在多年成功使用由已停產的和二手網絡設備所拼湊的網絡之后，Oral Roberts University (ORU) 的網絡團隊向大家分享了它在網絡政策管理的災難歷程。

例如，您是否聽說過警衛(wèi)在清理辦公室時發(fā)現交叉網線的事？他當時不是將網線扔掉或交回給IT部，而是將網線接到不同的端口上，從而在網絡中制造出一個回路而造成網絡癱瘓。在網絡中使用和運行一個簡單的生成樹協(xié)議可以使學校實現網絡策略管理功能，從而避免出現這樣的網絡癱瘓事件，ORU的系統(tǒng)架構師Tannie Olsen說。

但是由于它們的互操作問題，網絡工程師無法在保持網絡連通時實現這個生成樹協(xié)議，Olsen 說。相反，工程師每次都被迫斷開Catalyst 6509的模塊，以查看過度的流量來源于哪個位置，然后他們必須進一步隔離導致出現這些問題的特定校園網端口。

“這的確是一個最原始的故障修復方法，”他說。

如果ORU的人員之前能夠在邊緣端口上實現網絡政策管理，同時使用足夠智能的交換機確定流量回環(huán)并將發(fā)生這種惡意行為的端口關閉，那么他們就能夠避免這樣的混亂了。

ORU是位于Tulsa, Okla的一家小型私立大學，當去年它獲得用于全面整修學校遺留網絡的專項獎金時，集中和簡化政策管理成為團隊最迫切需要解決的問題，Olsen 說。

一個只有有限網絡政策管理的混亂的遺留網絡（legacy network）

由于經費有限，ORU的網絡團隊最近幾年一直都忙于管理十幾年來所積攢下來的由混亂且老舊和已停產的交換機所組成的網絡。

“嘗試使用這些設備進行通信是非常困難的，甚至是不太可能的，”Olsen 說。“要通過各種服務質量檢驗，要分類服務，要在網絡中實現生成樹——都是非常困難的。因此，實現統(tǒng)一的平臺對于我們來說是極其重要的。”

ORU網絡的“主力”是十年前Cisco Systems的Catalyst 5000和500交換機，Cisco去年已經停止生產了。但是在過去的七年里Olsen發(fā)現隨著更高級的Catalyst交換機進入市場， Catalyst 5000和500交換機就很難獲得服務和支持了。

ORU網絡也使用了少數第一代Catalyst 6590s和15年前的Catalyst 1900s，以及各種Dell、Nortel和3Com的設備。“我們開始建設網絡時是沒有經費的，如果我們能夠獲得一些獎金，那么我們會買一臺交換機的，”Olsen 說。“我們的大多數設備都是從eBay購買的[破產]拍賣品。”

網絡政策管理是最重要的需求

Olsen的團隊在更新和替換網絡時所考慮的都是常見的供應商：Cisco、Hewlett-Packard (HP) ProCurve和Brocade。但是他說Cisco對于ORU緊張的預算來說太昂貴了，而且他的員工又不滿意ProCurve和Brocade的網絡管理軟件。最終，ORU選擇了Enterasys Networks的產品。

“Enterasys 賣給我們的實際上是政策。不僅是基于政策的路由產品，還包括基于政策的交換產品——能夠在端口層面上處理流量，”Olsen 說。“通過Enterasys Networks，我們就能夠做到‘如果IP地址來自于任意的學生端口，那么我們就將它的流量丟棄。’它是不會經過交換機端口的。”

根據Enterasys的Network Management Suite (NMS) 軟件的產品管理主管Eric Stinson的說法，有一些網絡政策管理軟件能夠在路由器上進行這些判斷，允許不需要的流量進入分布或核心層。

“如果[政策]控制在路由器上完成，那么它就不會在網絡邊緣得到控制，”Stinson 說。“一個路由器接口能夠支持50 個交換機，而用戶只有到達路由器時才會受到這些政策控制。所以任何連接到邊緣交換機的用戶都會受到這個政策的控制。”

這種端口級的關閉是NMS的Automated Security Manager (ASM) 的一部分，它是平臺的 Policy Manager功能的補充，Stinson說。通過入侵檢測系統(tǒng)（IDS）對流氓設備或可疑網絡活動發(fā)出的警告，ASM能夠禁用特定的用戶或端口——對管理員發(fā)出警告，由管理員完成；或者當管理員在設置時間內未響應警告時自動完成。

這個網絡政策管理功能意味著Olsen和他的團隊最終能夠處理他們的一些最大的問題：性能問題、故障修復延遲和缺少對惡意設備或錯誤配置的檢測。ORU的 3,700 個學生一直給網絡團隊帶來配置和惡意設備問題。

“如果我們給每個宿舍提供的兩個端口不夠用，[學生]可以使用他們自己的分離器和連接他們自己的無線集線器，從而獲得他們所需要的更多端口，”Olsen說。“但有時他們會連接一個能發(fā)送DHCP請求到我們網絡的設備。我們很快就會開始接到學生的求助電話，[他們]無法連接網絡并[詢問]哪里出現了問題，而我們必須[手動跟蹤導致問題發(fā)生的根源]。”