网络设备
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络设备范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络设备范文第1篇
关键词:集群;交换机;网络设备;网络管理
Network equipment based on cluster network management system
Peng YafaXie Xiaolan
Abstract: the network equipment cluster network management can greatly improve the enterprise network operation and maintenance efficiency, regardless of the network device at any specific location, cluster creation can make multiple network devices do not need IP address, thereby greatly saves the enterprise network limited address space.
Key words: cluster; switch; network equipment; network management
随互联网络技术的迅速发展,企业网络的发展规模越来越大,网络设备的数量越来越多,企业网络的扩展使网络的管理变的越来越困难。其设备的数量变得越来越庞大,那么对网络地址的需求将也会变的越来越多。集群的网络管理方式可以很好地解决网络地址问题。集群是可以把一组网络设备看成一个单一实体进行管理,通常情况下,集群中的交换机中有一台被指定为命令交换机,其余称为成员交换机,对集群中各台成员交换机的配置和管理均在角色为命令交换机上进行。
一、集群中网络设备的角色
命令交换机:企业网络中每个集群设备中必须指定唯一的一台命令交换机,集群的配置和管理均通过此命令交换机来完成,命令交换机要求具备的条件包括需要配置至少一个IP地址、在交换机上运行支持集群的相应软件和运行LLDP协议软件、必须只属于一个集群而不能是其它集群的命令交换机或者成员交换机。
成员交换机:集群中的所有交换机,包括命令交换机,都是该集群的成员交换机。不过若非特别指明,我们所说的成员交换机并不包括命令交换机。只有该集群的候选交换机才能加入集群,从而成为成员交换机,成员交换机要求具备如下条件:运行了集群支持软件,运行了LLDP协议软件,不能是其他集群的命令交换机或者成员交换机。
候选交换机:可以被命令交换机发现并且还没有加入集群的交换机。候选交换机要求具备如下条件:运行了集群支持软件,运行了LLDP协议软件,不能是任何集群的命令交换机或者成员交换机。使用接口配置模式下的命令来手动配置网络设备端口的所有安全地址。让该端口进行地址的互相学习,这些学习到的地址将自动成为该端口上的安全地址,直到安全地址数达到最大个数。但是,自动互相学习到的安全地址不会自动和IP地址进行绑定,如果在某一个设备端口上,已经设置了绑定IP地址的安全地址,则将不能通过自动学习地址来增加安全地址的个数。可以手工配置一部分安全地址,另外的安全地址可以让交换机自动学习到。
二、集群管理的范围
集群的管理范围与跳数有关,跳数限定了命令交换机可以发现的候选交换机的范围。直接与命令交换机相连的交换机距前者的跳数为1,其余以此类推。默认情况下,命令交换机可以发现距其3跳范围以内的交换机。VLAN对集群的范围也有影响,为了保证与集群管理相关的帧的正确接收和转发,要求VLAN的划分应能保证在命令交换机、成员交换机和候选交换机之间存在可达的二层通道。如果这些端口中包括Trunk,则要求其本地虚拟局域网须为该虚拟局域网。但若该成员候选交换机已经处于路径的最末端,则对其上联端口的属性无要求。
