基于交换设备群集的网络安全的实现

【摘要】利用多台交换机群集的网络管理方式可以保证网络设备的集中管理，不但提高了企业网络运行维护的效率，而且大大增强了企业网络的安全，应用交换机群集的功能可以方便的实现处于任何位置的交换设备组合成一个整体，从而成倍地节省了企业网络有限的地址空间，因此，应用交换设备的群集对于网络地址数有限的企业来说在网络安全方面显得尤为重要。

【关键词】集群　交换机　网络设备　网络管理

随着计算机互联网络技术的迅速发展，互联网不但为企业提供了和检索信息以及资源共享提供了最方便的场所，也为个人使用网络资源提供了最大的平台，但同时也给网络安全方面造成了一定的威胁，并且随着大企业网络的发展规模越来越大，其网络设备的数量也越来越多，企业网络的扩展使网络的管理变的越来越困难。在企业网络中运行的设备需要很多不同的IP地址，且每台可以管理的网络设备需要进行配置用来满足企业网络运行的各方面的需要。如果设备的数量变得越来越庞大，则企业网络对IP地址的需求将也会变的越来越多。群集的网络管理方式可以很好地解决网络地址短缺和网络安全问题。

一、交换设备群集的分类

命令交换机是交换设备群集的重要角色，是企业网络中每个群集设备中必须指定唯一的一台交换机，群集的配置和管理均通过此命令交换机来完成，命令交换机要求具备的条件包括需要配置至少一个IP地址、在交换机上运行支持集群的相应软件和运行LLDP协议软件、必须只属于一个集群而不能是其它集群的命令交换机或者成员交换机。

第二种为成员交换机，集群中的所有交换机，包括命令交换机，都是该集群的成员交换机。如果没有特别说明，成员交换机一般并不包括命令交换机。当然只有该集群的候选交换机才能加入集群，从而成为成员交换机，运行了集群支持软件和运行了LLDP协议软件是成员交换机要求必须具备的条件，不能是其它集群的命令交换机或者成员交换机。

交换设备群集还分为候选交换机，它可以被命令交换机发现并且还没有加入群集的交换机。候选交换机具备的条件主要包括：运行了集群支持软件和运行了LLDP协议软件，且不能是任何集群的命令交换机或者成员交换机。使用局部配置模式下的命令来手动配置网络设备端口的所有安全地址。让该端口进行地址的互相学习，这些学习到的地址将自动成为该端口上的安全地址，直到安全地址数达到最大个数。但是，互相自动学习到的安全地址不会自动和网络地址互相绑定。如果在一个设备端口上已经绑定了网络地址，那么就不能通过自动学习IP地址的方式增加安全地址的个数。但是网络管理员可以手工配置一部分安全地址，交换机可以自动学习到另外的安全地址。

二、交换设备群集的创建思路

交换设备群集就是把一组交换设备构建为一个单一实体设备进行网络管理，群集中的交换机有两种角色，分别为命令交换机和成员交换机。集群的管理范围与跳数有关，跳数限定了命令交换机可以发现的候选交换机的范围。直接与命令交换机相连的交换机距前者的跳数为1，其余以此类推。默认情况下，命令交换机可以发现距其3跳范围以内的交换机。VLAN对集群的范围也有影响，为了保证与集群管理相关的帧的正确接收和转发，要求VLAN的划分应能保证在命令交换机、成员交换机和候选交换机之间存在二层通道。因此，对某台成员／侯选交换机而言，从命令交换机的下联端口直到该交换机上联端口的整个路径上的所有端口都应属于同一个VLAN，以便命令交换机能有效管理成员交换机和发现候选交换机。如果这些端口中包括Trunk则要求其本地虚拟局域网须为该虚拟局域网。但若该成员候选交换机已经处于路径的最末端，则对其上联端口的属性无要求。

交换机对LLDP协议是否支持也将影响网络设备集群的范围，命令交换机借助LLDP协议来发现集群内的其他交换机，而不支持LLDP协议的交换机将无法被发现，并且与之相连的其它换机也无法被发现，除非它们还连接到其他的支持LLDP的交换机上。如果在交换机上关闭LLDP或者在相关端口上禁用也会导致类似情况的发生。

