思科交換機初始化配置

　　在交換機初始化的時(shí)候一定要配置SNMP工具，這是為了后續維護的方便，讓其能夠幫助管理員來(lái)維護企業(yè)復雜多變的網(wǎng)絡(luò )環(huán)境，因為SNMP是一個(gè)比較復雜、功能比較強大的管理工具。具體的來(lái)說(shuō)，主要涉及到以下四大參數。

　　一、交換機設置系統名字

　　為了能夠有效的管理交換機，最好能夠為交換機設置一個(gè)有意義的系統名字這是一個(gè)最基本的要求。如果不進(jìn)行配置，當使用telnet或者ssh協(xié)議登陸到交換機進(jìn)行會(huì )話(huà)的時(shí)候，CLI界面所顯示的是交換機等網(wǎng)絡(luò )設備的默認名稱(chēng)。這個(gè)默認名稱(chēng)不便于進(jìn)行區分。特別是在比較復雜的企業(yè)網(wǎng)絡(luò )中，為各臺交換機等網(wǎng)絡(luò )設備配置有意義的并且是唯一的系統名字是一項非常有用的工作。

　　如現在有一家辦公大樓，其在各個(gè)樓層都配有一臺交換機。此時(shí)就可以根據樓層的名字給交換機命名，如SWF4。其中SW表示這個(gè)設備是交換機，而F4則表示其放置在第四樓�？吹竭@個(gè)名字之后，管理員就可以一目了然的知道這臺交換機的位置、用途等等。如果有必要的話(huà)，筆者認為，可以將交換機的位置信息、用途等等都加入到名字中去。當然為了名字過(guò)于長(cháng)，可以采用簡(jiǎn)寫(xiě)或者代碼的方式進(jìn)行記錄。這個(gè)名字的目的只有一個(gè)，就是當管理員看到這個(gè)名字的時(shí)候，就能夠知道這個(gè)交換機所處的位置以及作用。如果能夠達到這個(gè)目的，那么命名規則就是成功的。

　　在思科系列的交換機中，可以使用hostname命令或者setsystemname來(lái)對系統進(jìn)行命名。兩者的區別主要在于所使用的系統不同。前者主要在IOS系統中使用，而后者的話(huà)主要在CatOS中采用。

　　二、交換機設置時(shí)鐘和NTP

　　在企業(yè)網(wǎng)絡(luò )排錯和監控的過(guò)程中，維護準確的時(shí)鐘設置并且顯示正確的時(shí)間和日期是非常重要的，而且也是最基本的要求。當某個(gè)故障或者攻擊發(fā)生的時(shí)候，正確的時(shí)間信息往往可以幫助網(wǎng)絡(luò )管理員減少排錯的時(shí)間。如當網(wǎng)絡(luò )出現擁塞的時(shí)候，可以根據日志中的時(shí)間信息判斷網(wǎng)絡(luò )當時(shí)是否在進(jìn)行一些維護的工作;或者查看防火墻看看那時(shí)候是否存在攻擊的時(shí)間。故在交換機初始化的時(shí)候，需要設置正確的時(shí)鐘。一般情況下，一個(gè)基本的要求就是這個(gè)交換機的時(shí)間要跟其他網(wǎng)絡(luò )設備的時(shí)間同步。

　　要實(shí)現企業(yè)中所有網(wǎng)絡(luò )設備時(shí)間的同步，主要通過(guò)NTP來(lái)實(shí)現。簡(jiǎn)單的說(shuō)，NTP技術(shù)就是讓交換機以網(wǎng)絡(luò )中的某臺設備的時(shí)間為基準來(lái)進(jìn)行同步。當各個(gè)網(wǎng)絡(luò )設備都以一臺設備的時(shí)間作為同步對象時(shí)，其各個(gè)設備的時(shí)間也就實(shí)現了同步。在配置這個(gè)參數時(shí)，筆者認為主要注意以下幾個(gè)方面的問(wèn)題。

　　一是意外事件發(fā)生的時(shí)候，為了能夠位置對企業(yè)網(wǎng)絡(luò )的控制和網(wǎng)絡(luò )的穩定運行，知道事件發(fā)生的確切時(shí)間是至關(guān)重要的。如SNMPTRAP等網(wǎng)絡(luò )維護協(xié)議，都需要用到它。故作為網(wǎng)絡(luò )管理員，一定要認識到這個(gè)時(shí)間的重要性。其交換機等網(wǎng)絡(luò )設備的時(shí)間不在于是否準確，關(guān)鍵在于各個(gè)網(wǎng)絡(luò )設備的時(shí)間是否同步。因為往往需要在不同設備的日志之間進(jìn)行關(guān)聯(lián)查詢(xún)。這個(gè)時(shí)間就好像是數據庫表與表之間的關(guān)鍵字，在其中起著(zhù)牽線(xiàn)搭橋的作用。換句話(huà)說(shuō)，即使時(shí)間不準，但是只要網(wǎng)絡(luò )內的設備時(shí)間同步也是可以的。相反，如果網(wǎng)絡(luò )內的設備時(shí)間不同步，即使某些網(wǎng)絡(luò )設備的時(shí)間是準確的，那么也會(huì )給網(wǎng)絡(luò )維護帶來(lái)很大的困繞。為此筆者建議最好使用NTP技術(shù)來(lái)實(shí)現時(shí)鐘的同步。在思科網(wǎng)絡(luò )設備中，可以通過(guò)使用ntpserver命令制定交換機與某個(gè)NTP服務(wù)器進(jìn)行時(shí)鐘同步。