交换机对LLDP的支持也将影响集群的范围,命令交换机借助LLDP协议来发现其他交换机。因此,不支持LLDP的交换机无法被发现,并且与之相连的其它换机也无法被发现,除非它们还连接到其他的支持LLDP的交换机上。如果在交换机上关闭LLDP或者在相关端口上禁用也会导致类似情况的发生。
三、配置集群
默认情况下集群功能是打开的,在交换机上可以创建集群从而使之成为命令交换机,也可以将其加入一个集群中而成为成员交换机。如果想要关闭集群功能,在特权模式下则:进入全局配置模式,关闭集群功能,回到特权模式,验证配置,最后保存配置。如果交换机是命令交换机,关闭集群功能将删除集群,并且不能成为任何集群的候选交换机;如果是成员交换机,关闭集群功能将使之退出集群,并且不能成为任何集群的候选交换机;如果是候选交换机,关闭集群功能将使之不再能成为任何集群的候选交换机。
配置集群先要建立集群。在特权模式下,可以通过以下步骤来建立集群,同时使该交换机成为集群的命令交换机,还可以为其指定一个序号。进入全局配置模式后设置命令交换机的序号。如果集群已经建立,则使用命令更改集群的名称,但不能更改命令交换机的序号。若要删除集群,可以在命令交换机的全局配置模式下执行命令no cluster enable。
配置集群发现跳数时,其决定了命令交换机所能发现的候选交换机的范围,在交换机的特权模式下,可以通过以下步骤来配置发现跳数。首先进入全局配置模式设置发现跳数,若要恢复为缺省值,可以在全局配置模式下执行命令no cluster discovery。
配置集群timer。为了及时地发现网络中的候选交换机,以及准确掌握成员交换机/候选交换机和命令交换机间的物理连接状况,命令交换机将每隔一段时间进行一次拓扑收集。该时间间隔由集群timer决定,缺省情况下为12秒。在特权模式下,可以通过以下步骤来配置集群time,先进入全局配置模式,再设置时间间隔,时间间隔的范围是1-300,缺省值为12秒。如果要恢复为缺省值,可以在全局配置模式下执行命令no cluster timer。
配置集群holdtime。holdtime值即时间值,是命令交换机所收集到的拓扑图以及所发现的候选交换机信息将会被保存一段时间,默认情况下为120秒。交换机的特权配置模式下,可以通过配置集群的holdtime:从特权模式进入全局配置模式后通过cluster holdtime命令进行holdtime时间的设置,时间范围是1-300,默认情况下的值为120秒。配置好后再回到特权模式,通过show cluster验证配置,如果要恢复其为缺省值,可以在交换机的全局配置模式下执行命令no cluster。(备注:以上该命令只能在命令交换机上执行。)
四、集群的维护
如果要管理整个集群,就需要为命令交换机分配一个IP地址。命令交换机可以拥有多个IP地址,通过其中任何一个地址都可以管理集群。成员交换机不需要IP地址。当它不再从属于任何集群时,必须为其分配合理的IP地址以便进行管理。
(1)密码的管理。加入集群的交换机将继承命令交换机特权级别的密码,包括空密码,不管集换机以前有没有密码。如果成员交换机以前设置过特权级别的密码,在命令交换机上加入该成员时必须指明该密码,否则将无法加入。(2)认证名的维护。认证名的维护比较重要,除了密码外,成员交换机还将继承命令交换机的只读和读写认证名。假如命令交换机的认证名有多个,那么则继承第一个只读和读写的认证名。当交换机离开集群后,所继承的认证名继续保留。用户通过命令交换机认证名@mN来访问成员交换机,因此,在为集群成员配置Community时不要包含@m字符串。
参考文献
网络设备范文第2篇
网络的系统现状
我院有HIS业务系统、Lis业务系统、Cis业务系统三套的业务系统,HIS三套系统均采用Win-dows2003系统,其中HIS和CIS的数据库运用Sy-base12.5。从三年的运行情况来看发生了三次网络突出问题,其中包括数据堵塞,系统电源等原因导致网络瘫痪。问题出现后,及时排解了问题,恢复了数据。从网络运行方面看,数据是十分重要的,稳健的网络必须靠稳健的数据库支持。数据安全隐患主要表现在:Sybase数据库自身不稳定;Sybase数据库备份期间发生数据损坏或者丢失;网络内的所有物理设备本身漏洞、物理介质的缺陷及问题,以及病毒原因造成的Oracler数据的逻辑错误等等都会导致业务系统中断或者网络安全问题。数据还原时,不但花销的时间多,而且准确度难以保证;还原数据需要多数据校对,校对算法对还原时间的影响度大,直接关系到还原的数据准确性。Sybase数据库中数据是医院的关键业务数据,一旦出现这些情况将导致的服务器无法访问或数据丢失,必须对其业务系统的数据库数据做实时的复制和实时的恢复,确保能用容灾服务器做业务的接管。
