交換機(jī)不需要經(jīng)過(guò)初始配置，直接接入到網(wǎng)絡(luò)中就可以正常工作，這是現(xiàn)在交換機(jī)的發(fā)展趨勢(shì)。但這是一種比較不專業(yè)的做法。因?yàn)槿绻麤](méi)有做好相關(guān)的初始化配置，那么對(duì)于后續(xù)的排錯(cuò)與維護(hù)是非常不利的。如不對(duì)交換機(jī)的名字進(jìn)行合理的規(guī)劃，那么以后就很難將交換機(jī)的名字與交換機(jī)的位置、功能對(duì)應(yīng)起來(lái)，從而給維護(hù)帶來(lái)一定的難度。

所以為了能夠優(yōu)化交換機(jī)的管理以及簡(jiǎn)化后續(xù)的排錯(cuò)，必須要在交換機(jī)初始安裝的時(shí)候?qū)ο嚓P(guān)的參數(shù)進(jìn)行配置。具體的來(lái)說(shuō)，主要涉及到以下四大參數(shù)。

一、交換機(jī)設(shè)置系統(tǒng)名字

為了能夠有效的管理交換機(jī)，最好能夠?yàn)榻粨Q機(jī)設(shè)置一個(gè)有意義的系統(tǒng)名字這是一個(gè)最基本的要求。如果不進(jìn)行配置，當(dāng)使用telnet或者ssh協(xié)議登陸到交換機(jī)進(jìn)行會(huì)話的時(shí)候，CLI界面所顯示的是交換機(jī)等網(wǎng)絡(luò)設(shè)備的默認(rèn)名稱。這個(gè)默認(rèn)名稱不便于進(jìn)行區(qū)分。特別是在比較復(fù)雜的企業(yè)網(wǎng)絡(luò)中，為各臺(tái)交換機(jī)等網(wǎng)絡(luò)設(shè)備配置有意義的并且是唯一的系統(tǒng)名字是一項(xiàng)非常有用的工作。

如現(xiàn)在有一家辦公大樓，其在各個(gè)樓層都配有一臺(tái)交換機(jī)。此時(shí)就可以根據(jù)樓層的名字給交換機(jī)命名，如SWF4。其中SW表示這個(gè)設(shè)備是交換機(jī)，而F4則表示其放置在第四樓?？吹竭@個(gè)名字之后，管理員就可以一目了然的知道這臺(tái)交換機(jī)的位置、用途等等。如果有必要的話，筆者認(rèn)為，可以將交換機(jī)的位置信息、用途等等都加入到名字中去。當(dāng)然為了名字過(guò)于長(zhǎng)，可以采用簡(jiǎn)寫或者代碼的方式進(jìn)行記錄。這個(gè)名字的目的只有一個(gè)，就是當(dāng)管理員看到這個(gè)名字的時(shí)候，就能夠知道這個(gè)交換機(jī)所處的位置以及作用。如果能夠達(dá)到這個(gè)目的，那么命名規(guī)則就是成功的。

在思科系列的交換機(jī)中，可以使用hostname命令或者setsystemname來(lái)對(duì)系統(tǒng)進(jìn)行命名。兩者的區(qū)別主要在于所使用的系統(tǒng)不同。前者主要在IOS系統(tǒng)中使用，而后者的話主要在CatOS中采用。

二、交換機(jī)設(shè)置時(shí)鐘和NTP

在企業(yè)網(wǎng)絡(luò)排錯(cuò)和監(jiān)控的過(guò)程中，維護(hù)準(zhǔn)確的時(shí)鐘設(shè)置并且顯示正確的時(shí)間和日期是非常重要的，而且也是最基本的要求。當(dāng)某個(gè)故障或者攻擊發(fā)生的時(shí)候，正確的時(shí)間信息往往可以幫助網(wǎng)絡(luò)管理員減少排錯(cuò)的時(shí)間。如當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞的時(shí)候，可以根據(jù)日志中的時(shí)間信息判斷網(wǎng)絡(luò)當(dāng)時(shí)是否在進(jìn)行一些維護(hù)的工作;或者查看防火墻看看那時(shí)候是否存在攻擊的時(shí)間。故在交換機(jī)初始化的時(shí)候，需要設(shè)置正確的時(shí)鐘。一般情況下，一個(gè)基本的要求就是這個(gè)交換機(jī)的時(shí)間要跟其他網(wǎng)絡(luò)設(shè)備的時(shí)間同步。

