物理層的智能設備智能布線具有更好的安全性

文│美國西蒙公司

任何網絡管理員都會告訴你進行網絡完整檔案記載的重要性。這個文件應記錄包括所有的工作站、IP地址、配置路由、防火墻參數等。但它對物理層的描述可能會達不到要求，尤其是比較老的網絡，在已經經受了很多次移動、添加和變更后，可能沒有最新的文件記載。在現實中，當危機發生時，這可能意味著是快速尋找到問題還是花費很多時間去尋找到問題之間的差別。

舉例說明，假設有一個客戶，其移動網絡裝置出現了一個問題，這個案例發生的背景是，公司在校園里有5座建筑物，筆記本電腦由于病毒的原因正在內部發起一個拒絕服務式的攻擊。交換機關閉接口，IT人員將進入電信間以確定故障設備的位置。但是當IT找到交換機，物理層問題來了，因為對線纜路徑了解的資料不足，將無法尋找筆記本電腦的位置，或者他們根據電纜路徑追蹤到該位置，卻發現筆記本電腦已經不在。筆記本電腦用戶覺得失去連接是由于網絡問題，每次他被關閉連接后，他就轉移到另一個地方，但是一段時間后，很快又失去連接。

在案例過程中，交換機在不斷的執行它們的工作——關閉接口，該用戶在不斷地想辦法排除他自己的問題，IT人員則在尋找他的位置以及糾正問題所陷入困境等，并且這個循環不斷繼續。該用戶覺得該樓層的設備很可能有一些特殊的設定，于是他轉移到另一層。在再次失去連接后，他覺得可能是這座大樓的安全設置上出了問題，于是他又轉移到另一座大樓，循環仍然在繼續。大約5小時之后，筆記本電腦及其用戶被發現，問題才得以解決。對于IT人員在說，這是5小時的混亂，對于用戶來說，這是5小時的挫敗感。

另外一個場景里，對標準的遵守和整體網絡安全也會在物理層上大打折扣。大部分公司都會有一些公用的桌子和小房間，這些房間和桌子大部分是閑置的，流動的雇員使用。擁有可用端口的會議室也可能構成威脅，對于很多必須遵循規則的行業用戶來說，這些開放端口可能導致一個公司安全審核的失敗，除非他們完全關閉或者只允許某些特定的用戶通過這些接口進入該網絡。另外選擇是使用防火墻，使這些接口與實際網絡隔開，這意味著授權的網絡用戶每次想要利用接口，都要重新配置。所有這些風險和它們的補救辦法，對于一個IT管理者而言都是負擔。

在數據中心和電信領域里，技術人員也會制造一些額外的風險，當他們不小心拔下一些不該拔的插頭。假設偶然斷開的是一個VoIP交換機或一個關鍵服務器，就像最近在新聞里多次播報的那樣，如果一個裝置脫離了一臺存有關鍵信息的設施會有什么樣的后果？網絡管理員如何知道誰進入了網絡？他們訪問了哪些網絡？這些操作如何被記錄下來？最后，發生的移動、添加和變更如何處理？

1 智能回答

智能配線的使用已經有一段時間，功能較之原來的版本也有所改善。在上述的情況下，使用一個智能基礎設施管理系統，如在MapIT?系統上將允許網絡管理員用鼠標點擊該出錯的設備，就能瀏覽整個信道，甚至在建筑的圖紙上找到該設備。

通過加入物理層，網絡管理者不再只局限于上層信息。知道了MAC地址、IP地址和登陸信息肯定是有益的，但如果物理層檔案與實際基礎設施不同步，那么尋找問題設備可能是一個艱巨的任務，MapIT G2智能配線彌補了這個缺口。

2 系統如何運作

該系統通過帶傳感器的硬件（MapIT）和軟件協同工作。在硬件方面，MapIT G2的智能銅纜配線架和光纖配線箱在每個端口上都配置了一個傳感芯片。MapIT G2的跳線有一個標準的RJ45接口或標準的光纖連接器，還包括一個“第九針”，旨在接觸傳感芯片。跳線上額外的第九針連接，使系統可以檢測到物理層的實時變化。這些實時信息首先在智能銅纜配線架和光纖配線箱中得到處理，并顯示在智能配線架的圖形液晶顯示屏上，用于指示跳線連接、診斷和操作菜單。一根單頭的跳接線將智能配線架與1U的MapIT G2主控制器連接起來。一個1U的MapIT G2主控制器即可管理2880個端口，并把信息轉給運行了MapIT IM管理軟件的中央數據庫。

該軟件是在每個端口的基礎上購買，并作為一個單獨的應用程序來工作，或可與現有的網絡管理程序包相結合。在一個集成配置中，設備和它的信道可以通過網絡管理程序來得到追蹤，如HP OpenView。對設備一個簡單右擊，MapIT IM軟件便可顯示對物理層線纜的即時追蹤。追蹤包括信道的所有信息，還可以在CAD圖紙上顯示設備的物理位置。

該軟件通過SNMP讀取網絡設備識別信息，并根據用戶設定的參數發送SNMP（包括第3版）包，用以關閉某些端口。當物理層被包括在內時，這個軟件提供了很大的益處。例如，如果你想要知道網絡上每一臺運行Windows 2000的PC機的位置，它會以圖表形式以及報告格式展現在你的面前。

虛擬配線架（VWC）模塊提供了一些關于電信機架的文檔記載，包括連接、快接跳線長度、每個設備連接的位置等。MapIT G2的益處是追蹤MAC的工作，而無需手工操作去更新電子表格和文檔記載，還包括一個為建立工單的工作單模塊。工作單可以被迅速派送，并顯示在工作現場的智能配線架的顯示屏上，而且所做的任何改動都將被自動追蹤，管理者即刻知道該工作是何時完成。

這也可以與其他安全系統結合，如NetBotz?（屬于APC?）或攝像頭。基于用戶定義的觸發機制，例如有人拔出一個VoIP交換機插頭，照相機可抓拍圖片并將其寫到日志中，管理軟件將如你所期望的，通過電子郵件、手機或傳呼機提供警報，如無響應還可逐步升級警報。接觸機制可以從門一直到房間、機柜等，一旦連接被打破，同樣類型的日志會出現，包括日志中的照片、日期和時間，還有操作者的攝影、錄像證據。

這些都只是MapIT G2的一小部分功能，就像你看到的，他們是重要而有益的。如果我們回到開始的例子—在校園里，一個簡單的右擊，將節省5個小時追蹤用戶的時間。不僅是文檔記錄被實時更新，讓網絡管理員知道交換機在大樓中的端接位置，而且還可以以圖表形式顯示出來。

就安全性及所需遵守的相關規定而言，所增設的文檔記載和記錄能力不僅可以提高公司的安全地位，也回應了許多關于遵守相關文檔和訪問記錄的要求。畢竟，大部分的故障排除和調查都是從誰、是什么、何地、何時、為何以及如何開始的。通過將物理層加入到你的整體管理中，這些問題的答案會變得更容易，也更徹底。