交換機是局域網中的一種核心的網絡終端,那麼維護好交換機系統也變得十分的重要了,為了讓局域網網絡能夠更穩定地工作,我們時常需要對交換機設備進行合理調教,確保該設備始終能夠高效地運行。
定期升級讓交換機永葆活力
筆者曾經遭遇一則網絡頻繁中斷故障,每次只有重新啟動交換機系統才能解決問題;在仔細排查流量異常、網絡病毒等因素後,又請ISP運營商對上網線路進行了測試,結果顯示上網線路也沒有任何問題。
在毫無頭緒的情況下,筆者突然想起該交換機設備已經連續工作了很多年,軟件系統的版本比較低,會不會是由於版本太低的原因導致了交換機系統活力不足呢?為了驗證自己的猜測是否正確。
筆者立即以系統管理員身份登錄進入交換機後台管理界面,在該界面的命令行狀態下執行了“displaycpu”命令,發現交換機系統的CPU 占用率一直在95%以上,這難怪連接到該交換機中的工作站不能上網了;
之後,筆者又在命令行狀態下執行了“displayversion”命令,從其後的結果界面中,筆者發現交換機系統的VRP平台軟件版本果然比較低,馬上到對應交換機設備的官方網站中下載最新版本的平台軟件,並開始對交換機系統軟件進行升級。
由於單位使用的交換機支持遠程管理功能,為此筆者采用了最為常見的FTP方式進行升級的;在正式升級之前,筆者先查看了一下目標交換機 Flash存儲器的剩余空間大小,要是剩余空間不多的話,需要刪除一些過時的文件,不然的話最新的交換機升級包程序將無法上傳到交換機系統中。
在確認Flash存儲器剩余空間足夠後,筆者將自己使用的普通工作站當成是FTP服務器,將交換機設備看成是客戶端系統,如此一來筆者不需要對交換機設備進行任何配置,就能很輕易地架設好一台FTP服務器了,此時筆者就能從交換機上登錄到FTP服務器上,利用FTP命令將事先下載保存到本地普通工作站上的最新VRP平台軟件下載保存到交換機的Flash存儲器中了。
為了防止平台軟件升級失敗,筆者又對原始的交換機配置文件備份了一下,畢竟交換機設備從低版本升級到高版本時,由於命令行上的差異,可能會造成部分交換機配置信息發生丟失,這個時候對舊配置文件進行備份是相當有必要的。
3lian素材 .
之後,筆者使用boot命令,指定交換機系統在下次啟動時自動調用最新的平台軟件,當交換機系統重新啟動成功並更新好了VRP平台軟件後,又對照以前的配置將交換機系統重新配置了一下,交換機的工作狀態立即恢復正常了。
而且很長一段時間後,筆者發現該系統的CPU占用率一直為15%左右,這說明交換機平台軟件升級到最新版本後,確實可以讓交換機永葆活力。所以,當局域網交換機工作狀態一直不穩定時,我們應該及時檢查一下對應平台軟件的版本高低,一旦發現交換機系統版本較低時,必須及時對其進行升級,這樣能夠解決許多由交換機自身性能引起的隱性故障現象。
搜集可疑流量。一旦可疑流量被監測到,我們需要捕獲這些數據包來判斷這個不正常的流量到底是不是發生了新的蠕蟲攻擊。正如上面所述,Netflow並不對數據包做深層分析。
我們需要網絡分析工具或入侵檢測設備來做進一步的判斷。但是,如何能方便快捷地捕獲可疑流量並導向網絡分析工具呢?速度是很重要的,否則你就錯過了把蠕蟲扼殺在早期的機會。除了要很快定位可疑設備的物理位置,還要有手段能盡快搜集到證據。
我們不可能在每個接入層交換機旁放置網絡分析或入侵檢測設備,也不可能在發現可疑流量時扛著分析儀跑去配線間。有了上面的分析,下面我們就看如何利用Catalyst的功能來滿足這些需要!
檢測可疑流量Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基於硬件的Netflow 功能,采集流經網絡的流量信息。這些信息采集和統計都通過硬件ASCI完成,所以對系統性能沒有影響。 Catalyst 4500 Sup V-10GE缺省就帶了Netflow卡,所以不需增加投資。
追蹤可疑源頭,Catalyst 集成的安全特性提供了基於身份的網絡服務(IBNS),以及DHCP監聽、源IP防護、和動態ARP檢測等功能。這些功能提供了用戶的IP地址和MAC地址、物理端口的綁定信息,同時防范IP地址假冒。這點非常重要,如果不能防范IP地址假冒,那麼Netflow搜集到的信息就沒有意義了。
用戶一旦登錄網絡,就可獲得這些信息。結合ACS,還可以定位用戶登錄的用戶名。在Netflow 收集器(Netflow Collector)上編寫一個腳本文件,當發現可疑流量時,就能以email的方式。
把相關信息發送給網絡管理員。在通知email裡,報告了有不正常網絡活動的用戶CITG, 所屬組是CITG-1(這是802.1x登錄所用的)。接入層交換機的IP地址是10.252.240.10,物理接口是 FastEthernet4/1.
另外還有客戶端IP地址和MAC地址 ,以及其在5分鐘內(這個時間是腳本所定義的)發出的flow和packet數量。掌握了這些信息後,網管員就可以馬上采取以下行動了:通過遠程SPAN 捕獲可疑流量。Catalyst接入層交換機系統上所支持的遠程端口鏡像功能可以將流量捕獲鏡像到一個遠程交換機上。
例如將接入層交換機系統上某個端口或VLAN的流量穿過中繼鏡像到分布層或核心層的某個端口,只需非常簡單的幾條命令即可完成。流量被捕獲到網絡分析或入侵檢測設備(例如Cat6500集成的網絡分析模塊NAM或IDS模塊),作進一步的分析和做出相應的動作。