所以為了能夠優(yōu)化交換機的管理以及簡化后續(xù)的排錯，必須要在交換機初始安裝的時候?qū)ο嚓P的參數(shù)進行配置。根據(jù)筆者的經(jīng)驗，具體的來說，主要涉及到以下四大參數(shù)。

一、設置系統(tǒng)名字

為了能夠有效的管理交換機，最好能夠為交換機配置一個有意義的系統(tǒng)名字這是一個最基本的要求。如果不進行配置，當使用telnet或者ssh協(xié)議登陸到交換機進行會話的時候， CLI界面所顯示的是交換機等網(wǎng)絡設備的默認名稱。這個默認名稱不便于進行區(qū)分。特別是在比較復雜的企業(yè)網(wǎng)絡中，為各臺交換機等網(wǎng)絡設備配置有意義的并且是唯一的系統(tǒng)名字是一項非常有用的工作。

如現(xiàn)在有一家辦公大樓，其在各個樓層都配有一臺交換機。此時就可以根據(jù)樓層的名字給交換機命名，如SWF4。其中SW表示這個設備是交換機，而F4 則表示其放置在第四樓。看到這個名字之后，管理員就可以一目了然的知道這臺交換機的位置、用途等等。如果有必要的話，筆者認為，可以將交換機的位置信息、用途等等都加入到名字中去。當然為了名字過于長，可以采用簡寫或者代碼的方式進行記錄。這個名字的目的只有一個，就是當管理員看到這個名字的時候，就能夠知道這個交換機所處的位置以及作用。如果能夠達到這個目的，那么命名規(guī)則就是成功的。

在思科系列的交換機中，可以使用hostname命令或者set system name來對系統(tǒng)進行命名。兩者的區(qū)別主要在于所使用的系統(tǒng)不同。前者主要在IOS系統(tǒng)中使用，而后者的話主要在CatOS中采用。

二、設置時鐘和NTP

在企業(yè)網(wǎng)絡排錯和監(jiān)控的過程中，維護準確的時鐘設置并且顯示正確的時間和日期是非常重要的，而且也是最基本的要求。當某個故障或者攻擊發(fā)生的時候，正確的時間信息往往可以幫助網(wǎng)絡管理員減少排錯的時間。如當網(wǎng)絡出現(xiàn)擁塞的時候，可以根據(jù)日志中的時間信息判斷網(wǎng)絡當時是否在進行一些維護的工作;或者查看防火墻看看那時候是否存在攻擊的時間。故在交換機初始化的時候，需要設置正確的時鐘。一般情況下，一個基本的要求就是這個交換機的時間要跟其他網(wǎng)絡設備的時間同步。

要實現(xiàn)企業(yè)中所有網(wǎng)絡設備時間的同步，主要通過NTP來實現(xiàn)。簡單的說，NTP技術就是讓交換機以網(wǎng)絡中的某臺設備的時間為基準來進行同步。當各個網(wǎng)絡設備都以一臺設備的時間作為同步對象時，其各個設備的時間也就實現(xiàn)了同步。在配置這個參數(shù)時，筆者認為主要注意以下幾個方面的問題。

一是意外事件發(fā)生的時候，為了能夠位置對企業(yè)網(wǎng)絡的控制和網(wǎng)絡的穩(wěn)定運行，知道事件發(fā)生的確切時間是至關重要的。如SNMP TRAP等網(wǎng)絡維護協(xié)議，都需要用到它。故作為網(wǎng)絡管理員，一定要認識到這個時間的重要性。其交換機等網(wǎng)絡設備的時間不在于是否準確，關鍵在于各個網(wǎng)絡設備的時間是否同步。因為往往需要在不同設備的日志之間進行關聯(lián)查詢。這個時間就好像是數(shù)據(jù)庫表與表之間的關鍵字，在其中起著牽線搭橋的作用。換句話說，即使時間不準，但是只要網(wǎng)絡內(nèi)的設備時間同步也是可以的。相反，如果網(wǎng)絡內(nèi)的設備時間不同步，即使某些網(wǎng)絡設備的時間是準確的，那么也會給網(wǎng)絡維護帶來很大的困繞。為此筆者建議最好使用NTP技術來實現(xiàn)時鐘的同步。在思科網(wǎng)絡設備中，可以通過使用ntp server 命令制定交換機與某個NTP服務器進行時鐘同步。