灾备系统设计
容灾建设主要是利用多种复制技术结合将生产数据实时复制至备用服务器。HIS等重要信息系统采用在线式应用级容灾技术,其它业务系统数据采用实时备份方式备份。灾备强调持久化服务能力,业务系统运行不允许中断;强调数据的准确性,业务系统不允许丢失数据或出错,可实现任意时间点恢复。容灾方案需要可靠地保证数据的安全及提供快速的恢复能力。同时降低容灾成本,提高资源利用率。将容灾系统部署在局域网内,需要添置两台容灾服务器。连接至核心交换机,在灾备服务器和各套业务系统服务器之间能正常通讯,确保所以的客户端都能访问灾备服务器。采用一台灾备服务器将各套业务系统的Oracle数据库数据通过备用服务器实时复制到容灾服务器的磁盘中。
在HIS、LIS服务器上部署ACDP系统软件,在HIS容灾服务器、LIS容灾服务器上安装ACDP服务器端软件,在容灾服务器上安装ACDP恢复端模块,设置ACDP的检测路径为主存储路径,设置ACDP服务器端路径为备份数据存储路径,设置ACDP恢复端路径为实时恢复路径。通过Web管理界面配置需要复制的数据库、备份和恢复策略等。
(1)当HIS、LIS服务器处于正常工作状态时,把各套系统服务器的数据库的数据实时恢复至容灾服务器的数据库中。当检测到主存储数据变化后,将捕获变化的数据实时的复制到容灾服务器的存储上,实现了实时的复制。
(2)当任意一套系统服务器出现故障,无法正常工作时,技术人员将业务系统切换到备用系统中,将备份的数据库进行启动,利用容灾备用服务器来接替出现故障的系统。保证业务连续性,减少数据丢失。如:HIS业务系统出现故障,自动切换到容灾服务器上启动HIS业务系统的数据库,利用容灾服务器接替HIS业务系统。
网络设备范文第3篇
使用无线网络的人群数量很大,铺设无线网络之后,管理者必须对无线网络进行管理,我们希望无线网络的管理要操作简单容易实行以减少管理者的工作负担,从而能够让在解决无线网络存在的问题时,网络管理者不费吹灰之力。并且管理与分配网络的资源,促进资源的合理利用。这里不得不谈到相关维护的技术,探讨在维护过程当中所面对的问题,也是本文接下来要介绍的内容。1.1注意系统配置在管理无线网络当中,最要注意系统的配置与维护,当发生故障时,无论任何地方,都必须要及时的找出故障,并拿出更为有效的措施方法进行排除和解决。除此之外,系统应用的接插件,必须要具有标准积木式,这样的接插件更便于进行在线管理,并且在关键的设施模板上,必须要达到一插就能用的成果。新的网络技术固然可以被利用,但也要合理运用。其间有必要认真考虑技术的要求和标准,并且应该不偏离相关标准进行实施,尤其要严格地遵守国际的相关规定,在国家标准中未启用的新技术尽量的少出现。1.2选择网络设备还有,为了无线网络系统的先进性和可用性,就要全面充分地考虑到系统的健康发展,注重它在各个运行环境下的兼容问题,要具有一定的前瞻性,放眼未来,接轨国际,也只有这样才很难一下子就被淘汰掉。当在为系统选择网络设备时,需要满足以下的所有条件:一定的可靠性,合理的流量分布,达到传输时延的标准要求。系统在升级时,也要因为便捷性,充分考虑当前业务的主要需求,以及具体的业务发展要求。在按照要求的详细规定进行的同时,设计系统还有必要使用便于扩展的接插件,这类结构一般都方便维护。
2无线网络设备的维护
