在交換機初始化的時候一定要配置SNMP工具,這是爲了後續維護的方便,讓其能夠幫助管理員來維護企業複雜多變的網絡環境,因爲SNMP是一個比較複雜、功能比較強大的管理工具。具體的來說,主要涉及到以下四大參數。
一、交換機設置系統名字
爲了能夠有效的管理交換機,最好能夠爲交換機設置一個有意義的系統名字這是一個最基本的要求。如果不進行配置,當使用telnet或者ssh協議登陸到交換機進行會話的時候,CLI界面所顯示的是交換機等網絡設備的默認名稱。這個默認名稱不便於進行區分。特別是在比較複雜的企業網絡中,爲各臺交換機等網絡設備配置有意義的並且是唯一的系統名字是一項非常有用的工作。
如現在有一家辦公大樓,其在各個樓層都配有一臺交換機。此時就可以根據樓層的名字給交換機命名,如SWF4。其中SW表示這個設備是交換機,而F4則表示其放置在第四樓。看到這個名字之後,管理員就可以一目瞭然的知道這臺交換機的位置、用途等等。如果有必要的話,筆者認爲,可以將交換機的位置信息、用途等等都加入到名字中去。當然爲了名字過於長,可以採用簡寫或者代碼的方式進行記錄。這個名字的目的只有一個,就是當管理員看到這個名字的時候,就能夠知道這個交換機所處的位置以及作用。如果能夠達到這個目的,那麼命名規則就是成功的。
在思科系列的交換機中,可以使用hostname命令或者setsystemname來對系統進行命名。兩者的區別主要在於所使用的系統不同。前者主要在IOS系統中使用,而後者的話主要在CatOS中採用。
二、交換機設置時鐘和NTP
在企業網絡排錯和監控的過程中,維護準確的時鐘設置並且顯示正確的時間和日期是非常重要的,而且也是最基本的要求。當某個故障或者攻擊發生的時候,正確的時間信息往往可以幫助網絡管理員減少排錯的時間。如當網絡出現擁塞的時候,可以根據日誌中的時間信息判斷網絡當時是否在進行一些維護的工作;或者查看防火牆看看那時候是否存在攻擊的時間。故在交換機初始化的時候,需要設置正確的時鐘。一般情況下,一個基本的.要求就是這個交換機的時間要跟其他網絡設備的時間同步。
要實現企業中所有網絡設備時間的同步,主要通過NTP來實現。簡單的說,NTP技術就是讓交換機以網絡中的某臺設備的時間爲基準來進行同步。當各個網絡設備都以一臺設備的時間作爲同步對象時,其各個設備的時間也就實現了同步。在配置這個參數時,筆者認爲主要注意以下幾個方面的問題。
一是意外事件發生的時候,爲了能夠位置對企業網絡的控制和網絡的穩定運行,知道事件發生的確切時間是至關重要的。如SNMPTRAP等網絡維護協議,都需要用到它。故作爲網絡管理員,一定要認識到這個時間的重要性。其交換機等網絡設備的時間不在於是否準確,關鍵在於各個網絡設備的時間是否同步。因爲往往需要在不同設備的日誌之間進行關聯查詢。這個時間就好像是數據庫表與表之間的關鍵字,在其中起着牽線搭橋的作用。換句話說,即使時間不準,但是隻要網絡內的設備時間同步也是可以的。相反,如果網絡內的設備時間不同步,即使某些網絡設備的時間是準確的,那麼也會給網絡維護帶來很大的困繞。爲此筆者建議最好使用NTP技術來實現時鐘的同步。在思科網絡設備中,可以通過使用ntpserver命令制定交換機與某個NTP服務器進行時鐘同步。
二是需要注意夏時制的影響。如果企業用戶所在的位置每天都需要調整時間(即國內以前的夏時制,一年四季的時間不同),訥麼就需要通過配置夏時制來自東更新系統時鐘。思科系列的交換機基本上都支持這個夏時制的功能。不過現在國內基本上已經取消了,故不需要特別的在意。只是如果需要跟國外的網絡設備進行同步時,就需要注意對方是否有夏時制等類似的規定。在思科交換機中,如果要啓用這個夏時制功能的話,可以通過命令clocksummer-timezonedate命令來實現。
三、交換機設置遠程管理的方式
在交換機後續維護的過程中,很少會跑到交換機的面前採用控制端的方式進行維護。大部分情況下,都是採用telnet或者ssh協議執行遠程維護。在思科系列的交換機中都支持這兩種協議的遠程管理訪問。在網絡管理員決定採用遠程管理訪問時,需要注意如下的內容。
一是要注意Telent與SSH協議的差異。
簡單的說,他們在遠程管理上功能與操作都是非常類似的,最重要的一個區別就是在安全性上的差異。簡單的說,Telnet協議其在傳輸過程中用戶名、密碼等重要的信息都是不加密的,爲此容易被截取,從而導致攻擊。而SSH協議則不同,其在傳輸過程中用戶名、密碼等敏感信息都是加密處理過的。所以相對來說,其在遠程管理中相對安全許多。筆者建議,網絡管理員最好採用SSH協議來遠程管理交換機等網絡設備,而不是採用安全機制比較薄弱的Telnet協議。
二是需要知道SSH協議的脆弱性。
雖然說SSH協議比Telnet協議要安全許多,但是其自身仍然有不少脆弱的地方。如可能導致Dos攻擊或者緩衝區溢出;如也會發送無效的字段或者無效的IP幀;如攻擊者可以攔截大量的數據幀進行密鑰分析等等。沒有絕對安全的協議。總之網絡管理員需要知道SSH有這些安全隱患,然後採用相應的措施來預防。如可以定時或者不定時的更改SSH的登陸密碼或者將其密碼設置的複雜一些,讓“通過攔截數據來進行密鑰分析”的攻擊手段無效等等。
三是在交換機上禁用掉Telnet協議。
通常在思科系列的交換機中,其默認情況下Telnet協議是不啓用的,只能夠通過SSH協議來遠程管理交換機。如果網絡管理員採用的是其他品牌的交換機,那麼就需要確認一下Telnet協議是否啓用。如果啓用的話,那麼筆者建議是關掉它。然後只啓用ssh協議,以確保企業網絡的安全。
四、交換機設置SNMP工具
無論是大型網絡還是小型網絡,SNMP都是一個非常實用的工具。在小型網絡中,SNMP比較適合進行網絡監控;而在大型網絡中,SNMP也是一個有效的網絡配置工具。如可以通過SNMP工具,進行配置文件的管理與配置;如可以利用SNMP協議進行接口的統計和性能度量;如可以對接口鏈路的狀態進行追蹤等等。
對於使用思科系列的網絡設備的企業來說,需要注意其可以使用的SNMP協議有三個版本,分別爲版本1、版本2C、與版本3。不過目前採用的大部分思科網絡設備其SNMP協議都是第二個版本,即snmpv2c。這裏需要特別強調的是,如果網絡中還有其他網絡設備採用比較低級的SNMP協議,那麼有必要時需要進行降低處理。即爲了兼容性的考慮,採取比較低的SNMP協議版本,以實現統一的管理。
