第六章：网络设备管理与维护

单/多MAC地址类型 单MAC交换机主要设计用于连接最终用户、网络共享资源或非桥 接路由器， 它们不能用于连接集线Baidu Nhomakorabea或含有多个网络设备的网段。多 MAC交换机在每个端口有足够存储体，记忆多个硬件地址。多MAC交 换机的每个端口可以看作是一个集线器，而整个交换机就可以看作是 集线器的集线器。 能否支持VLAN 通过将局域网划分为虚拟网络VLAN网段，可以强化网络管理和 网络安全，控制不必要的数据广播。在虚拟网络中，广播域可以是有 一组任意选定的MAC地址组成的虚拟网段。这样，网络中工作组可以 突破共享网络中的地理位置限制，而根据管理功能来划分。 链路聚合 链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有 非常好的伸缩性，比如可以把2个、3个、4个千兆的链路绑定在一起， 使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡， 同时也能够互为备份，保证链路的冗余性。在这些千兆以太网交换机 中，最多可以支持4组链路聚合，每组中最大4个端口。链路聚合一般 是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络 的冗余性。 安全性 安全性越来越为人们所重视，交换机可以在底层把非法的客户隔离 在网络之外。这些可以管理的网络交换机都支持MAC地址过滤的功能， 还可以将MAC地址与固定的端口绑定在一起，和VLAN绑定在一起。
交换机上的安全功能

5、Syslog和Watchdog交换机的Syslog 日志功 能可以将系统错误、系统配置、状态变化、状态 定期报告、系统退出等用户设定的期望信息传送 给日志服务器，网管人员依据这些信息掌握设备 的运行状况，及早发现问题，及时进行配置设定 和排障，保障网络安全稳定地运行。 Watchdog 通过设定一个计时器，如果设定的时 间间隔内计时器没有重启，则生成一个内在CPU 重启指令，使设备重新启动，这一功能可使交换 机在紧急故障或意外情况下时可智能自动重启， 保障网络的运行。

交换机上的安全功能

2、802.1X 基于端口的访问控制为了阻止非法用户对局域网的接入， 保障网络的安全性，基于端口的访问控制协议802.1X无论在有线 LAN或WLAN中都得到了广泛应用。 例如华硕最新的GigaX2024/2048等新一代交换机产品不仅仅支持 802.1X 的Local、RADIUS 验证方式，而且支持802.1X 的 Dynamic VLAN 的接入，即在VLAN和802.1X 的基础上，持有某 用户账号的用户无论在网络内的何处接入，都会超越原有802.1Q 下 基于端口VLAN 的限制，始终接入与此账号指定的VLAN组内，这一 功能不仅为网络内的移动用户对资源的应用提供了灵活便利，同时又 保障了网络资源应用的安全性;另外，GigaX2024/2048 交换机还支 持802.1X的Guest VLAN功能，即在802.1X的应用中，如果端口指 定了Guest VLAN项，此端口下的接入用户如果认证失败或根本无用 户账号的话，会成为Guest VLAN 组的成员，可以享用此组内的相应 网络资源，这一种功能同样可为网络应用的某一些群体开放最低限度 的资源，并为整个网络提供了一个最外围的接入安全。

(4)背板故障： 交换机的各个模块都是接插在背板上的。如果环境潮湿，灰尘， 电路板受潮短路，或者元器件因高温、雷击等因素而受损都会造成电 路板不能正常工作。比如：散热性能不好或环境温度太高导致机内温 度升高，指使元器件烧坏。 在外部电源正常供电的情况下，如果交换机的各个内部模块都不 能正常工作，那就可能是背板坏了，遇到这种情况即使是电器维修工 程师，恐怕也无计可施，惟一的办法就是更换背板了。