在维护工作中,管理者曾发现不但主设备自身存在硬件、软件故障,而且移动通信无线网所使用的电源、传输以及调试等配套设备也可能对主设备的正常工作产生不良影响,妨碍通讯的顺畅。2.1全球移动通信系统(GSM)无线网络设备故障及处理关于天馈系统:无线电磁波天线合路器电压驻波比(VSWR)若是被设成1.5的话就会报警,可能导致小区LAN不能正常工作,而若这个数值为1.7到2.0,那么将严重影响通信质量。要在一定程度上保证通信质量和基站覆盖面就不得不把基站均设置为1.5。关于基站设备的线、缆故障:基站设备的线、缆故障率很高。如果,机柜的电源与主控模板的后背板间,电缆背板多芯插头接触不良,会引起接口传输不通,出现本地维护终端(LMT)也不能与主控板通信的严重问题。这一般都是因为多芯插头仅使一个紧固螺丝来固定下部,而上部会因为电缆的张力且没有被固定而渐渐翘起,引起接触不良。因此,需要根治这个问题,就必须用螺丝紧固之。2.2第三代无线通讯技术(WCDMA)无线网络常见问题及维护关于导频污染问题:无线通讯网络在某一个点存在大量强导频,却无一个足够强的主导频,可以通过调试无线电磁波天线架构和调整导频功率两个方面解决此问题。据实际测验的效果,要想改变污染位置所在导频信号强度,可调整无线电磁波天线的方位角、下倾角,这同样能改善导频信号在同一位置的分布状况。在此过程中主导频得到加强,其他导频则受到削弱,这也是解决此问题的根本原因所在。关于网络覆盖问题:WCDMA网络通常还会发生网络覆盖不全面的问题,其一般表现为:弱覆盖和越区覆盖。弱覆盖是说WCDMA覆盖方位的导频信号不过95DBM,这样的情况多发生于地下室、电梯等信号差的环境中。其解决之道在本文之前也说起过,提高覆盖可以通过增强导频功率、调整无线电磁波天线方向角和下倾角,或者增高无线电磁波天线、替换更高效益无线电磁波天线等方法来实现。越区覆盖对于比邻的WCDMA网络基站会造成一定程度的干扰,这是由于其基站的覆盖方位超出了自身的规定。防止越区覆盖,一般要求减少无线电磁波天线正对道路传播,或者利用建筑物遮挡,但同时避免对比邻基站产生同频干扰。对于比较高的站点,换个地址看似是最好的方法,不过真正要去换址,却不得不面临物业、设备安装等多种条件的限制。同时,如果兴师动众地调整无线电磁波天线的机械下倾角,那么也将可能造成无线电磁波天线方向的突变,因此,只有默默地调整导频功率,或使用下倾无线电磁波天线,才可以减小基站的越区覆盖范围,彻底消除可怕的“岛”效应。
3结语
网络设备范文第4篇
信息网络的终端使用者因操作技能和安全意识有限,有可能会打开或浏览来历不明的一些电子邮件或对从网上下载的软件不进行木马、后门等恶意代码的检查就直接在网络设备上安装运行,当安装这些恶意程序的网络设备被非法利用后就会造成不必要的网络损失。还有的网络使用人员对信息网络的法律和法规不清楚,甚至出现有的使用者在网上搜索一些网络攻击软件,对局域网上的网络设备进行试验性的攻击,造成网络故障的出现。
升级设备操作系统及时更新和升级网络设备的操作系统。及时升级操作系统不但能防止已有的缺陷与漏洞继续被非法利用,将病毒的感染范围限制在最小的范围内,还可以获得更多相关的安全,减少攻击者的攻击机会。根据有关的统计数据分析,由于未修补软件的漏洞而导致发生的网络安全事件将近占整个网络安全事件的一半。所以,操作系统本身的安全重要性在整个网络安全中占重要的地位。因此,应加强对网络操作系统本身安全的重视。在网络设备上关闭不需要的功能和服务网络设备在出厂的默认情况下,为了方便管理和使用,缺省自动开启了一些网络服务功能,这些服务虽然都能给用户带来一定的方便,但他们也或多或少存在一定的安全隐患,因为这些服务都有可能为非法入侵者提供有利的入侵条件,使网络设备崩溃或是运行效率显著下降。所以,我们可以通过在网络设备上关闭一些不常用或暂时不用的服务和接口以提高网络设备的安全性和利用率,同时也可以防止黑客利用这些服务及端口进行入侵。解决这类问题的途径除了借助建立规章制度和加强内部管理等防范措施外,先进的技术也是解决这类问题的重要方法。设置实时日志服务器、入侵检测及防护服务器1)通过日志服务器可以达到实时监测网络设备的操作、访问和运行情况,全面掌握网络设备当前运行状况和历史日志,通过日志的审查和统计也可分析出系统潜在的安全隐患,对及时调整系统运行、配置具有重要的指导意义。