要實(shí)現(xiàn)企業(yè)中所有網(wǎng)絡(luò)設(shè)備時(shí)間的同步，主要通過(guò)NTP來(lái)實(shí)現(xiàn)。簡(jiǎn)單的說(shuō)，NTP技術(shù)就是讓交換機(jī)以網(wǎng)絡(luò)中的某臺(tái)設(shè)備的時(shí)間為基準(zhǔn)來(lái)進(jìn)行同步。當(dāng)各個(gè)網(wǎng)絡(luò)設(shè)備都以一臺(tái)設(shè)備的時(shí)間作為同步對(duì)象時(shí)，其各個(gè)設(shè)備的時(shí)間也就實(shí)現(xiàn)了同步。在配置這個(gè)參數(shù)時(shí)，筆者認(rèn)為主要注意以下幾個(gè)方面的問(wèn)題。

一是意外事件發(fā)生的時(shí)候，為了能夠位置對(duì)企業(yè)網(wǎng)絡(luò)的控制和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，知道事件發(fā)生的確切時(shí)間是至關(guān)重要的。如SNMPTRAP等網(wǎng)絡(luò)維護(hù)協(xié)議，都需要用到它。故作為網(wǎng)絡(luò)管理員，一定要認(rèn)識(shí)到這個(gè)時(shí)間的重要性。其交換機(jī)等網(wǎng)絡(luò)設(shè)備的時(shí)間不在于是否準(zhǔn)確，關(guān)鍵在于各個(gè)網(wǎng)絡(luò)設(shè)備的時(shí)間是否同步。因?yàn)橥枰诓煌O(shè)備的日志之間進(jìn)行關(guān)聯(lián)查詢。這個(gè)時(shí)間就好像是數(shù)據(jù)庫(kù)表與表之間的關(guān)鍵字，在其中起著牽線搭橋的作用。換句話說(shuō)，即使時(shí)間不準(zhǔn)，但是只要網(wǎng)絡(luò)內(nèi)的設(shè)備時(shí)間同步也是可以的。相反，如果網(wǎng)絡(luò)內(nèi)的設(shè)備時(shí)間不同步，即使某些網(wǎng)絡(luò)設(shè)備的時(shí)間是準(zhǔn)確的，那么也會(huì)給網(wǎng)絡(luò)維護(hù)帶來(lái)很大的困繞。為此筆者建議最好使用NTP技術(shù)來(lái)實(shí)現(xiàn)時(shí)鐘的同步。在思科網(wǎng)絡(luò)設(shè)備中，可以通過(guò)使用ntpserver命令制定交換機(jī)與某個(gè)NTP服務(wù)器進(jìn)行時(shí)鐘同步。

二是需要注意夏時(shí)制的影響。如果企業(yè)用戶所在的位置每天都需要調(diào)整時(shí)間(即國(guó)內(nèi)以前的夏時(shí)制，一年四季的時(shí)間不同)，訥么就需要通過(guò)配置夏時(shí)制來(lái)自東更新系統(tǒng)時(shí)鐘。思科系列的交換機(jī)基本上都支持這個(gè)夏時(shí)制的功能。不過(guò)現(xiàn)在國(guó)內(nèi)基本上已經(jīng)取消了，故不需要特別的在意。只是如果需要跟國(guó)外的網(wǎng)絡(luò)設(shè)備進(jìn)行同步時(shí)，就需要注意對(duì)方是否有夏時(shí)制等類似的規(guī)定。在思科交換機(jī)中，如果要啟用這個(gè)夏時(shí)制功能的話，可以通過(guò)命令clocksummer-timezonedate命令來(lái)實(shí)現(xiàn)。

三、交換機(jī)設(shè)置遠(yuǎn)程管理的方式

在交換機(jī)后續(xù)維護(hù)的過(guò)程中，很少會(huì)跑到交換機(jī)的面前采用控制端的方式進(jìn)行維護(hù)。大部分情況下，都是采用telnet或者ssh協(xié)議執(zhí)行遠(yuǎn)程維護(hù)。在思科系列的交換機(jī)中都支持這兩種協(xié)議的遠(yuǎn)程管理訪問(wèn)。在網(wǎng)絡(luò)管理員決定采用遠(yuǎn)程管理訪問(wèn)時(shí)，需要注意如下的內(nèi)容。

