为了最直观地了解企业网络在过去几年中的变化,运维人员需要做的就是打开他们的网络流量监控工具,查看整个局域网、广域网和网络边缘的数据流的急剧变化。虽然这些数据流的转变有很大一部分是由于在过去18个月里远程办公而发生的,但其他的变化是通过计划中的云和边缘计算迁移而产生的。为了适应这些变化,提高了网络配置审计的重要性。
在许多情况下,运维人员正确地调整了交换、路由和防火墙的配置,以符合用户和设备现在的通信方式。但是,在进行这些配置修改的同时,旧的和过时的命令的删除可能会持续很长时间。尽管这些配置可能处于休眠状态,而且从性能/安全的角度来看,许多配置是良性的,但它们会造成混乱,往往会导致下一步的错误行动。由于这个原因,现在比以往任何时候都更需要进行彻底的网络配置审计,以便删除过时的配置,确保网络能够被所有网络操作和管理人员轻松理解和信任。让我们看看一些常见的过时配置的例子,这些配置可以让您提前开始网络审计过程。
交换机:已经合并或不再需要的虚拟局域网(VLAN)在交换机配置中停留的时间往往超过必要的时间。这在那些由于将应用程序、数据和数字服务迁移到云计算平台而缩小规模的数据中心尤其如此。手动指定哪些VLAN可以穿越连接的中继上行链路也应该被审查,并在必要时进行修剪。
路由器:虽然大多数网络使用动态路由协议来自动维护整个网络的最新最佳路径,但在一个或多个路由器/第三层交换机上配置静态路由的情况并不少见。随着时间的推移,这些网络目的地发生了变化或移动,而静态路由却被遗忘。这可能导致一种情况,即静态路由中列出的IP子网在企业局域网或广域网的其他地方被重新使用。如果发生这种情况,可能会导致网络的某些部分无法访问新形成的子网。同样,访问列表和策略通常是在路由器上配置的,以限制谁可以到达特定子网的设备。即使网络或交换机虚拟接口(SVI)被删除,访问列表的配置可能仍然存在。这可能会使路由器配置变得混乱,有时会使管理它们的管理员感到困惑。
防火墙:总的来说,与网络交换机和路由器相比,防火墙的配置受到更密切的监控和维护。然而,一些管理员选择禁用防火墙规则和接口,而不是直接删除它们。虽然这是一种可以理解的做法,因为快速重新启用配置的能力只需要点击几下就可以了,但被禁用的配置有可能停留数周、数月甚至数年。这可能导致管理员无意中启用了一个被禁用的命令,导致不必要的威胁暴露。
今天企业网络的使用方式与几年前相比发生了巨大的变化,网络设备上很可能有许多不再需要的配置。对于那些希望进行网络配置审计的人来说,关键是要有一个具体的执行计划,以便有条不紊地执行。此外,必须创建适当的审计和变更控制文件,目的是记录哪些配置被指定删除以及为什么。这将创建一个审计跟踪,在使用中的配置命令被意外删除时可以引用该跟踪。