2)入侵检测及防护服务器可以提供实时的入侵检测以及在发现有未授权或异常现象的数据访问行为后,可以在第一时间与防护服务器进行联动,采取相应的防护手段。入侵检测服务器一旦检测到网络有入侵行为之后,可以通知网络上相关的设备及管理人员立即采取有效措施来阻断攻击,并同时可以立即追踪定位攻击源,查找入侵设备及人员的有关情况。设置备份服务器配置备份服务器可以定期对网络设备的配置文件、操作系统进行本地和异地备份,在意外发生后对网络系统数据及时进行恢复,为保证网络的安全稳定运行,提供有力手段。加强密码和端口访问权限的管理1)无论是管理员还是非法入侵者对网络设备的访问,基本上都是两种手段:一是在本地通过网络设备的配置口进行;二是在异地通过远程登录网络设备的方法进行,设置登录密码是用来防止对于网络设备的非授权访问的主要手段,所以要对设备设置安全的强登录访问口令,并且密码应不定期的进行没有规律的更换,防止密码泄漏给网络设备带来不利影响。2)因为任何得到网络设备特权的用户都可以对设备进行配置,也可能会将已经登录的网络设备作为中继,对其它的网络设备发动新的网络攻击。为了防止这些情况的发生,需要对网络设备的访问权限进行管理,加强访问控制列表对访问网络设备的控制能力和对远程可登录网络设备的地址进行限制,防止非法入侵者通过其它IP地址对网络设备进行登录访问,还要加强SNMP关键字的管理和在网络设备的配置端口上设置空闲时间参数,以防管理员在配置过程或非正常离线后给非法入侵者留下可被利用的漏洞。3)在设备维护中,对可以访问网络设备的管理员人数严格控制并对每一次网络维护都要记录备案,做到有据可查,同时严格控制CON端口的访问权限。
加强信息网络使用方面的立法和执法力度,只有紧密地将管理措施和技术措施相结合,才能使网络安全得到切实有效的保证。制定网络设备安全管理制度,建立健全设备安全管理制度。健全的管理制度可有效提高维护人员及所有网络使用者的操作行为的规范性,免受非法人员的临近攻击,确保网络设备的物理安全,提高对信息网络使用的安全意识。加强相关人员的培训网络的使用者,不仅仅是网络管理人员,而是所有在使用网络的人员。这就需要不但要对网络管理、维护人员进行技能、技术水平的培训,只有网络管理、维护人员的管理维护能力的不断提高,才能减少因管理维护人员人为行为而对网络造成的影响。在提高网络管理维护人员网络管理及故障处理水平的同时,还要对所有网络终端的使用人员进行网络使用操作技能和有关法制教育的培训,明确系统管理人员和网络终端使用者的权利和义务,自觉遵守各种管理制度,维护信息网络系统的安全,提高所有网络使用者的安全意识,这对防止网络攻击和病毒干扰以及提高信息网络安全运行水平,起着十分重要的作用。采用加密的信息传输方式在网络设备上进行的数据传输,要尽量采用加密的传输方式,这样可以保证数据在传输过程中不被非法利用,如:在网络设备上启用telnet能使管理员很方便地远程管理网络设备,但这种数据传输方式为明文传输,存在比较大的安全隐患。所以,通过采用加密传输方式管理设备是非常必要的。机房物理安全网络信息机房应严格按照有关的标准进行建设和改造,必须具备防火、防雷、防静电、防电磁干扰,要有完备的环境控制设备和电源供应设备,确保各类设备有一个良好的运行环境。
作者:罗凯 单位:乌兰察布电业局信息通信处
网络设备范文第5篇
关键词:交换机 路由器 安全技术 实施
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2013)11-0185-01
目前大多数的企事业单位接入Internet网,通常都是在企业出口部署一台路由器与ISP连接实现。这台路由器就是沟通外部Internet和内部网络的桥梁,如果这台路由器能够合理进行安全设置,那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障。考虑到路由器的作用和位置,路由器配置的好坏不仅影响本身的安全也影响整个网络的安全。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。交换机的安全性能已经成为网络建设必须考虑的重中之重。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。
