变成了永久的DP了，若新加入的交换机想成为root，则它的端口将不能工作，直到这个新交换机委曲求全做RP为止。

    这两个简单的二层SPT保护功能，完全防范了不明交换设备的“非法”接入，保证了整个网络交换架构的稳定可靠，是网络自身安全的重要保护手段。

6. 专用VLAN“深度”隔离交换端口Private VLANs

    专用VLAN能够限制VLAN中的哪些端口可以与处于同一VLAN中的其它端口通信。一般情况下，部署专用VLAN的目的是使某个网段上的主机只能与其默认网关通信，而不能与网络上的其它主机通信。例如，如果Web服务器遭到了Code-Red红色代码的破坏，即使其它Web服务器也在这个网段中，也不会被感染。这种访问控制的实施方式是将主机分配给隔离端口或小组端口，有效地减小受感染主机可能造成的危害。隔离端口只能与异类端口（一般为路由器）通信。小组端口既可以与异类端口通信，也可以与同组中的其它端口通信。

7. 丰富的访问控制Access Control Lists

    访问控制列表（ACL）是思科IOS操作系统中提供的访问控制技术，对于所有思科系列的各种交换设备，ACL都能够提供全面和高效的支持。

    ACL采用的是包过滤技术，能够在交换设备上读取第二/三/四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

    网络中的节点类型主要分为资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

    思科全系列交换设备具有丰富的ACL访问控制能力，诸如Router ACL，VLAN ACL，Time-based ACL，Port-based ACL等等，其中有很多是针对园区交换网络专门设计应用的，同时很多ACL都是通过硬件机制（如专用芯片）实现处理转发的，进一步确保的在高速交换网络中的传输性能，真正做到了安全、高效、可靠。

    当然，由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第二/三/四层包头中的部分信息，因此具有一些必然的局限性，特别是无法识别应用层内部信息等。而在后面章节中介绍的NBAR等功能，则完全可以配合ACL实现对于应用流量访问控制。