二是需要注意夏時制的影響。如果企業(yè)用戶所在的位置每天都需要調(diào)整時間(即國內(nèi)以前的夏時制，一年四季的時間不同)，訥么就需要通過配置夏時制來自東更新系統(tǒng)時鐘。思科系列的交換機基本上都支持這個夏時制的功能。不過現(xiàn)在國內(nèi)基本上已經(jīng)取消了，故不需要特別的在意。只是如果需要跟國外的網(wǎng)絡設備進行同步時，就需要注意對方是否有夏時制等類似的規(guī)定。在思科交換機中，如果要啟用這個夏時制功能的話，可以通過命令clock summer-time zone date命令來實現(xiàn)。

三、設置遠程管理的方式

在交換機后續(xù)維護的過程中，很少會跑到交換機的面前采用控制端的方式進行維護。大部分情況下，都是采用telnet或者ssh協(xié)議執(zhí)行遠程維護。在思科系列的交換機中都支持這兩種協(xié)議的遠程管理訪問。在網(wǎng)絡管理員決定采用遠程管理訪問時，需要注意如下的內(nèi)容。

一是要注意Telent與SSH協(xié)議的差異。簡單的說，他們在遠程管理上功能與操作都是非常類似的，最重要的一個區(qū)別就是在安全性上的差異。簡單的說，Telnet協(xié)議其在傳輸過程中用戶名、密碼等重要的信息都是不加密的，為此容易被截取，從而導致攻擊。而SSH協(xié)議則不同，其在傳輸過程中用戶名、密碼等敏感信息都是加密處理過的。所以相對來說，其在遠程管理中相對安全許多。筆者建議，網(wǎng)絡管理員最好采用SSH協(xié)議來遠程管理交換機等網(wǎng)絡設備，而不是采用安全機制比較薄弱的Telnet協(xié)議。

二是需要知道SSH協(xié)議的脆弱性。雖然說SSH協(xié)議比Telnet協(xié)議要安全許多，但是其自身仍然有不少脆弱的地方。如可能導致Dos攻擊或者緩沖區(qū)溢出;如也會發(fā)送無效的字段或者無效的IP幀;如攻擊者可以攔截大量的數(shù)據(jù)幀進行密鑰分析等等。沒有絕對安全的協(xié)議。總之網(wǎng)絡管理員需要知道SSH有這些安全隱患，然后采用相應的措施來預防。如可以定時或者不定時的更改SSH的登陸密碼或者將其密碼設置的復雜一些，讓“通過攔截數(shù)據(jù)來進行密鑰分析”的攻擊手段無效等等。

三是在交換機上禁用掉Telnet協(xié)議。通常在思科系列的交換機中，其默認情況下Telnet協(xié)議是不啟用的，只能夠通過SSH協(xié)議來遠程管理交換機。如果網(wǎng)絡管理員采用的是其他品牌的交換機，那么就需要確認一下Telnet協(xié)議是否啟用。如果啟用的話，那么筆者建議是關掉它。然后只啟用ssh協(xié)議，以確保企業(yè)網(wǎng)絡的安全。

四、配置SNMP工具

無論是大型網(wǎng)絡還是小型網(wǎng)絡，SNMP都是一個非常實用的工具。在小型網(wǎng)絡中，SNMP比較適合進行網(wǎng)絡監(jiān)控;而在大型網(wǎng)絡中，SNMP也是一個有效的網(wǎng)絡配置工具。如可以通過SNMP工具，進行配置文件的管理與配置;如可以利用SNMP協(xié)議進行接口的統(tǒng)計和性能度量;如可以對接口鏈路的狀態(tài)進行追蹤等等。

對于使用思科系列的網(wǎng)絡設備的企業(yè)來說，需要注意其可以使用的SNMP協(xié)議有三個版本，分別為版本1、版本2C、與版本3。不過目前采用的大部分思科網(wǎng)絡設備其SNMP協(xié)議都是第二個版本，即snmpv2c。這里需要特別強調(diào)的是，如果網(wǎng)絡中還有其他網(wǎng)絡設備采用比較低級的SNMP協(xié)議，那么有必要時需要進行降低處理。即為了兼容性的考慮，采取比較低的SNMP協(xié)議版本，以實現(xiàn)統(tǒng)一的管理。

SNMP是一個比較復雜、功能比較強大的管理工具。在這里不能夠詳細的闡述。筆者需要強調(diào)的是，為了后續(xù)維護的方便，在交換機初始化的時候一定要配置這個工具，讓其能夠幫助管理員來維護企業(yè)復雜多變的網(wǎng)絡環(huán)境。

【編輯推薦】

1. 企業(yè)網(wǎng)絡安全三要素：評估、轉(zhuǎn)換與管理
2. 社交網(wǎng)絡安全指南：己所不欲勿示于人
3. 詳細分析黑客盜取QQ密碼
4. Intel：CIO們在安全問題上的眼界應該更廣
5. 如何保證物理安全？