一是要注意Telent與SSH協(xié)議的差異。

簡(jiǎn)單的說(shuō)，他們?cè)谶h(yuǎn)程管理上功能與操作都是非常類似的，最重要的一個(gè)區(qū)別就是在安全性上的差異。簡(jiǎn)單的說(shuō)，Telnet協(xié)議其在傳輸過(guò)程中用戶名、密碼等重要的信息都是不加密的，為此容易被截取，從而導(dǎo)致攻擊。而SSH協(xié)議則不同，其在傳輸過(guò)程中用戶名、密碼等敏感信息都是加密處理過(guò)的。所以相對(duì)來(lái)說(shuō)，其在遠(yuǎn)程管理中相對(duì)安全許多。筆者建議，網(wǎng)絡(luò)管理員最好采用SSH協(xié)議來(lái)遠(yuǎn)程管理交換機(jī)等網(wǎng)絡(luò)設(shè)備，而不是采用安全機(jī)制比較薄弱的Telnet協(xié)議。

二是需要知道SSH協(xié)議的脆弱性。

雖然說(shuō)SSH協(xié)議比Telnet協(xié)議要安全許多，但是其自身仍然有不少脆弱的地方。如可能導(dǎo)致Dos攻擊或者緩沖區(qū)溢出;如也會(huì)發(fā)送無(wú)效的字段或者無(wú)效的IP幀;如攻擊者可以攔截大量的數(shù)據(jù)幀進(jìn)行密鑰分析等等。沒(méi)有絕對(duì)安全的協(xié)議?？傊W(wǎng)絡(luò)管理員需要知道SSH有這些安全隱患，然后采用相應(yīng)的措施來(lái)預(yù)防。如可以定時(shí)或者不定時(shí)的更改SSH的登陸密碼或者將其密碼設(shè)置的復(fù)雜一些，讓“通過(guò)攔截?cái)?shù)據(jù)來(lái)進(jìn)行密鑰分析”的攻擊手段無(wú)效等等。

三是在交換機(jī)上禁用掉Telnet協(xié)議。

通常在思科系列的交換機(jī)中，其默認(rèn)情況下Telnet協(xié)議是不啟用的，只能夠通過(guò)SSH協(xié)議來(lái)遠(yuǎn)程管理交換機(jī)。如果網(wǎng)絡(luò)管理員采用的是其他品牌的交換機(jī)，那么就需要確認(rèn)一下Telnet協(xié)議是否啟用。如果啟用的話，那么筆者建議是關(guān)掉它。然后只啟用ssh協(xié)議，以確保企業(yè)網(wǎng)絡(luò)的安全。

四、交換機(jī)設(shè)置SNMP工具

無(wú)論是大型網(wǎng)絡(luò)還是小型網(wǎng)絡(luò)，SNMP都是一個(gè)非常實(shí)用的工具。在小型網(wǎng)絡(luò)中，SNMP比較適合進(jìn)行網(wǎng)絡(luò)監(jiān)控;而在大型網(wǎng)絡(luò)中，SNMP也是一個(gè)有效的網(wǎng)絡(luò)配置工具。如可以通過(guò)SNMP工具，進(jìn)行配置文件的管理與配置;如可以利用SNMP協(xié)議進(jìn)行接口的統(tǒng)計(jì)和性能度量;如可以對(duì)接口鏈路的狀態(tài)進(jìn)行追蹤等等。

對(duì)于使用思科系列的網(wǎng)絡(luò)設(shè)備的企業(yè)來(lái)說(shuō)，需要注意其可以使用的SNMP協(xié)議有三個(gè)版本，分別為版本1、版本2C、與版本3。不過(guò)目前采用的大部分思科網(wǎng)絡(luò)設(shè)備其SNMP協(xié)議都是第二個(gè)版本，即snmpv2c。這里需要特別強(qiáng)調(diào)的是，如果網(wǎng)絡(luò)中還有其他網(wǎng)絡(luò)設(shè)備采用比較低級(jí)的SNMP協(xié)議，那么有必要時(shí)需要進(jìn)行降低處理。即為了兼容性的考慮，采取比較低的SNMP協(xié)議版本，以實(shí)現(xiàn)統(tǒng)一的管理。

在交換機(jī)初始化的時(shí)候一定要配置SNMP工具，這是為了后續(xù)維護(hù)的方便，讓其能夠幫助管理員來(lái)維護(hù)企業(yè)復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，因?yàn)镾NMP是一個(gè)比較復(fù)雜、功能比較強(qiáng)大的管理工具。