(3)模块故障： 交换机是由很多模块组成，比如：堆叠模块、管理模块(也叫控制 模块)、扩展模块等。这些模块发生故障的机率很小，不过一旦出现 问题，就会遭受巨大的经济损失。如果插拔模块时不小心，或者搬运 交换机时受到碰撞，或者电源不稳定等情况，都可能导致此类故障的 发生。 当然上面提到的这3个模块都有外部接口，比较容易辨认，有的 还可以通过模块上的指示灯来辨别故障。比如：堆叠模块上有一个扁 平的梯形端口，或者有的交换机上是一个类似于USB的接口。管理模 块上有一个CONSOLE口，用于和网管计算机建立连接，方便管理。 如果扩展模块是光纤连接的话，会有一对光纤接口。 在排除此类故障时，首先确保交换机及模块的电源正常供应，然 后检查各个模块是否插在正确的位置上，最后检查连接模块的线缆是 否正常。在连接管理模块时，还要考虑它是否采用规定的连接速率， 是否有奇偶校验，是否有数据流控制等因素。连接扩展模块时，需要 检查是否匹配通信模式，比如：使用全双工模式还是半双工模式。当 然如果确认模块有故障，解决的方法只有一个，那就是应当立即联系 供应商给以更换。
交换机上的安全功能

3、流量控制(traffic control)交换机的流 量控制可以预防因为广播数据包、组播数 据包及因目的地址错误的单播数据包数据 流量过大造成交换机带宽的异常负荷，并 可提高系统的整体效能，保持网络安全稳 定的运行。
交换机上的安全功能

4、SNMP v3 及SSH安全网管SNMP v3 提出全新的体系结构，将 各版本的SNMP 标准集中到一起，进而加强网管安全性。 SNMP v3 建议的安全模型是基于用户的安全模型，即USM。USM 对网管消息进行加密和认证是基于用户进行的，具体地说就是用什么 协议和密钥进行加密和认证均由用户名称(userNmae)权威引擎标识 符(EngineID)来决定(推荐加密协议CBCDES，认证协议HMACMD5-96 和HMAC-SHA-96)，通过认证、加密和时限提供数据完整 性、数据源认证、数据保密和消息时限服务，从而有效防止非授权用 户对管理信息的修改、伪装和窃听。至于通过Telnet 的远程网络管 理，由于Telnet 服务有一个致命的弱点——它以明文的方式传输用 户名及口令，所以，很容易被别有用心的人窃取口令，受到攻击，但 采用SSH进行通讯时，用户名及口令均进行了加密，有效防止了对口 令的窃听，便于网管人员进行远程的安全网络管理。
交换机故障分类
在复杂的网络应用环境中，对网络管理 者来说有多种管理维护方式和方法，同时也 有不同的手段来实现。而通过交换机自身的 网络管理功能，来对网络上运行的设备和应 用的用户进行必要的检测和控制，不乏是理 想的网管手段之一。以下是常见的交换机故 障的5种类型判断的一个总结：



(1)电源故障 (2)端口故障 (3)模块故障 (4)背板故障 (5)线缆故障
交换机上的安全功能

6、双映像文件一些最新的交换机， 像A S U SGigaX2024/2048还具备双映像文件。这一功能保护设 备在异常情况下(固件升级失败等)仍然可正常启动运行。 文件系统分majoy和mirror两部分进行保存，如果一个文 件系统损害或中断，另外一个文件系统会将其重写，如果 两个文件系统都损害，则设备会清除两个文件系统并重写 为出厂时默认设置，确保系统安全启动运行。其实，近期 出现的一些交换机产品在安全设计上大都下足了功夫—— 层层设防、节节过滤，想尽一切办法将可能存在的不安全 因素最大程度地排除在外。广大企业用户如果能够充分利 用这些网络安全设置功能，进行合理的组合搭配，则可以 最大限度地防范网络上日益泛滥的各种攻击和侵害，愿您 的企业网络自此也能更加稳固安全。
第六章：网络设备管理与 维护
网络管理的功能和模型 交换机管理 路由器管理介绍
6.1 网络管理的功能和模型

