交换机系统重新启动成功并更新好了VRP平台软件后，应该进行认真而仔细的对更新好的软件进行深一步的维护，那么下面就对交换机系统做一下自己的见解和看法。

交换机是局域网中的一种核心的网络终端，那么维护好交换机系统也变得十分的重要了，为了让局域网网络能够更稳定地工作，我们时常需要对交换机设备进行合理调教，确保该设备始终能够高效地运行。

定期升级让交换机永葆活力

笔者曾经遭遇一则网络频繁中断故障，每次只有重新启动交换机系统才能解决问题;在仔细排查流量异常、网络病毒等因素后，又请ISP运营商对上网线路进行了测试，结果显示上网线路也没有任何问题。

在毫无头绪的情况下，笔者突然想起该交换机设备已经连续工作了很多年，软件系统的版本比较低，会不会是由于版本太低的原因导致了交换机系统活力不足呢?为了验证自己的猜测是否正确。

笔者立即以系统管理员身份登录进入交换机后台管理界面，在该界面的命令行状态下执行了"displaycpu"命令，发现交换机系统的CPU占用率一直在95%以上，这难怪连接到该交换机中的工作站不能上网了;

之后，笔者又在命令行状态下执行了"displayversion"命令，从其后的结果界面中，笔者发现交换机系统的VRP平台软件版本果然比较低，马上到对应交换机设备的官方网站中下载最新版本的平台软件，并开始对交换机系统软件进行升级。

由于单位使用的交换机支持远程管理功能，为此笔者采用了最为常见的FTP方式进行升级的;在正式升级之前，笔者先查看了一下目标交换机Flash存储器的剩余空间大小，要是剩余空间不多的话，需要删除一些过时的文件，不然的话最新的交换机升级包程序将无法上传到交换机系统中。

在确认Flash存储器剩余空间足够后，笔者将自己使用的普通工作站当成是FTP服务器，将交换机设备看成是客户端系统，如此一来笔者不需要对交换机设备进行任何配置，就能很轻易地架设好一台FTP服务器了，此时笔者就能从交换机上登录到FTP服务器上，利用FTP命令将事先下载保存到本地普通工作站上的最新VRP平台软件下载保存到交换机的Flash存储器中了。

为了防止平台软件升级失败，笔者又对原始的交换机配置文件备份了一下，毕竟交换机设备从低版本升级到高版本时，由于命令行上的差异，可能会造成部分交换机配置信息发生丢失，这个时候对旧配置文件进行备份是相当有必要的。

之后，笔者使用boot命令，指定交换机系统在下次启动时自动调用最新的平台软件，当交换机系统重新启动成功并更新好了VRP平台软件后，又对照以前的配置将交换机系统重新配置了一下，交换机的工作状态立即恢复正常了。

而且很长一段时间后，笔者发现该系统的CPU占用率一直为15%左右，这说明交换机平台软件升级到最新版本后，确实可以让交换机永葆活力。所以，当局域网交换机工作状态一直不稳定时，我们应该及时检查一下对应平台软件的版本高低，一旦发现交换机系统版本较低时，必须及时对其进行升级，这样能够解决许多由交换机自身性能引起的隐性故障现象。

搜集可疑流量。一旦可疑流量被监测到，我们需要捕获这些数据包来判断这个不正常的流量到底是不是发生了新的蠕虫攻击。正如上面所述，Netflow并不对数据包做深层分析。

我们需要网络分析工具或入侵检测设备来做进一步的判断。但是，如何能方便快捷地捕获可疑流量并导向网络分析工具呢?速度是很重要的，否则你就错过了把蠕虫扼杀在早期的机会。除了要很快定位可疑设备的物理位置，还要有手段能尽快搜集到证据。

我们不可能在每个接入层交换机旁放置网络分析或入侵检测设备，也不可能在发现可疑流量时扛着分析仪跑去配线间。有了上面的分析，下面我们就看如何利用Catalyst的功能来满足这些需要!

检测可疑流量Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能，采集流经网络的流量信息。这些信息采集和统计都通过硬件ASCI完成，所以对系统性能没有影响。 Catalyst 4500 Sup V-10GE缺省就带了Netflow卡，所以不需增加投资。

追踪可疑源头，Catalyst 集成的安全特性提供了基于身份的网络服务(IBNS)，以及DHCP监听、源IP防护、和动态ARP检测等功能。这些功能提供了用户的IP地址和MAC地址、物理端口的绑定信息，同时防范IP地址假冒。这点非常重要，如果不能防范IP地址假冒，那么Netflow搜集到的信息就没有意义了。

用户一旦登录网络，就可获得这些信息。结合ACS,还可以定位用户登录的用户名。在Netflow 收集器(Netflow Collector)上编写一个脚本文件，当发现可疑流量时，就能以email的方式。

把相关信息发送给网络管理员。在通知email里，报告了有不正常网络活动的用户CITG, 所属组是CITG-1(这是802.1x登录所用的)。接入层交换机的IP地址是10.252.240.10,物理接口是FastEthernet4/1.

另外还有客户端IP地址和MAC地址 ,以及其在5分钟内(这个时间是脚本所定义的)发出的flow和PACket数量。掌握了这些信息后，网管员就可以马上采取以下行动了：通过远程SPAN捕获可疑流量。Catalyst接入层交换机系统上所支持的远程端口镜像功能可以将流量捕获镜像到一个远程交换机上。

例如将接入层交换机系统上某个端口或VLAN的流量穿过中继镜像到分布层或核心层的某个端口，只需非常简单的几条命令即可完成。流量被捕获到网络分析或入侵检测设备(例如Cat6500集成的网络分析模块NAM或IDS模块)，作进一步的分析和做出相应的动作。