无论什么时候,只要不是网络专业人员在交换机端口上插线缆,十有八九就会发生状况。所以一大批的网络管理工具也就应运而生,它们可以帮助网络工程师们处理越来越多的棘手问题。
近期,网络工程师Brian Saunier发现,其园区网络中的Extrem Networks 交换机出现了性能下降的问题,后来,Brian Saunier把目光放到了一款叫做Ipswitch’s WhatsUp Gold的网络监控工具上,并打算用它去发现网络中的问题。
“当我们用这个工具测试时,发现一些重要系统端口的CPU使用率非常高,并且带宽的使用量也非常大,”位于Marietta, Ga的非营利性电子公共组织Cobb EMC的网络管理人员Saunier说道。
用WhatsUp Gold网络监测工具,Saunier追踪到了核心交换机上两个主要端口的问题。他意识到发现了网络回路的迹象,CPU的高使用率也很高,他快速访问了核心交换机并进行了少量的侦测工作。我们举个例子来看,一个服务台技术人员在同一个交换机上的两个不同端口上插入线缆,就会建立一个网络回路。该交换机的其中一个端口插入到附近墙上以及安装好的以太网端口上。很显然这个服务台技术人员认为他找到了可用的线缆,还把这个线缆又插回去了。而对于每个网络工程师来说,他们都应该知道这个墙上的端口是核心交换机端口上的扩展端口而已。
Saunier目前使用了几款Ipswitch网络管理工具来做网络性能的日常监控。除了这个网络监测工具外,他还使用了WhatsConnected网络发现工具和WhatsConfigured网络配置工具等来帮助他更好地工作。
WhatsConnected是一种简易的网络发现工具,它可以自动建立网络拓扑图, 并提供系统中所有交换机、路由器以及连在每个端口的设备的详细数据。通过交叉引用该拓扑图的结果与Cobb园区中每个物理端口的记录,Saunier就可以快速定位这些设备的物理位置。所以当想要确定所连接的某台设备的地理位置时,该工具就非常重要。再加上Saunier正想要为网络增加新的网络接入控制设施,WhatsConnected是迟早会用到的。
“我们曾经就发现过打印机,因为当时我们正在进行NAC项目,试图使用802.1x锁定网络,”他说道。“我们想定位所有未认证设备的位置,打印机是我们的主要问题所在。在早期,我们这样处理过一到两次,并且我们还要再处理一次以确定没有遗漏近期插入的设备。
较终,Saunier还会把这种技术用在Juniper网络的统一接入控制上来锁定每个支持打印机的端口。
“我们还会根据打印机的物理地址来锁定这些端口,这样其他的网络设备就不会占用这些端口了,”他说道。“如果有人说,‘我想拔掉这台打印机,插上我的笔记本,’那他的笔记本是无法工作的。”
网络管理员造成的配置错误也在所难免
给网络带来威胁的人,不仅仅只是终端用户。即使是一个网络管理人员,在配置一个交换机时发生错误的情况也是在所难免的。
Saunier是用WhatsConnected来审计网络配置变更的。如果他监测到网络中有问题,他就可以用这些审计来追踪这个问题是否是由网络配置变更所引起的。
“每天从我所有的交换机上下载配置文档是我计划表中的一项,”他说道。“我可通过审计来确定某些特殊的线是用特殊的方法配置的。我们还可以通过审计来确保RADIUS服务器设置到了每一台交换机上,并且NTP(网络时间协议)服务器在每台交换机上的配置是正确的。”
WhatsConfigured会对主要配置变更或配置变更失败的情况作出告警。例如,如果一个NTP服务器配置变更没有作用在某一个交换机上,Saunier就可以获得该信息。然而,Saunier还非常注意防止WhatsConnected超负荷工作。
“其实,我们很少去注意这些细节问题,比如用户的登录,或者某一VLAN上的端口删除等,”他说道。“我们之所以不去审计这方面的信息,是由于这种变更非常频繁。如果你有一个部署了100台交换机的网络,每小时都会有细小的变更,那么我不赞成对任何小变更发生都发出告警这种做法,这实在是没有必要。”
