|
三、設置遠程管理的方式
在交換機后續(xù)維護的過程中,很少會跑到交換機的面前采用控制端的方式進行維護。大部分情況下,都是采用telnet或者ssh協(xié)議執(zhí)行遠程維護。在思科系列的交換機中都支持這兩種協(xié)議的遠程管理訪問。在網(wǎng)絡管理員決定采用遠程管理訪問時,需要注意如下的內(nèi)容。
一是要注意Telent與SSH協(xié)議的差異。簡單的說,他們在遠程管理上功能與操作都是非常類似的,最重要的一個區(qū)別就是在安全性上的差異。簡單的說,Telnet協(xié)議其在傳輸過程中用戶名、密碼等重要的信息都是不加密的,為此容易被截取,從而導致攻擊。而SSH協(xié)議則不同,其在傳輸過程中用戶名、密碼等敏感信息都是加密處理過的。所以相對來說,其在遠程管理中相對安全許多。筆者建議,網(wǎng)絡管理員最好采用SSH協(xié)議來遠程管理交換機等網(wǎng)絡設備,而不是采用安全機制比較薄弱的Telnet協(xié)議。
二是需要知道SSH協(xié)議的脆弱性。雖然說SSH協(xié)議比Telnet協(xié)議要安全許多,但是其自身仍然有不少脆弱的地方。如可能導致Dos攻擊或者緩沖區(qū)溢出;如也會發(fā)送無效的字段或者無效的IP幀;如攻擊者可以攔截大量的數(shù)據(jù)幀進行密鑰分析等等。沒有絕對安全的協(xié)議?傊W(wǎng)絡管理員需要知道SSH 有這些安全隱患,然后采用相應的措施來預防。如可以定時或者不定時的更改SSH的登陸密碼或者將其密碼設置的復雜一些,讓“通過攔截數(shù)據(jù)來進行密鑰分析” 的攻擊手段無效等等。
三是在交換機上禁用掉Telnet協(xié)議。通常在思科系列的交換機中,其默認情況下Telnet協(xié)議是不啟用的,只能夠通過SSH協(xié)議來遠程管理交換機。如果網(wǎng)絡管理員采用的是其他品牌的交換機,那么就需要確認一下Telnet協(xié)議是否啟用。如果啟用的話,那么筆者建議是關掉它。然后只啟用ssh 協(xié)議,以確保企業(yè)網(wǎng)絡的安全。
四、配置SNMP工具
無論是大型網(wǎng)絡還是小型網(wǎng)絡,SNMP都是一個非常實用的工具。在小型網(wǎng)絡中,SNMP比較適合進行網(wǎng)絡監(jiān)控;而在大型網(wǎng)絡中,SNMP也是一個有效的網(wǎng)絡配置工具。如可以通過SNMP工具,進行配置文件的管理與配置;如可以利用SNMP協(xié)議進行接口的統(tǒng)計和性能度量;如可以對接口鏈路的狀態(tài)進行追蹤等等。
對于使用思科系列的網(wǎng)絡設備的企業(yè)來說,需要注意其可以使用的SNMP協(xié)議有三個版本,分別為版本1、版本2C、與版本3。不過目前采用的大部分思科網(wǎng)絡設備其SNMP協(xié)議都是第二個版本,即snmpv2c。這里需要特別強調(diào)的是,如果網(wǎng)絡中還有其他網(wǎng)絡設備采用比較低級的SNMP協(xié)議,那么有必要時需要進行降低處理。即為了兼容性的考慮,采取比較低的SNMP協(xié)議版本,以實現(xiàn)統(tǒng)一的管理。
SNMP是一個比較復雜、功能比較強大的管理工具。在這里不能夠詳細的闡述。筆者需要強調(diào)的是,為了后續(xù)維護的方便,在交換機初始化的時候一定要配置這個工具,讓其能夠幫助管理員來維護企業(yè)復雜多變的網(wǎng)絡環(huán)境。
|
【收藏】【打印】【進入論壇】 |
|
|
|
|
|
|
|