善于隔离,让交换机远离安全攻击
为了让交换机更加高效地工作,网络管理员常常需要对交换机进行合适的参数配置,其中最常做的工作就是为工作站分配IP地址。而且,为了方便配置交换机的工作参数,网络管理员往往会将交换机之类的网络设备和普通工作站全部接入到同一个工作子网中,并通过TELNET命令或者专业的网管程序来远程登录进交换机中,进行各种参数配置操作。即使普通工作站与交换机不在同一个子网中,我们也可以通过正确地设置IP地址与子网掩码,并且将工作站的默认网关地址指向交换机的VLAN接口地址,来让其他子网中的工作站远程访问交换机。
很明显,如果不对交换机采取安全保护措施,那么无论是本地子网还是外地子网中的工作站都能够远程登录进交换机后台管理界面,从而可以随意修改其中的设置参数,这样一来某个子网甚至整个局域网都有可能工作不正常,或者出现网络中断故障。要想让局域网稳定、安全地运行,保护好交换机的安全性就显得非常重要了。而让交换机远离安全攻击最有效的措施,就是想办法将交换机与普通工作站所在子网进行隔离开来,确保普通工作站无法通过远程登录方式来修改交换机的参数。
要将交换机与其他工作站隔离开来,操作其实很简单,我们只要在交换机中对VLAN进行正确设置,确保交换机设备处于一个独立的虚拟子网中;同时在为交换机设备分配IP地址时,我们尽量不要启用默认网关地址,那样一来局域网中任何一台普通的工作站也就无法通过远程登录方式进入到交换机中后台管理界面,来随意更改其中的工作参数了,这样的话我们就能轻松实现隔离交换机的目的了。
不过,一旦我们将交换机与其他虚拟子网隔离开来的话,网络管理人员也就无法远程登录到交换机中,对其进行合适的管理与维护了。考虑到网管员管理和维护交换机是经常要做的“功课”,如果每次都通过控制线缆直接登录到交换机进行操作,不但非常麻烦不说,而且也不利于提高网络管理的维护效率。有鉴于此,我们不妨采取如下办法来保证网络管理人员能够远程登录进交换机中,同时又能确保交换机不会受到其他的安全攻击:
第一种方法就是先通过物理线缆直接登录进交换机后台管理界面,并在其中将网管工作站所用的端口包含在与交换机相同的虚拟子网中,如此一来网络管理员所使用的工作站就相当于和交换机设备位于相同的子网中了,这样的话他们日后需要对交换机进行管理与维护时,直接通过TELNET命令或者专业的网管程序来进行操作了,而不必通过默认网关来完成数据信息的转发。
第二种方法就是先通过TELNET命令登录到作为特定子网默认网关的核心交换机后台界面,并在该界面的用户接口窗口中执行TELNET命令,来远程登录到待维护的目标交换机中,这样就能间接地进行远程维护交换机操作了。
正确布线,让交换机避免产生回路
当局域网中包含的连接节点数量比较多、而且结构相当复杂时,网络管理员手头常常准备有多余的网络连接线缆,要是我们不小心将多余的网络连接线缆同时插入到局域网中的网络设备中时,就容易导致交换机产生回路现象。例如,要是从甲交换机中引出一条线缆连接到A部门,再从A部门的交换机中引出线缆到B部门,同时从甲交换机中引出一条线缆直接连接到B部门,倘若这几条网络线缆同时工作正常的话,那么在局域网交换机中就不知不觉产生了回路现象,这样的话数据信息包就会重复地向网络中发送和校验数据信息,最终会导致整个局域网的数据传输速度下降。
一旦交换机产生了回路现象,那么在进行故障排除时就很难找到故障原因,从而会导致局域网运行效率严重下降。为了有效避免上述现象的发生,我们必须在布置网络线缆时养成良好的布线习惯:首先在网络线缆上做明标记,其次对多余的备用网络线缆应该进行专门记录,第三在交换机外壳的显眼位置处应该把连接到该交换机中的所有子交换机都注明,以防止多余的网络线缆不小心插入到子交换机中去,从而产生回路现象。
巧查端口,让交换机避免网络瓶颈
多数单位的局域网都是使用交换机来连接工作站的,交换机的工作端口很有可能成为网络传输的瓶颈。一旦发现局域网传输速度明显变慢的话,我们可以选择在网络访问高峰期时间,通过专业的网络管理程序来查看交换机的端口流量,当然我们也可以通过Netstat命令对交换机各个工作端口的数据流量信息进行统计,以便通过这种方法确认是否是交换机的工作端口就是局域网网络的传输瓶颈位置。
要是发现交换机的工作端口的确已经成为网络瓶颈的话,我们就必须及时想办法增加交换机的网络传输带宽,具体可以选用的方法有很多;例如,可以改变交换机的配置参数以增加网络带宽,也可以在交换机中划分多个虚拟子网,来分流交换机工作站端口的带宽流量,这些方法都能有效地提高网络传输速度。
正确升级,让交换机性能保持匹配
为了让交换机更好地工作,网络管理人员常常会定期对交换机进行升级、更新,以增强交换机的工作“活力”。然而许多人在升级完交换机后,却发现交换机工作状态突然不正常了,这是怎么回事呢?在排除升级操作错误的前提下,出现交换机工作不正常的情况时,多半是网络管理员没有同步升级与交换机直接相连的网络设备,导致了这些网络设备与交换机工作性能不匹配,最终引起了交换机工作状态不正常。
例如,有时我们将交换机更新、升级之后,交换机的工作端口速度可能被强行修改成100Mbps,此时与交换机直接相连的工作站网卡如果没有及时更换成100Mbps网卡的话,交换机控制面板中的对应端口信号灯就会不正常。遇到这种现象时,我们可以先登录到交换机的后台管理界面,从中找到交换机工作端口参数,看看对应端口的传输速度有没有被强行修改为100Mbps,如果已经被修改的话,那么我们只要重新将对应端口的通信速度修改成合适数值就可以解决问题了;倘若发现交换机工作参数没有被修改的话,那么我们唯一的办法就是对网卡设备进行升级,确保网卡能与交换机保持性能匹配。