虽然说现在的交换机都不需要经过初始配置,直接接入到网络中就可以正常工作。但我们真正可能面对的情况是,不经过初始化配置的交换机,其后续的排错与维护将变成一场灾难。如不对交换机的名字进行合理的规划,那么以后就很难将交换机的名字与交换机的位置、功能对应起来,从而给维护带来一定的难度。
所以为了能够优化交换机的管理以及简化后续的排错,必须要在交换机初始安装的时候对相关的参数进行配置。根据笔者的经验,具体的来说,主要涉及到以下四大参数。
一、设置系统名字
为了能够有效的管理交换机,最好能够为交换机配置一个有意义的系统名字这是一个最基本的要求。如果不进行配置,当使用telnet或者ssh协议登陆到交换机进行会话的时候, CLI界面所显示的是交换机等网络设备的默认名称。这个默认名称不便于进行区分。特别是在比较复杂的企业网络中,为各台交换机等网络设备配置有意义的并且是唯一的系统名字是一项非常有用的工作。
如现在有一家办公大楼,其在各个楼层都配有一台交换机。此时就可以根据楼层的名字给交换机命名,如SWF4。其中SW表示这个设备是交换机,而F4则表示其放置在第四楼。看到这个名字之后,管理员就可以一目了然的知道这台交换机的位置、用途等等。如果有必要的话,笔者认为,可以将交换机的位置信息、用途等等都加入到名字中去。当然为了名字过于长,可以采用简写或者代码的方式进行记录。这个名字的目的只有一个,就是当管理员看到这个名字的时候,就能够知道这个交换机所处的位置以及作用。如果能够达到这个目的,那么命名规则就是成功的。
在思科系列的交换机中,可以使用hostname命令或者set system name来对系统进行命名。两者的区别主要在于所使用的系统不同。前者主要在IOS系统中使用,而后者的话主要在CatOS中采用。
二、设置时钟和NTP
在企业网络排错和监控的过程中,维护准确的时钟设置并且显示正确的时间和日期是非常重要的,而且也是最基本的要求。当某个故障或者攻击发生的时候,正确的时间信息往往可以帮助网络管理员减少排错的时间。如当网络出现拥塞的时候,可以根据日志中的时间信息判断网络当时是否在进行一些维护的工作;或者查看防火墙看看那时候是否存在攻击的时间。故在交换机初始化的时候,需要设置正确的时钟。一般情况下,一个基本的要求就是这个交换机的时间要跟其他网络设备的时间同步。
要实现企业中所有网络设备时间的同步,主要通过NTP来实现。简单的说,NTP技术就是让交换机以网络中的某台设备的时间为基准来进行同步。当各个网络设备都以一台设备的时间作为同步对象时,其各个设备的时间也就实现了同步。在配置这个参数时,笔者认为主要注意以下几个方面的问题。
一是意外事件发生的时候,为了能够位置对企业网络的控制和网络的稳定运行,知道事件发生的确切时间是至关重要的。如SNMP TRAP等网络维护协议,都需要用到它。故作为网络管理员,一定要认识到这个时间的重要性。其交换机等网络设备的时间不在于是否准确,关键在于各个网络设备的时间是否同步。因为往往需要在不同设备的日志之间进行关联查询。这个时间就好像是数据库表与表之间的关键字,在其中起着牵线搭桥的作用。换句话说,即使时间不准,但是只要网络内的设备时间同步也是可以的。相反,如果网络内的设备时间不同步,即使某些网络设备的时间是准确的,那么也会给网络维护带来很大的困绕。为此笔者建议最好使用NTP技术来实现时钟的同步。在思科网络设备中,可以通过使用ntp server 命令制定交换机与某个NTP服务器进行时钟同步。
二是需要注意夏时制的影响。如果企业用户所在的位置每天都需要调整时间(即国内以前的夏时制,一年四季的时间不同),讷么就需要通过配置夏时制来自东更新系统时钟。思科系列的交换机基本上都支持这个夏时制的功能。不过现在国内基本上已经取消了,故不需要特别的在意。只是如果需要跟国外的网络设备进行同步时,就需要注意对方是否有夏时制等类似的规定。在思科交换机中,如果要启用这个夏时制功能的话,可以通过命令clock summer-time zone date命令来实现。
三、设置远程管理的方式
在交换机后续维护的过程中,很少会跑到交换机的面前采用控制端的方式进行维护。大部分情况下,都是采用telnet或者ssh协议执行远程维护。在思科系列的交换机中都支持这两种协议的远程管理访问。在网络管理员决定采用远程管理访问时,需要注意如下的内容。
一是要注意Telent与SSH协议的差异。简单的说,他们在远程管理上功能与操作都是非常类似的,最重要的一个区别就是在安全性上的差异。简单的说,Telnet协议其在传输过程中用户名、密码等重要的信息都是不加密的,为此容易被截取,从而导致攻击。而SSH协议则不同,其在传输过程中用户名、密码等敏感信息都是加密处理过的。所以相对来说,其在远程管理中相对安全许多。笔者建议,网络管理员最好采用SSH协议来远程管理交换机等网络设备,而不是采用安全机制比较薄弱的Telnet协议。
二是需要知道SSH协议的脆弱性。虽然说SSH协议比Telnet协议要安全许多,但是其自身仍然有不少脆弱的地方。如可能导致Dos攻击或者缓冲区溢出;如也会发送无效的字段或者无效的IP帧;如攻击者可以拦截大量的数据帧进行密钥分析等等。没有绝对安全的协议。总之网络管理员需要知道SSH有这些安全隐患,然后采用相应的措施来预防。如可以定时或者不定时的更改SSH的登陆密码或者将其密码设置的复杂一些,让“通过拦截数据来进行密钥分析”的攻击手段无效等等。
三是在交换机上禁用掉Telnet协议。通常在思科系列的交换机中,其默认情况下Telnet协议是不启用的,只能够通过SSH协议来远程管理交换机。如果网络管理员采用的是其他品牌的交换机,那么就需要确认一下Telnet协议是否启用。如果启用的话,那么笔者建议是关掉它。然后只启用ssh协议,以确保企业网络的安全。
四、配置SNMP工具
无论是大型网络还是小型网络,SNMP都是一个非常实用的工具。在小型网络中,SNMP比较适合进行网络监控;而在大型网络中,SNMP也是一个有效的网络配置工具。如可以通过SNMP工具,进行配置文件的管理与配置;如可以利用SNMP协议进行接口的统计和性能度量;如可以对接口链路的状态进行追踪等等。
对于使用思科系列的网络设备的企业来说,需要注意其可以使用的SNMP协议有三个版本,分别为版本1、版本2C、与版本3。不过目前采用的大部分思科网络设备其SNMP协议都是第二个版本,即snmpv2c。这里需要特别强调的是,如果网络中还有其他网络设备采用比较低级的SNMP协议,那么有必要时需要进行降低处理。即为了兼容性的考虑,采取比较低的SNMP协议版本,以实现统一的管理。
SNMP是一个比较复杂、功能比较强大的管理工具。在这里不能够详细的阐述。笔者需要强调的是,为了后续维护的方便,在交换机初始化的时候一定要配置这个工具,让其能够帮助管理员来维护企业复杂多变的网络环境。
【编辑推荐】