網(wǎng)絡(luò )中的交換機系統作用何在

標簽：ASCI 交換機

交換機系統重新啟動(dòng)成功并更新好了VRP平臺軟件后，應該進(jìn)行認真而仔細的對更新好的軟件進(jìn)行深一步的維護，那么下面就對交換機系統做一下自己的見(jiàn)解和看法。

交換機是局域網(wǎng)中的一種核心的網(wǎng)絡(luò )終端，那么維護好交換機系統也變得十分的重要了，為了讓局域網(wǎng)網(wǎng)絡(luò )能夠更穩定地工作，我們時(shí)常需要對交換機設備進(jìn)行合理調教，確保該設備始終能夠高效地運行。

定期升級讓交換機永葆活力

筆者曾經(jīng)遭遇一則網(wǎng)絡(luò )頻繁中斷故障，每次只有重新啟動(dòng)交換機系統才能解決問(wèn)題;在仔細排查流量異常、網(wǎng)絡(luò )病毒等因素后，又請ISP運營(yíng)商對上網(wǎng)線(xiàn)路進(jìn)行了測試，結果顯示上網(wǎng)線(xiàn)路也沒(méi)有任何問(wèn)題。

在毫無(wú)頭緒的情況下，筆者突然想起該交換機設備已經(jīng)連續工作了很多年，軟件系統的版本比較低，會(huì )不會(huì )是由于版本太低的原因導致了交換機系統活力不足呢?為了驗證自己的猜測是否正確。

筆者立即以系統管理員身份登錄進(jìn)入交換機后臺管理界面，在該界面的命令行狀態(tài)下執行了displaycpu命令，發(fā)現交換機系統的CPU占用率一直在95%以上，這難怪連接到該交換機中的工作站不能上網(wǎng)了;

之后，筆者又在命令行狀態(tài)下執行了displayversion命令，從其后的結果界面中，筆者發(fā)現交換機系統的VRP平臺軟件版本果然比較低，馬上到對應交換機設備的官方網(wǎng)站中下載最新版本的平臺軟件，并開(kāi)始對交換機系統軟件進(jìn)行升級。

由于單位使用的交換機支持遠程管理功能，為此筆者采用了最為常見(jiàn)的FTP方式進(jìn)行升級的;在正式升級之前，筆者先查看了一下目標交換機Flash存儲器的剩余空間大小，要是剩余空間不多的話(huà)，需要刪除一些過(guò)時(shí)的文件，不然的話(huà)最新的交換機升級包程序將無(wú)法上傳到交換機系統中。

在確認Flash存儲器剩余空間足夠后，筆者將自己使用的普通工作站當成是FTP服務(wù)器，將交換機設備看成是客戶(hù)端系統，如此一來(lái)筆者不需要對交換機設備進(jìn)行任何配置，就能很輕易地架設好一臺FTP服務(wù)器了，此時(shí)筆者就能從交換機上登錄到FTP服務(wù)器上，利用FTP命令將事先下載保存到本地普通工作站上的最新VRP平臺軟件下載保存到交換機的Flash存儲器中了。

為了防止平臺軟件升級失敗，筆者又對原始的交換機配置文件備份了一下，畢竟交換機設備從低版本升級到高版本時(shí)，由于命令行上的差異，可能會(huì )造成部分交換機配置信息發(fā)生丟失，這個(gè)時(shí)候對舊配置文件進(jìn)行備份是相當有必要的。

之后，筆者使用boot命令，指定交換機系統在下次啟動(dòng)時(shí)自動(dòng)調用最新的平臺軟件，當交換機系統重新啟動(dòng)成功并更新好了VRP平臺軟件后，又對照以前的配置將交換機系統重新配置了一下，交換機的工作狀態(tài)立即恢復正常了。

