在多年成功使用由已停产的和二手网络设备所拼凑的网络之后,Oral Roberts University (ORU) 的网络团队向大家分享了它在网络政策管理的灾难历程。
例如,您是否听说过警卫在清理办公室时发现交叉网线的事?他当时不是将网线扔掉或交回给IT部,而是将网线接到不同的端口上,从而在网络中制造出一个回路而造成网络瘫痪。在网络中使用和运行一个简单的生成树协议可以使学校实现网络策略管理功能,从而避免出现这样的网络瘫痪事件,ORU的系统架构师Tannie Olsen说。
但是由于它们的互操作问题,网络工程师无法在保持网络连通时实现这个生成树协议,Olsen 说。相反,工程师每次都被迫断开Catalyst 6509的模块,以查看过度的流量来源于哪个位置,然后他们必须进一步隔离导致出现这些问题的特定校园网端口。
“这的确是一个最原始的故障修复方法,”他说。
如果ORU的人员之前能够在边缘端口上实现网络政策管理,同时使用足够智能的交换机确定流量回环并将发生这种恶意行为的端口关闭,那么他们就能够避免这样的混乱了。
ORU是位于Tulsa, Okla的一家小型私立大学,当去年它获得用于全面整修学校遗留网络的专项奖金时,集中和简化政策管理成为团队最迫切需要解决的问题,Olsen 说。
一个只有有限网络政策管理的混乱的遗留网络(legacy network)
由于经费有限,ORU的网络团队最近几年一直都忙于管理十几年来所积攒下来的由混乱且老旧和已停产的交换机所组成的网络。
“尝试使用这些设备进行通信是非常困难的,甚至是不太可能的,”Olsen 说。“要通过各种服务质量检验,要分类服务,要在网络中实现生成树——都是非常困难的。因此,实现统一的平台对于我们来说是极其重要的。”
ORU网络的“主力”是十年前Cisco Systems的Catalyst 5000和500交换机,Cisco去年已经停止生产了。但是在过去的七年里Olsen发现随着更高级的Catalyst交换机进入市场, Catalyst 5000和500交换机就很难获得服务和支持了。
ORU网络也使用了少数第一代Catalyst 6590s和15年前的Catalyst 1900s,以及各种Dell、Nortel和3Com的设备。“我们开始建设网络时是没有经费的,如果我们能够获得一些奖金,那么我们会买一台交换机的,”Olsen 说。“我们的大多数设备都是从eBay购买的[破产]拍卖品。”
网络政策管理是最重要的需求
Olsen的团队在更新和替换网络时所考虑的都是常见的供应商:Cisco、Hewlett-Packard (HP) ProCurve和Brocade。但是他说Cisco对于ORU紧张的预算来说太昂贵了,而且他的员工又不满意ProCurve和Brocade的网络管理软件。最终,ORU选择了Enterasys Networks的产品。
“Enterasys 卖给我们的实际上是政策。不仅是基于政策的路由产品,还包括基于政策的交换产品——能够在端口层面上处理流量,”Olsen 说。“通过Enterasys Networks,我们就能够做到‘如果IP地址来自于任意的学生端口,那么我们就将它的流量丢弃。’它是不会经过交换机端口的。”
根据Enterasys的Network Management Suite (NMS) 软件的产品管理主管Eric Stinson的说法,有一些网络政策管理软件能够在路由器上进行这些判断,允许不需要的流量进入分布或核心层。
“如果[政策]控制在路由器上完成,那么它就不会在网络边缘得到控制,”Stinson 说。“一个路由器接口能够支持50 个交换机,而用户只有到达路由器时才会受到这些政策控制。所以任何连接到边缘交换机的用户都会受到这个政策的控制。”
这种端口级的关闭是NMS的Automated Security Manager (ASM) 的一部分,它是平台的 Policy Manager功能的补充,Stinson说。通过入侵检测系统(IDS)对流氓设备或可疑网络活动发出的警告,ASM能够禁用特定的用户或端口——对管理员发出警告,由管理员完成;或者当管理员在设置时间内未响应警告时自动完成。
这个网络政策管理功能意味着Olsen和他的团队最终能够处理他们的一些最大的问题:性能问题、故障修复延迟和缺少对恶意设备或错误配置的检测。ORU的 3,700 个学生一直给网络团队带来配置和恶意设备问题。
“如果我们给每个宿舍提供的两个端口不够用,[学生]可以使用他们自己的分离器和连接他们自己的无线集线器,从而获得他们所需要的更多端口,”Olsen说。“但有时他们会连接一个能发送DHCP请求到我们网络的设备。我们很快就会开始接到学生的求助电话,[他们]无法连接网络并[询问]哪里出现了问题,而我们必须[手动跟踪导致问题发生的根源]。”
