網(wǎng)絡(luò)中的交換機(jī)系統(tǒng)作用何在

　　交換機(jī)是局域網(wǎng)中的一種核心的網(wǎng)絡(luò)終端，那么維護(hù)好交換機(jī)系統(tǒng)也變得十分的重要了，為了讓局域網(wǎng)網(wǎng)絡(luò)能夠更穩(wěn)定地工作，我們時(shí)常需要對(duì)交換機(jī)設(shè)備進(jìn)行合理調(diào)教，確保該設(shè)備始終能夠高效地運(yùn)行。

　　定期升級(jí)讓交換機(jī)永葆活力

　　筆者曾經(jīng)遭遇一則網(wǎng)絡(luò)頻繁中斷故障，每次只有重新啟動(dòng)交換機(jī)系統(tǒng)才能解決問題;在仔細(xì)排查流量異常、網(wǎng)絡(luò)病毒等因素后，又請(qǐng)ISP運(yùn)營(yíng)商對(duì)上網(wǎng)線路進(jìn)行了測(cè)試，結(jié)果顯示上網(wǎng)線路也沒有任何問題。

　　在毫無(wú)頭緒的情況下，筆者突然想起該交換機(jī)設(shè)備已經(jīng)連續(xù)工作了很多年，軟件系統(tǒng)的版本比較低，會(huì)不會(huì)是由于版本太低的原因?qū)е铝私粨Q機(jī)系統(tǒng)活力不足呢？為了驗(yàn)證自己的猜測(cè)是否正確。

　　筆者立即以系統(tǒng)管理員身份登錄進(jìn)入交換機(jī)后臺(tái)管理界面，在該界面的命令行狀態(tài)下執(zhí)行了"displaycpu"命令，發(fā)現(xiàn)交換機(jī)系統(tǒng)的CPU占用率一直在95%以上，這難怪連接到該交換機(jī)中的工作站不能上網(wǎng)了;

　　之后，筆者又在命令行狀態(tài)下執(zhí)行了"displayversion"命令，從其后的結(jié)果界面中，筆者發(fā)現(xiàn)交換機(jī)系統(tǒng)的VRP平臺(tái)軟件版本果然比較低，馬上到對(duì)應(yīng)交換機(jī)設(shè)備的官方網(wǎng)站中下載最新版本的平臺(tái)軟件，并開始對(duì)交換機(jī)系統(tǒng)軟件進(jìn)行升級(jí)。

　　由于單位使用的交換機(jī)支持遠(yuǎn)程管理功能，為此筆者采用了最為常見的FTP方式進(jìn)行升級(jí)的;在正式升級(jí)之前，筆者先查看了一下目標(biāo)交換機(jī)Flash存儲(chǔ)器的剩余空間大小，要是剩余空間不多的話，需要?jiǎng)h除一些過時(shí)的文件，不然的話最新的交換機(jī)升級(jí)包程序?qū)�無(wú)法上傳到交換機(jī)系統(tǒng)中。

　　在確認(rèn)Flash存儲(chǔ)器剩余空間足夠后，筆者將自己使用的普通工作站當(dāng)成是FTP服務(wù)器，將交換機(jī)設(shè)備看成是客戶端系統(tǒng)，如此一來筆者不需要對(duì)交換機(jī)設(shè)備進(jìn)行任何配置，就能很輕易地架設(shè)好一臺(tái)FTP服務(wù)器了，此時(shí)筆者就能從交換機(jī)上登錄到FTP服務(wù)器上，利用FTP命令將事先下載保存到本地普通工作站上的最新VRP平臺(tái)軟件下載保存到交換機(jī)的Flash存儲(chǔ)器中了。

　　為了防止平臺(tái)軟件升級(jí)失敗，筆者又對(duì)原始的交換機(jī)配置文件備份了一下，畢竟交換機(jī)設(shè)備從低版本升級(jí)到高版本時(shí)，由于命令行上的差異，可能會(huì)造成部分交換機(jī)配置信息發(fā)生丟失，這個(gè)時(shí)候?qū)εf配置文件進(jìn)行備份是相當(dāng)有必要的。

　　之后，筆者使用boot命令，指定交換機(jī)系統(tǒng)在下次啟動(dòng)時(shí)自動(dòng)調(diào)用最新的平臺(tái)軟件，當(dāng)交換機(jī)系統(tǒng)重新啟動(dòng)成功并更新好了VRP平臺(tái)軟件后，又對(duì)照以前的配置將交換機(jī)系統(tǒng)重新配置了一下，交換機(jī)的工作狀態(tài)立即恢復(fù)正常了。

