网管员手册:器重交换机初始设置重要性[网络技术]

固然说目前的交换机都不需求经过初始配置,直接接入到网络中便可以正常工作.但我们真正大概面对的情形是,不经过初始化配置的交换机,后来续的排错与保护将变成一场灾难.如不对交换机的名字举行公道的筹划,那么今后就很难将交换机的名字与交换机的位置、功效对应起来,从而给保护带来一定的难度.

所认为了可以优化交换机的管理以及简化后续的排错,必必要在交换机初始安装的时刻对相关的参数举行配置.按照笔者的经验,具体的来说,主要触及到以下四大参数.

1、设置系统名字

为了可以有效的管理交换机,最好可认为交换机配置一个有意义的系统名字这是一个最基本的要求.假如不举行配置,当利用telnet大概ssh协议登陆到交换机举行会话的时刻, CLI界面所显示的是交换机等网络设备的默许名称.这个默许名称不便于举行辨别.分外是在对比复杂的企业网络中,为各台交换机等网络设备配置有意义的并且是唯一的系统名字是一项非常有效的工作.

如目前有一家办公大楼,其在各个楼层都配有一台交换机.此时便可以按照楼层的名字给交换机命名,如SWF4.此中SW表示这个设备是交换机,而F4 则表示其安排在第四楼.看到这个名字之后,管理员便可以一目了然的知道这台交换机的位置、用处等等.假若有必要的话,笔者认为,可以将交换机的位置信息、用处等等都加入到名字中去.当然为了名字过于长,可以采取简写大概代码的方法举行记录.这个名字的目的只有一个,就是当管理员看到这个名字的时刻,就可以够知道这个交换机所处的位置以及作用.假如可以到达这个目的,那么命名法则就是成功的.

在思科系列的交换机中,可以利用hostname号令大概set system name来对系统举行命名.二者的辨别主要在于所利用的系统差别.前者主要在IOS系统中利用,此后者的话主要在CatOS中采取.

2、设置时钟和NTP

在企业网络排错和监控的历程中,保护精确的时钟设置并且显示精确的时间和日期是非常重要的,并且也是最基本的要求.当某个弊端大概攻击发生的时刻,精确的时间信息常常可以帮忙网络管理员削减排错的时间.如当网络呈现堵塞的时刻,可以按照日记中的时间信息判断网络当时能否在举行一些保护的工作;大概查看防火墙看看当时刻能否存在攻击的时间.故在交换机初始化的时刻,需求设置精确的时钟.普通情形下,一个基本的要求就是这个交换机的时间要跟其他网络设备的时间同步.

要实现企业中全部网络设备时间的同步,主要通过NTP来实现.简单的说,NTP技术就是让交换机以网络中的某台设备的时间为基准来举行同步.当各个网络设备都以一台设备的时间作为同步对象时,其各个设备的时间也就实现了同步.在配置这个参数时,笔者认为主要注意以下几个方面的问题.

一是不测事件发生的时刻,为了可以位置对企业网络的掌握和网络的安定运行,知道事件发生的切当时间是至关重要的.如SNMP TRAP等网络保护协议,都需求用到它.故作为网络管理员,一定要熟习到这个时间的重要性.其交换机等网络设备的时间不在于能否精确,关键在于各个网络设备的时间能否同步.因为常常需求在差别设备的日记之间举行关联查询.这个时间就仿佛是数据库表与表之间的关键字,在此中起着牵线搭桥的作用.换句话说,即便时间不准,但是只要网络内的设备时间同步也是可以的.相反,假如网络内的设备时间差别步,即便某些网络设备的时间是精确的,那么也会给网络保护带来很大的困绕.为此笔者倡议最好利用NTP技术来实现时钟的同步.在思科网络设备中,可以通过利用ntp server 号令拟定交换机与某个NTP服务器举行时钟同步.

二是需求注意夏时制的影响.假如企业用户所在的位置每天都需求调整时间(即国内从前的夏时制,一年四季的时间差别),讷么就需求通过配置夏时制来自东更新系统时钟.思科系列的交换机基本上都支持这个夏时制的功效.不过目前国内基本上已经撤消了,故不需求分外的在乎.只是假如需求跟国外的网络设备举行同步时,就需求注意对方能否有夏时制等近似的规定.在思科交换机中,假如要启用这个夏时制功效的话,可以通过号令clock summer-time zone date号令来实现.

3、设置远程管理的方法

在交换机后续保护的历程中,很少会跑到交换机的眼前采取掌握端的方法举行保护.大部份情形下,都是采取telnet大概ssh协议履行远程保护.在思科系列的交换机中都支持这两种协议的远程管理拜候.在网络管理员决意采取远程管理拜候时,需求注意以下的内容.

一是要注意Telent与SSH协议的差别.简单的说,他们在远程管理上功效与操作都是非常近似的,最重要的一个辨别就是在安全性上的差别.简单的说,Telnet协议其在传输历程顶用户名、密码等重要的信息都是不加密的,为此简单被截取,从而招致攻击.而SSH协议则差别,其在传输历程顶用户名、密码等敏感信息都是加密处理过的.所以相对来说,其在远程管理中相对安全很多.笔者倡议,网络管理员最好采取SSH协议来远程管理交换机等网络设备,而不是采取安全机制对比柔弱的Telnet协议.

二是需求知道SSH协议的脆弱性.固然说SSH协议比Telnet协议要安全很多,但是其自身仍旧有不少脆弱的地方.如大概招致dos攻击大概缓冲区溢出;如也会发送无效的字段大概无效的IP帧;如攻击者可以拦阻大量的数据帧举行密钥解析等等.没有绝对安全的协议.总之网络管理员需求知道SSH有这些安全隐患,然后采取呼应的办法来预防.如可以按时大概不按时的更改SSH的登陆密码大概将其密码设置的复杂一些,让“通过拦阻数据来举行密钥解析”的攻击手段无效等等.

三是在交换机上禁用掉Telnet协议.普通在思科系列的交换机中,其默许情形下Telnet协议是不启用的,只可以通过SSH协议来远程管理交换机.假如网络管理员采取的是其他品牌的交换机,那么就需求确认一下Telnet协议能否启用.假如启用的话,那么笔者倡议是关掉它.然后只启用ssh协议,以确保企业网络的安全.

4、配置SNMP工具

无论是大型网络还是小型网络,SNMP都是一个非常实用的工具.在小型网络中,SNMP对比合适举行网络监控;而在大型网络中,SNMP也是一个有效的网络配置工具.如可以通过SNMP工具,举行配置文件的管理与配置;如可以操纵SNMP协议举行接口的统计和性能器量;如可以对接口链路的状况举行追踪等等.

关于利用思科系列的网络设备的企业来说,需求注意其可以利用的SNMP协议有三个版本,辨别为版本1、版本2C、与版本3.不过目前采取的大部份思科网络设备其SNMP协议都是第二个版本,即snmpv2c.这里需求分外夸大的是,假如网络中还有其他网络设备采取对比初级的SNMP协议,那么有必要时需求举行降低处理.即为了兼容性的考虑,采纳对比低的SNMP协议版本,以实现统一的管理.

SNMP是一个对比复杂、功效对比强盛的管理工具.在这里不可以具体的阐述.笔者需求夸大的是,为了后续保护的便利,在交换机初始化的时刻一定要配置这个工具,让其可以帮忙管理员来保护企业复杂多变的网络环境.