為了最直觀地了解企業(yè)網(wǎng)絡(luò)在過去幾年中的變化，運(yùn)維人員需要做的就是打開他們的網(wǎng)絡(luò)流量監(jiān)控工具，查看整個局域網(wǎng)、廣域網(wǎng)和網(wǎng)絡(luò)邊緣的數(shù)據(jù)流的急劇變化。雖然這些數(shù)據(jù)流的轉(zhuǎn)變有很大一部分是由于在過去18個月里遠(yuǎn)程辦公而發(fā)生的，但其他的變化是通過計劃中的云和邊緣計算遷移而產(chǎn)生的。為了適應(yīng)這些變化，提高了網(wǎng)絡(luò)配置審計的重要性。

在許多情況下，運(yùn)維人員正確地調(diào)整了交換、路由和防火墻的配置，以符合用戶和設(shè)備現(xiàn)在的通信方式。但是，在進(jìn)行這些配置修改的同時，舊的和過時的命令的刪除可能會持續(xù)很長時間。盡管這些配置可能處于休眠狀態(tài)，而且從性能/安全的角度來看，許多配置是良性的，但它們會造成混亂，往往會導(dǎo)致下一步的錯誤行動。由于這個原因，現(xiàn)在比以往任何時候都更需要進(jìn)行徹底的網(wǎng)絡(luò)配置審計，以便刪除過時的配置，確保網(wǎng)絡(luò)能夠被所有網(wǎng)絡(luò)操作和管理人員輕松理解和信任。讓我們看看一些常見的過時配置的例子，這些配置可以讓您提前開始網(wǎng)絡(luò)審計過程。

[[421306]]

交換機(jī)

已經(jīng)合并或不再需要的虛擬局域網(wǎng)(VLAN)在交換機(jī)配置中停留的時間往往超過必要的時間。這在那些由于將應(yīng)用程序、數(shù)據(jù)和數(shù)字服務(wù)遷移到云計算平臺而縮小規(guī)模的數(shù)據(jù)中心尤其如此。手動指定哪些VLAN可以穿越連接的中繼上行鏈路也應(yīng)該被審查，并在必要時進(jìn)行修剪。

路由器

雖然大多數(shù)網(wǎng)絡(luò)使用動態(tài)路由協(xié)議來自動維護(hù)整個網(wǎng)絡(luò)的最新最佳路徑，但在一個或多個路由器/第三層交換機(jī)上配置靜態(tài)路由的情況并不少見。隨著時間的推移，這些網(wǎng)絡(luò)目的地發(fā)生了變化或移動，而靜態(tài)路由卻被遺忘。這可能導(dǎo)致一種情況，即靜態(tài)路由中列出的IP子網(wǎng)在企業(yè)局域網(wǎng)或廣域網(wǎng)的其他地方被重新使用。如果發(fā)生這種情況，可能會導(dǎo)致網(wǎng)絡(luò)的某些部分無法訪問新形成的子網(wǎng)。同樣，訪問列表和策略通常是在路由器上配置的，以限制誰可以到達(dá)特定子網(wǎng)的設(shè)備。即使網(wǎng)絡(luò)或交換機(jī)虛擬接口(SVI)被刪除，訪問列表的配置可能仍然存在。這可能會使路由器配置變得混亂，有時會使管理它們的管理員感到困惑。

防火墻

總的來說，與網(wǎng)絡(luò)交換機(jī)和路由器相比，防火墻的配置受到更密切的監(jiān)控和維護(hù)。然而，一些管理員選擇禁用防火墻規(guī)則和接口，而不是直接刪除它們。雖然這是一種可以理解的做法，因為快速重新啟用配置的能力只需要點(diǎn)擊幾下就可以了，但被禁用的配置有可能停留數(shù)周、數(shù)月甚至數(shù)年。這可能導(dǎo)致管理員無意中啟用了一個被禁用的命令，導(dǎo)致不必要的威脅暴露。

今天企業(yè)網(wǎng)絡(luò)的使用方式與幾年前相比發(fā)生了巨大的變化，網(wǎng)絡(luò)設(shè)備上很可能有許多不再需要的配置。對于那些希望進(jìn)行網(wǎng)絡(luò)配置審計的人來說，關(guān)鍵是要有一個具體的執(zhí)行計劃，以便有條不紊地執(zhí)行。此外，必須創(chuàng)建適當(dāng)?shù)膶徲嫼妥兏刂莆募?，目的是記錄哪些配置被指定刪除以及為什么。這將創(chuàng)建一個審計跟蹤，在使用中的配置命令被意外刪除時可以引用該跟蹤。