三、交换设备群集的实现

交换设备的群集功能是开启的，在交换机上可以创建集群从而使之成为命令交换机，也可以将其加入一个集群中而成为成员交换机。一旦想要关闭集群功能，可以在特权模式下进行配置，首先进入全局配置模式，关闭集群功能，回到特权模式，验证并保存配置。如果交换机是命令交换机，关闭集群功能将删除集群，并且不能成为任何集群的候选交换机。如果交换机是成员交换机，关闭集群功能将使之退出集群，并且不能成为任何集群的候选交换机。如果交换机是候选交换机，关闭集群功能将使之不再能成为任何集群的候选交换机。可以通过全局配置模式下的命令来打开集群功能，也可以关闭交换机上的集群功能。

建立集群是配置集群的关键，可以通过在特权模式下来建立集群，同时使该交换机成为集群的命令交换机，还可以为其设置一个序号。在全局配置模式状态下设置命令交换机的序号。如果集群建立成功，可以使用命令更改集群的名称，但不能更改命令交换机的序号。可以在命令交换机的全局配置模式下执行命令删除集群。

如何发现跳数在集群的配置中非常重要，配置集群发现跳数时，发现跳数决定了命令交换机所能发现的候选交换机的范围，可以在交换机特权模式下通过以下步骤来配置发现跳数，首先进入全局配置模式设置发现跳数，可以在全局配置模式下执行命令no clusterdiscovery恢复为缺省值，该命令只能在命令交换机上执行。

在群集中为了及时地发现网络中的候选交换机，需要配置集群timer，配置后可以准确掌握成员交换机和候选交换机和命令交换机间的物理连接状况，命令交换机将每隔一段时间进行一次拓扑收集。该时间间隔由集群timer决定，默认情况下为12秒。在特权模式下，可以通过以下步骤来配置集群time，先进入全局配置模式，再设置时间间隔，时间间隔的范围是1-300，缺省值为12秒。如果要恢复为缺省值，可以在全局配置模式下执行命令。但该命令只能在命令交换机上才能执行成功。

最后一步就是配置群集的时间值，它是命令交换机所收集到的拓扑图以及所发现的候选交换机信息将会被保存一段时间，默认的时间值是两分钟。在交换机的特权配置模式下配置集群的holdtime。首先从特权模式进入全局配置模式后通过cluster holdtime命令进行holdtime时间的设置，注意时间范围是1-300，默认情况下的值为120秒。然后再回到特权模式，通过show cluster验证配置，可以在交换机的全局配置模式下执行命令no cluster恢复其缺省值，这一步的配置只能在命令交换机上才能执行成功。

四、维护交换设备群集的方法

交换设备群集实现并正常运行后，还需要对群集进行维护并有效管理整个集群，维护时可以通过为群集中的命令交换机分配一个网络地址。命令交换机可以拥有多个网络地址，通过其中任何一个地址都可以管理集群。群集中的成员交换机不需要地址。如果其不再属于任何群集时，就必须为其分配合理的IP地址。

(1)维护群集的密码。加入集群的交换机将继承命令交换机特权级别的密码，包括空密码，不管集换机以前有没有密码。如果成员交换机以前设置过特权级别的密码，在命令交换机上加入该成员时必须指明该密码，否则将无法加入。因此，可以不为即将加入集群的交换机设置密码。当交换机离开集群后，所继承的密码仍然保留。

(2)维护群集的认证名。交换设备群集的密码维护非常重要，但认证名的维护也很重要，除了密码外，成员交换机还将继承命令交换机的读和读写的认证名。假如命令交换机的认证名有多个，那么则继承第一个只读和读写的认证名。当交换机离开集群后，所继承的认证名继续保留。用户通过命令交换机认证名@mN来访问成员交换机，因此，维护群集的认证名对交换设备群集的安全运行至关重要。