扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:十月天堂 来源:it168 2008年10月14日
关键字:
一,什么是网络应用的附加功能:
所谓附加功能就是指当前网络并没有应用到的额外功能,一般来说企业内网中附加功能主要有两类,一类是缺省的自动化附加功能,而另外一类则是满足更多需求的额外功能。
(1)自动化附加功能:
这类附加功能主要是建立在自动化,自适应等应用基础上的,大部分由网络设备自行设置,但是正是由于这种所谓的智能化,在很多时候却帮了倒忙,网络设备自以为是的根据自动化自适应功能配置参数,从而造成企业内网相关应用的不稳定,更有甚者直接造成网络服务故障的出现。
(2)额外功能:
任何一个网络设备都不是专门针对你所在企业单独定制的,所以说为了考虑到大多数甚至一些特殊企业的应用,网络设备中会集成一些自动化智能化的功能,也许这些功能是你企业不需要的,但是这些功能确实实实在在存在的,更有甚者他们还反而会帮了你倒忙,额外功能影响企业网络正常应用的事情并不少见。
因此我们应该根据企业实际情况去有选择的关闭附加功能,让网络应用可以更通常更加高效的运行。
二,关闭网卡节电功能让网络通讯畅通无阻:
最近笔者下属一个分支网络的网络管理员找到我询问汇聚层网络是否存在问题,该分支网络出现的问题是在网络使用过程中经常掉线,特别是白天网络流量一大所有客户机都要中断外网通讯一分钟左右。
笔者根据其描述按照常规方法检查了客户端到网关以及服务器上网络通讯状况都没有发现任何异样。由于当掉线出现时所有客户机都无法正常通讯,而该分支网络又是通过服务器走代理的方式出去的,所以个人开始怀疑是服务器造成的掉线故障,重新安装了服务器的网卡故障依旧。
这时笔者决定从中断是否发生冲突角度入手来排查故障,点选“我的电脑”->“系统属性”,找到对应网卡的“属性”后在其设置窗口中没有看到有任何冲突存在,无意中查看了该硬件的各个属性标签,结果在“电源管理”处看到了“容许计算机关闭这个设备以节约电源”选项的存在,是否由于服务器长时间没人操作自动进入节电模式而自动关闭这个设备呢?于是笔者将“容许计算机关闭这个设备以节约电源”前的对勾去掉保存退出。(如图1)
关闭了这个自动化附加功能后该分支网络再也没有出现过断线的问题,看来这次故障主要由网卡的自动节电附加功能造成的,笔者也查询了其他没有问题计算机上关于网卡节电方面的设置,都是默认开启“容许计算机关闭这个设备以节约电源”的,但是都没有出现上述断线问题,个人怀疑可能是服务器上电源管理设置造成的。不过不管怎么说我们通过关闭附加的自动化功能解决了网络掉线故障。
三,关闭附加端口让僵尸接口释放交换机宝贵资源:
笔者还遇到过也是因为附加功能造成网络瘫痪的问题,事情的来龙去脉是这样的——下连一个小型网规模并不大,客户端只有20个,但是由于当初考虑到后期升级购买了多端口的核心交换机,该交换接口数很多达到了48个,而且后期又陆续添置了端口模块扩展了以太接口的数量,然而最近交换机假死现象却越来越多了,经常所有客户端一起掉线,知道了问题后我亲自去排查。
首先使用sniffer类工具对交换机各个端口进行监控,结果发现当出现掉线问题时交换机的负载一下子增加,用show logging buffered命令观察记录的缓存信息时发现很多以太接口一会状态为UP,一会状态又切换到DOWN。之后马上针对交换机下连设备进行查杀病毒处理,处理过病毒后交换机的CPU负载大大降低。但是掉线问题还时有出现,那些一会状态UP一会DOWN的接口竟然是没有使用的接口。笔者干脆进入交换机中通过shut down命令将其彻底关闭,关闭这些接口后问题解决,以后再也没有出现集体掉线问题。(如图2)
笔者对这个问题进行了思考,看来这些平时没有连接设备的端口并不处于彻底休息状态,他们还会针对网络状态进行监控,处于一种战备状态,由于网络中存在病毒,散发广播数据包,所以数据包到达这些“假休息”状态的接口后马上激活了他们,造成他们逻辑上的开启,从而造成一定的负载。所以说交换机,特别是核心设备上最好把不用的端口通过shut down命令彻底关闭,毕竟核心设备上端口非常多,积少成多给交换机带来的负载也是相当大的,关闭不必要的端口和功能对提高网络运行效率和减少网络故障都是有好处的。
四,关闭附加功能让网络安全提升档次:
最后我再来谈谈关闭附加功能让网络安全提升一个档次的问题,众所周知核心路由交换设备是企业安全的屏障,一旦他们被黑客攻击成功,企业内部所有数据的隐私都无从谈起。但是路由交换设备上有很多默认的功能都是为特殊网络应用与需求所准备的,可能我们这些中小企业用不到这些高级功能,但是这些功能确实默认开启的。有些默认功能却着实成为黑客入侵设备的有力辅助手段,所以说我们应该按需关闭这些附加功能,从而让企业内网安全提升一个档次。
(1)关闭CDP自动发现功能:
CDP是Cisco Discovery Protocol的缩写,在实际中他是帮助网络设备自动寻路径和发现相邻设备的功能,不过这需要企业内网所有设备都是Cisco的产品,当然对于中小企业来说一方面不可能所有设备都选择CISCO,另外一方面一旦网络建立完成这个CDP自动寻路径功能就没有太大用途了,毕竟网络结构不太复杂。所以说一般都用不到。然而这个功能却很可能帮助黑客了解我们企业使用网络设备的型号和相关配置,黑客通过sniffer扫描监控到CDP数据包后就可是实现上述功能。因此我们应该关闭CDP自动发现功能,具体指令为进入到路由交换的配置模式然后执行no cdp run。(如图3)
(2)关闭HTTP服务:
有些时候路由交换设备不仅仅支持telnet或SSH协议的连接与管理,对于中低端的产品HTTP服务也是开启的,但是相比传统管理方式来说HTTP管理模式在安全上存在问题,特别是由于设备开启了一个HTTP服务,那么Apache或IIS的漏洞也会出现在设备上。所以说如果我们能够熟练的通过telnet或SSH来配置路由交换设备,又或者说当我们使用HTTP方式配置好路由交换设备的功能参数后就可以先将HTTP服务关闭掉,这样也大大减少了黑客入侵的可能。在管理模式的配置模式下执行no ip http server后关闭相关服务。(如图4)
(3)关闭不使用的端口:
最后还是老生常谈的说下关闭不使用的端口,该问题在上文中已经提到过这里就不详细说明了,通过shutdown命令关闭不必要的以及没有使用的端口可以提升交换设备的运行效率,还可以有效防止外来人员肆意连接交换机端口进行监听。
五,总结:
总之随着网络技术与应用的逐步发展,网络设备所提供的附加功能也越来越多,正如安全大师所讲——网络应用的故障发生率以及安全问题与网络中存在的服务与应用的数量成正比,所以说必要时根据企业自身情况关闭这些不需要的附加功能将可以大大减少故障发生以及安全问题,希望本文可以起到抛砖引玉的效果,引起更多网络管理员对本文主题的重视。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。