　　二是需要注意夏時(shí)制的影響。如果企業(yè)用戶(hù)所在的位置每天都需要調整時(shí)間(即國內以前的夏時(shí)制，一年四季的時(shí)間不同)，訥么就需要通過(guò)配置夏時(shí)制來(lái)自東更新系統時(shí)鐘。思科系列的交換機基本上都支持這個(gè)夏時(shí)制的功能。不過(guò)現在國內基本上已經(jīng)取消了，故不需要特別的在意。只是如果需要跟國外的網(wǎng)絡(luò )設備進(jìn)行同步時(shí)，就需要注意對方是否有夏時(shí)制等類(lèi)似的規定。在思科交換機中，如果要啟用這個(gè)夏時(shí)制功能的話(huà)，可以通過(guò)命令clocksummer-timezonedate命令來(lái)實(shí)現。

　　三、交換機設置遠程管理的方式

　　在交換機后續維護的過(guò)程中，很少會(huì )跑到交換機的面前采用控制端的方式進(jìn)行維護。大部分情況下，都是采用telnet或者ssh協(xié)議執行遠程維護。在思科系列的交換機中都支持這兩種協(xié)議的遠程管理訪(fǎng)問(wèn)。在網(wǎng)絡(luò )管理員決定采用遠程管理訪(fǎng)問(wèn)時(shí)，需要注意如下的內容。

　　一是要注意Telent與SSH協(xié)議的差異。

　　簡(jiǎn)單的說(shuō)，他們在遠程管理上功能與操作都是非常類(lèi)似的，最重要的一個(gè)區別就是在安全性上的差異。簡(jiǎn)單的說(shuō)，Telnet協(xié)議其在傳輸過(guò)程中用戶(hù)名、密碼等重要的信息都是不加密的，為此容易被截取，從而導致攻擊。而SSH協(xié)議則不同，其在傳輸過(guò)程中用戶(hù)名、密碼等敏感信息都是加密處理過(guò)的。所以相對來(lái)說(shuō)，其在遠程管理中相對安全許多。筆者建議，網(wǎng)絡(luò )管理員最好采用SSH協(xié)議來(lái)遠程管理交換機等網(wǎng)絡(luò )設備，而不是采用安全機制比較薄弱的Telnet協(xié)議。

　　二是需要知道SSH協(xié)議的脆弱性。

　　雖然說(shuō)SSH協(xié)議比Telnet協(xié)議要安全許多，但是其自身仍然有不少脆弱的地方。如可能導致Dos攻擊或者緩沖區溢出;如也會(huì )發(fā)送無(wú)效的字段或者無(wú)效的IP幀;如攻擊者可以攔截大量的數據幀進(jìn)行密鑰分析等等。沒(méi)有絕對安全的協(xié)議�？傊�網(wǎng)絡(luò )管理員需要知道SSH有這些安全隱患，然后采用相應的措施來(lái)預防。如可以定時(shí)或者不定時(shí)的更改SSH的登陸密碼或者將其密碼設置的復雜一些，讓“通過(guò)攔截數據來(lái)進(jìn)行密鑰分析”的攻擊手段無(wú)效等等。

　　三是在交換機上禁用掉Telnet協(xié)議。

　　通常在思科系列的交換機中，其默認情況下Telnet協(xié)議是不啟用的，只能夠通過(guò)SSH協(xié)議來(lái)遠程管理交換機。如果網(wǎng)絡(luò )管理員采用的是其他品牌的交換機，那么就需要確認一下Telnet協(xié)議是否啟用。如果啟用的話(huà)，那么筆者建議是關(guān)掉它。然后只啟用ssh協(xié)議，以確保企業(yè)網(wǎng)絡(luò )的安全。

　　四、交換機設置SNMP工具

　　無(wú)論是大型網(wǎng)絡(luò )還是小型網(wǎng)絡(luò )，SNMP都是一個(gè)非常實(shí)用的工具。在小型網(wǎng)絡(luò )中，SNMP比較適合進(jìn)行網(wǎng)絡(luò )監控;而在大型網(wǎng)絡(luò )中，SNMP也是一個(gè)有效的網(wǎng)絡(luò )配置工具。如可以通過(guò)SNMP工具，進(jìn)行配置文件的管理與配置;如可以利用SNMP協(xié)議進(jìn)行接口的統計和性能度量;如可以對接口鏈路的狀態(tài)進(jìn)行追蹤等等。

　　對于使用思科系列的網(wǎng)絡(luò )設備的企業(yè)來(lái)說(shuō)，需要注意其可以使用的SNMP協(xié)議有三個(gè)版本，分別為版本1、版本2C、與版本3。不過(guò)目前采用的大部分思科網(wǎng)絡(luò )設備其SNMP協(xié)議都是第二個(gè)版本，即snmpv2c。這里需要特別強調的是，如果網(wǎng)絡(luò )中還有其他網(wǎng)絡(luò )設備采用比較低級的SNMP協(xié)議，那么有必要時(shí)需要進(jìn)行降低處理。即為了兼容性的考慮，采取比較低的SNMP協(xié)議版本，以實(shí)現統一的管理。

【思科交換機初始化配置】相關(guān)文章：

思科交換機STP配置08-30

思科交換機的基本配置09-10

思科交換機配置vlan09-02

cisco思科交換機配置篇08-01

思科交換機基本配置命令大全06-10

思科三層交換機配置08-21

思科交換機配置TRUNK的主要步驟11-29

思科交換機配置及電腦開(kāi)機自檢10-19

H3C交換機初始化配置08-12

思科三層交換機配置命令大全09-25