網路配置審計比以往更重要

為了最直觀地瞭解企業網路在過去幾年中的變化，運維人員需要做的就是開啟他們的網路流量監控工具，檢視整個區域網、廣域網和網路邊緣的資料流的急劇變化。雖然這些資料流的轉變有很大一部分是由於在過去18個月裡遠端辦公而發生的，但其他的變化是透過計劃中的雲和邊緣計算遷移而產生的。為了適應這些變化，提高了網路配置審計的重要性。

在許多情況下，運維人員正確地調整了交換、路由和防火牆的配置，以符合使用者和裝置現在的通訊方式。但是，在進行這些配置修改的同時，舊的和過時的命令的刪除可能會持續很長時間。儘管這些配置可能處於休眠狀態，而且從效能/安全的角度來看，許多配置是良性的，但它們會造成混亂，往往會導致下一步的錯誤行動。由於這個原因，現在比以往任何時候都更需要進行徹底的網路配置審計，以便刪除過時的配置，確保網路能夠被所有網路操作和管理人員輕鬆理解和信任。讓我們看看一些常見的過時配置的例子，這些配置可以讓您提前開始網路審計過程。

交換機：已經合併或不再需要的虛擬區域網(VLAN)在交換機配置中停留的時間往往超過必要的時間。這在那些由於將應用程式、資料和數字服務遷移到雲端計算平臺而縮小規模的資料中心尤其如此。手動指定哪些VLAN可以穿越連線的中繼上行鏈路也應該被審查，並在必要時進行修剪。

路由器：雖然大多數網路使用動態路由協議來自動維護整個網路的最新最佳路徑，但在一個或多個路由器/第三層交換機上配置靜態路由的情況並不少見。隨著時間的推移，這些網路目的地發生了變化或移動，而靜態路由卻被遺忘。這可能導致一種情況，即靜態路由中列出的IP子網在企業區域網或廣域網的其他地方被重新使用。如果發生這種情況，可能會導致網路的某些部分無法訪問新形成的子網。同樣，訪問列表和策略通常是在路由器上配置的，以限制誰可以到達特定子網的裝置。即使網路或交換機虛擬介面(SVI)被刪除，訪問列表的配置可能仍然存在。這可能會使路由器配置變得混亂，有時會使管理它們的管理員感到困惑。

防火牆：總的來說，與網路交換機和路由器相比，防火牆的配置受到更密切的監控和維護。然而，一些管理員選擇禁用防火牆規則和介面，而不是直接刪除它們。雖然這是一種可以理解的做法，因為快速重新啟用配置的能力只需要點選幾下就可以了，但被禁用的配置有可能停留數週、數月甚至數年。這可能導致管理員無意中啟用了一個被禁用的命令，導致不必要的威脅暴露。

今天企業網路的使用方式與幾年前相比發生了巨大的變化，網路裝置上很可能有許多不再需要的配置。對於那些希望進行網路配置審計的人來說，關鍵是要有一個具體的執行計劃，以便有條不紊地執行。此外，必須建立適當的審計和變更控制檔案，目的是記錄哪些配置被指定刪除以及為什麼。這將建立一個審計跟蹤，在使用中的配置命令被意外刪除時可以引用該跟蹤。