　　而且很長(zhǎng)一段時(shí)間后，筆者發(fā)現(xiàn)該系統(tǒng)的CPU占用率一直為15%左右，這說明交換機(jī)平臺(tái)軟件升級(jí)到最新版本后，確實(shí)可以讓交換機(jī)永葆活力。所以，當(dāng)局域網(wǎng)交換機(jī)工作狀態(tài)一直不穩(wěn)定時(shí)，我們應(yīng)該及時(shí)檢查一下對(duì)應(yīng)平臺(tái)軟件的版本高低，一旦發(fā)現(xiàn)交換機(jī)系統(tǒng)版本較低時(shí)，必須及時(shí)對(duì)其進(jìn)行升級(jí)，這樣能夠解決許多由交換機(jī)自身性能引起的隱性故障現(xiàn)象。

　　搜集可疑流量。一旦可疑流量被監(jiān)測(cè)到，我們需要捕獲這些數(shù)據(jù)包來判斷這個(gè)不正常的流量到底是不是發(fā)生了新的蠕蟲攻擊。正如上面所述，Netflow并不對(duì)數(shù)據(jù)包做深層分析。

　　我們需要網(wǎng)絡(luò)分析工具或入侵檢測(cè)設(shè)備來做進(jìn)一步的判斷。但是，如何能方便快捷地捕獲可疑流量并導(dǎo)向網(wǎng)絡(luò)分析工具呢？速度是很重要的，否則你就錯(cuò)過了把蠕蟲扼殺在早期的機(jī)會(huì)。除了要很快定位可疑設(shè)備的物理位置，還要有手段能盡快搜集到證據(jù)。

　　我們不可能在每個(gè)接入層交換機(jī)旁放置網(wǎng)絡(luò)分析或入侵檢測(cè)設(shè)備，也不可能在發(fā)現(xiàn)可疑流量時(shí)扛著分析儀跑去配線間。有了上面的分析，下面我們就看如何利用Catalyst的功能來滿足這些需要!

　　檢測(cè)可疑流量Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能，采集流經(jīng)網(wǎng)絡(luò)的流量信息。這些信息采集和統(tǒng)計(jì)都通過硬件ASCI完成，所以對(duì)系統(tǒng)性能沒有影響。 Catalyst 4500 Sup V-10GE缺省就帶了Netflow卡，所以不需增加投資。

　　追蹤可疑源頭，Catalyst 集成的安全特性提供了基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)，以及DHCP監(jiān)聽、源IP防護(hù)、和動(dòng)態(tài)ARP檢測(cè)等功能。這些功能提供了用戶的IP地址和MAC地址、物理端口的綁定信息，同時(shí)防范IP地址假冒。這點(diǎn)非常重要，如果不能防范IP地址假冒，那么Netflow搜集到的信息就沒有意義了。

　　用戶一旦登錄網(wǎng)絡(luò)，就可獲得這些信息。結(jié)合ACS,還可以定位用戶登錄的用戶名。在Netflow 收集器(Netflow Collector)上編寫一個(gè)腳本文件，當(dāng)發(fā)現(xiàn)可疑流量時(shí)，就能以email的方式。

　　把相關(guān)信息發(fā)送給網(wǎng)絡(luò)管理員。在通知email里，報(bào)告了有不正常網(wǎng)絡(luò)活動(dòng)的用戶CITG, 所屬組是CITG-1(這是802.1x登錄所用的)。接入層交換機(jī)的IP地址是10.252.240.10,物理接口是FastEthernet4/1.

　　另外還有客戶端IP地址和MAC地址 ,以及其在5分鐘內(nèi)(這個(gè)時(shí)間是腳本所定義的)發(fā)出的flow和packet數(shù)量。掌握了這些信息后，網(wǎng)管員就可以馬上采取以下行動(dòng)了：通過遠(yuǎn)程SPAN捕獲可疑流量。Catalyst接入層交換機(jī)系統(tǒng)上所支持的遠(yuǎn)程端口鏡像功能可以將流量捕獲鏡像到一個(gè)遠(yuǎn)程交換機(jī)上。

　　例如將接入層交換機(jī)系統(tǒng)上某個(gè)端口或VLAN的流量穿過中繼鏡像到分布層或核心層的某個(gè)端口，只需非常簡(jiǎn)單的幾條命令即可完成。流量被捕獲到網(wǎng)絡(luò)分析或入侵檢測(cè)設(shè)備(例如Cat6500集成的網(wǎng)絡(luò)分析模塊NAM或IDS模塊)，作進(jìn)一步的分析和做出相應(yīng)的動(dòng)作。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]