1 设置强壮的管理口令
口令是交换机用来防止非授权访问的主要手段,是交换机本身安全的一部分。必须修改默认的口令,并避免使用普通的口令,并且使用大小写字母+数字+特别符号混合的方式作为更强大的口令规则。尽可能使用Enable Secret特权加密密码,而不使用Enable Password创建的密码。
利用enable secret命令设置密码,并选择一个长的口令字(至少8位),该加密机制是IOS采用了MD5散列算法进行加密,这条命令用于对存储在配置文件中的所有口令和类似数据进行加密。避免当配置文件被不怀好意者看见,从而获得这些数据的明文。
2 控制VTY
(1)配置VTY的Telnet访问控制安全,利用ip access-class限制访问VTY的ip地址范围。
(2)建议用SSH代替Telnet
Telnet是管理员们连接至交换机的主要通道,但是在Telnet会话中输入的每个字节都将会被明文发送,这可以被类似Sniffer这样的软件嗅探获取用户名、密码等敏感信息。因此,使用安全性能更高的SSH强加密无疑比使用Telnet更加安全。
3 防止盗用内部IP地址
攻击者可以盗用内部IP地址进行非法访问。利用ARP命令在局域网内将MAC地址与IP地址进行绑定来解决这个问题。
4 确保SNMP协议的安全
如果没有用到SNMP功能,建议禁止SNMP协议服务。尽量采用Snmp V3。如果必需采用Snmp V1,必须修改默认的community,如public,private等。
5 禁用不必要的服务
由于早期版本的交换机操作系统存在多个严重的安全漏洞,使得攻击者可以远程越权获取到交换机的完整配置文件,因此建议在路由器上使用命令:no ip http server禁止HTTP服务。
Cisco公司的设备通过网络操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。如禁止CDP、Finger服务、BOOTP服务、IP Source Routing、ARP-Proxy服务、IP Directed Broadcast、IP Classless、DNS查找等。
6 及时升级和修补IOS软件
IOS(Internetwork Operating System)是Cisco交换机和路由器中的操作系统,以映象文件(.bin格式)的形式保存在交换机的闪存中。同其它的操作系统一样,Cisco公司每年都会定期新的IOS操作系统,升级IOS的主要目的是:
6.1 修补漏洞,消除BUG
同其它的操作系统和应用软件一样,Cisco交换机和路由器的IOS操作系统,每年都会被发现大约几十个漏洞,通常情况下这些漏洞会带来严重的安全风险。因此,需要定期更新Cisco公司的新版IOS,来修补这些漏洞。
6.2 增加新功能
由于交换机和路由器的特殊性,新版IOS的,除了针对漏洞的修补以外,还会增加新的功能。如果交换机的功能无法满足工作需要,也可以升级IOS来解决。比如,早期的交换机不支持SSH、HTTPS、SNMP V3等安全功能,可以通过升级为支持加密功能的K9版IOS,来实现这些功能。
6.3 解决交换机兼容性问题
一个规模较大网络的交换机或路由器通常都是逐年分批采购的,不同批次交换机的IOS版本肯定不一样。通过将IOS全部升级为最新修订版,可以减少因IOS版本不同而引发交换机之间不兼容的隐患,避免配置管理上的不一致性。
在升级过程中,需要注意以下几点:
①尽力保障电力供应,避免升级过程中断电或重启交换机和路由器,否则会导致升级失败。②要从正规渠道获取IOS文件,如Cisco的官方网站和授权的经销商,以保证IOS的权威、干净和完整。③要注意版权问题,不要侵犯版权。④升级完成之后,一定要进行安全性、可靠性测试,密切注视升级后的网络运行情况,如有异常及时处理。
参考文献
[1]解艳.浅析网络设备安全[J].科技信息,2011,(25).
[2]覃毅,王欢.网络设备与网络安全[J].计算机安全,2010,(06).