6.1.1网络管理的功能 设备管理 配置管理 故障管理 性能管理 安全管理 计费管理

6.1.2网络管理的模型
分层模式 基本模型 信息模型
6.2 交换机管理



交换机的性能特点 交换机上的安全功能 交换机故障分类 故障分析和处理的方法 交换机应用中应注意的问题 交换机基本配置和管理
交换机上的安全功能

1、L2-L4 层过滤现在的新型交换机大都可以通过建立规 则的方式来实现各种过滤需求。 规则设置有两种模式，一种是MAC模式，可根据用户需要 依据源MAC或目的MAC有效实现数据的隔离，另一种是 IP模式，可以通过源IP、目的IP、协议、源应用端口及目 的应用端口过滤数据封包;建立好的规则必须附加到相应 的接收或传送端口上，则当交换机此端口接收或转发数据 时，根据过滤规则来过滤封包，决定是转发还是丢弃。另 外，交换机通过硬件“逻辑与非门”对过滤规则进行逻辑 运算，实现过滤规则确定，完全不影响数据转发速率。
交换机的性能特点

1）独享带宽 由于交换机能够智能化地根据地址信息将数据快速送到目的地， 因此它不会像集线器那样在传输数据时“打扰”那些非收信人。这样 一来，交换机在同一时刻可进行多个端口组之间的数据传输。并且每 个端口都可视为是独立的网段，相互通信的双方独自享有全部的带宽， 无须同其他设备竞争使用。比如说，当A主机向D主机发送数据时，B 主机可同时向C主机发送数据，而且这两个传输都享有网络的全部带 宽--假设此时它们使用的是100Mb的交换机，那么该交换机此时的总 流通量就等于2×100Mb=200Mb。

2）全双工
当交换机上的两个端口在通信时，由于它们之间的通道是相对独 立的，因此它们可以实现全双工通信。




转发技术 存储转发技术要求交换机在接收到全部数据包后再决定 如何转发，采用该技术的千兆交换机可以在转发之前检查 数据包的完整性和正确性，减少了不必要的数据转发。 吞吐量 以太网吞吐量的最大理论值被称为线速，是指交换机有 足够的能力以全速处理各种尺寸的数据封包转发， 千兆交 换机产品都应达到线速。 管理功能 通常，交换机厂商都提供管理软件或第三方管理软件 远程管理交换机。 一般的交换机满足SNMP MIB I/MIB II统计管理功能，而复杂一些的千兆交换机会通过增加内 置RMON组 （mini-RMON）来支持RMON主动监视功能。 有的交换机还允许外接RMON监视可选端口的网络状况。 延时 采用直通转发技术的千兆交换机有固定的延时，因为直 通式交换机不管数据包的整体大小， 而只根据目的地址来 决定转发方向。所以，它的延时是固定的。 采用存储转发 技术的交换机由于必须要接收完完整的数据包才开始转发， 所以数据包大，则延时大；数据包小，则延时小。

(1)电源故障： 由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源损坏或 者风扇停止，从而不能正常工作。由于电源缘故而导致机内其他部件损坏的 事情也经常发生。 如果面板上的POWER指示灯是绿色的，就表示是正常的；如果该指示灯 灭了，则说明交换机没有正常供电。这类问题很容易发现，也很容易解决， 同时也是最容易预防的。 针对这类故障，首先应该做好外部电源的供应工作，一般通过引入独立的 电力线来提供独立的电源，并添加稳压器来避免瞬间高压或低压现象。如果 条件允许，可以添加UPS(不间断电源)来保证交换机的正常供电，有的UPS 提供稳压功能，而有的没有，选择时要注意。在机房内设置专业的避雷措施， 来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司，实施网络 布线时可以考虑。 (2)端口故障： 这是最常见的硬件故障，无论是光纤端口还是双绞线的RJ-45端口，在插 拔接头时一定要小心。如果不小心把光纤插头弄脏，可能导致光纤端口污染 而不能正常通信。我们经常看到很多人喜欢带电插拔接头，理论上讲是可以 的，但是这样也无意中增加了端口的故障发生率。在搬运时不小心，也可能 导致端口物理损坏。如果购买的水晶头尺寸偏大，插入交换机时，也容易破 坏端口。此外，如果接在端口上的双绞线有一段暴露在室外，万一这根电缆 被雷电击中，就会导致所连交换机端口被击坏，或者造成更加不可预料的损 伤。 一般情况下，端口故障是某一个或者几个端口损坏。所以，在排除了端 口所连计算机的故障后，可以通过更换所连端口，来判断其是否损坏。遇到 此类故障，可以在电源关闭后，用酒精棉球清洗端口。如果端口确实被损坏， 那就只能更换端口了。