而且很長(cháng)一段時(shí)間后，筆者發(fā)現該系統的CPU占用率一直為15%左右，這說(shuō)明交換機平臺軟件升級到最新版本后，確實(shí)可以讓交換機永葆活力。所以，當局域網(wǎng)交換機工作狀態(tài)一直不穩定時(shí)，我們應該及時(shí)檢查一下對應平臺軟件的版本高低，一旦發(fā)現交換機系統版本較低時(shí)，必須及時(shí)對其進(jìn)行升級，這樣能夠解決許多由交換機自身性能引起的隱性故障現象。

搜集可疑流量。一旦可疑流量被監測到，我們需要捕獲這些數據包來(lái)判斷這個(gè)不正常的流量到底是不是發(fā)生了新的蠕蟲(chóng)攻擊。正如上面所述，Netflow并不對數據包做深層分析。

我們需要網(wǎng)絡(luò )分析工具或入侵檢測設備來(lái)做進(jìn)一步的判斷。但是，如何能方便快捷地捕獲可疑流量并導向網(wǎng)絡(luò )分析工具呢?速度是很重要的，否則你就錯過(guò)了把蠕蟲(chóng)扼殺在早期的機會(huì )。除了要很快定位可疑設備的物理位置，還要有手段能盡快搜集到證據。

我們不可能在每個(gè)接入層交換機旁放置網(wǎng)絡(luò )分析或入侵檢測設備，也不可能在發(fā)現可疑流量時(shí)扛著(zhù)分析儀跑去配線(xiàn)間。有了上面的分析，下面我們就看如何利用Catalyst的功能來(lái)滿(mǎn)足這些需要!

檢測可疑流量Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能，采集流經(jīng)網(wǎng)絡(luò )的流量信息。這些信息采集和統計都通過(guò)硬件ASCI完成，所以對系統性能沒(méi)有影響。 Catalyst 4500 Sup V-10GE缺省就帶了Netflow卡，所以不需增加投資。

追蹤可疑源頭，Catalyst 集成的安全特性提供了基于身份的網(wǎng)絡(luò )服務(wù)(IBNS)，以及DHCP監聽(tīng)、源IP防護、和動(dòng)態(tài)ARP檢測等功能。這些功能提供了用戶(hù)的IP地址和MAC地址、物理端口的綁定信息，同時(shí)防范IP地址假冒。這點(diǎn)非常重要，如果不能防范IP地址假冒，那么Netflow搜集到的信息就沒(méi)有意義了。

用戶(hù)一旦登錄網(wǎng)絡(luò )，就可獲得這些信息。結合ACS,還可以定位用戶(hù)登錄的用戶(hù)名。在Netflow 收集器(Netflow Collector)上編寫(xiě)一個(gè)腳本文件，當發(fā)現可疑流量時(shí)，就能以email的方式。

把相關(guān)信息發(fā)送給網(wǎng)絡(luò )管理員。在通知email里，報告了有不正常網(wǎng)絡(luò )活動(dòng)的用戶(hù)CITG, 所屬組是CITG-1(這是802.1x登錄所用的)。接入層交換機的IP地址是10.252.240.10,物理接口是FastEthernet4/1.

另外還有客戶(hù)端IP地址和MAC地址 ,以及其在5分鐘內(這個(gè)時(shí)間是腳本所定義的)發(fā)出的flow和packet數量。掌握了這些信息后，網(wǎng)管員就可以馬上采取以下行動(dòng)了：通過(guò)遠程SPAN捕獲可疑流量。Catalyst接入層交換機系統上所支持的遠程端口鏡像功能可以將流量捕獲鏡像到一個(gè)遠程交換機上。

例如將接入層交換機系統上某個(gè)端口或VLAN的流量穿過(guò)中繼鏡像到分布層或核心層的某個(gè)端口，只需非常簡(jiǎn)單的幾條命令即可完成。流量被捕獲到網(wǎng)絡(luò )分析或入侵檢測設備(例如Cat6500集成的網(wǎng)絡(luò )分析模塊NAM或IDS模塊)，作進(jìn)一步的分析和做出相應的動(dòng)作。