我们设置并配置许多思科网络设备,主要有ASA防火墙和各种2层和3层交换机。我们使用最佳的全球实践经验,努力地做好这些配置,并且我们还关注安全性和可管理性以及在可靠性和标准化之间取得平衡。然而,看起来好像只有我们在做这些事情,并且我们惊讶地发现有许多客户和其它服务供应商将这些设备拿到手就用(不进行任何配置/设置)。

思科是全球网络设备供应商领军企业,在标准的、长期激活的系统如IOS方面有多年的历史经验,并且有许多关键软件也使用它们的设备。其结果是,许多多年前甚至是数十年前的决定和默认值我们至今仍旧在使用,不能取得理想的结果。

此外,思科IOS必须支持各种类型、各种规模以及不同架构的系统类型,从简单的办公LAN交换机到巨大的复杂的校园、数据中心以及装载系统。有各种不同的特色、功能、管理、故障转移等。最主要的警告是,这个给人留下深刻印象的软件很难合理地设置和配置,以便符合各种运行所需。尤其是思科的缺省配置,虽然随着时间流逝,已经改善了许多,但是仍旧不够理想甚至不够安全。

所以,默认的思科2960交换机配置是最基本的配置,根本就不算是实质性的配置。您可以像许多人一样,把它当作傻瓜交换机使用,将交换机直接拿出来就用。可能您会根据需要增加一个或两个VLAN,然后就希望它能够把所有事情都做好。ASA防火墙也存在同样的问题,虽然有防火墙的作用,默认设置也是比较安全的,但是仍旧缺少了许多功能。

但是云络不是这样做的。我们花了许多时间分析我们自己的经验并且研读思科安全手册、配置手册以及最佳实践博客文章,以便尽可能地为我们的客户创建最好的配置。这项工作需要几个月的时间并且需要阅读上千页的批判性材料,只有这样才能发现最关键的组件及最好的设置。我们有许多页阐述了默认配置,我们已经将这些配置谨慎地记载成文,这些配置适合于我们所发现或构建的各种架构和各种情况下使用。

我们也谨慎地确定我们是否画蛇添足,比如当一台服务器的安全性做的过于强大的话,就难以管理并且容易崩溃。比如说,我们已经从最近的系统中移除了MAC 锁定,因为这个功能没有什么用处并且会带来许多麻烦,反正在云系统中根本就毫无用处。STP根网桥也存在相同的情况,因为许多人不理解它的用途,并且在不同的架构下,STP根网桥有不同的形式,如果配置不当的话,还会造成严重的宕机。

我们的配置随着时间流逝不断地得以改进,并且在2013年底又进行了一次革新,在我们的设计系统中,形成了一组新的基本的标准化的配置,能够满足特定客户的配置要求。最新的配置包括所有名称,VLAN、IP、NAT以及更多的东西,适合于使用在任何一个特定的系统中。我们将这些配置整合到一起,形成了世界一流的标准化的配置,但是这些配置可以转变成某些特定的配置以便在特定的生产环境下使用。

我们还有一整套的测试实验室,配备了2层和3层交换机、防火墙、测试客户端、服务器以及维护机器。我们可以加载我们的配置以及实际的生产IP,以便测试新系统的每个部分,尤其是复杂的NAT、故障转移以及路由安排。

最后,人们通常会过分地注重或忽视网络设备配置,这会成为长期的潜在的安全问题和其它问题的隐患。我们努力地工作,做正确的事情,以便为我们的客户提供最佳的配置。如果您对我们的配置感兴趣,想了解一下或共享一下您的观点,那么,请给我们留言吧,因为只有分享才能够使我们携手合作,为所有人创建更安全、更可靠的互联网。