局域网中的计算机往往都是连接到交换机设备上，并通过该设备进行相互交换、处理数据的，可以这样说，交换机工作状态的好坏会对局域网网络的整体运行性能产生直接的影响。

    一般来说，新投入使用的交换机设备工作性能往往比较稳定，很少会发生故障，可是，随着工作时间的延长，以及网络应用的不断变化，交换机出现故障的机率也在逐渐增大。
    为了提高交换故障的解决效率，保证局域网网络能够始终高效运行，现在就从实战角度出发，来对常见的三种交换故障进行还原解读，希望大家能够从中得到一些启发。
    1、应对缓存溢出故障
    某单位局域网共有两台普通交换机，每台交换机都通过百兆双绞线连接到单位的CISCO路由器设备上，并通过该设备访问Internet网络。平时每台交换机都连接有大约10台计算机，每台计算机都能通过交换机顺利地上网访问，最近不知道怎么回事，单位局域网中有的计算机可以正常上网，有的计算机却不能上网。
    起初的时候，网络管理员还以为是计算机自身的因素，可是，在对计算机系统的上网设置以及网络病毒进行检查后，发现都没有问题，使用ping命令测试本地IP地址也是正常的，但是在ping局域网的网关地址时，发现不正常，看来故障计算机到交换机之间的这段线路存在问题。
    会不会是物理线路的连通性存在问题呢？
    想到这一点，网络管理员立即使用网络测试仪，对连接计算机与交换机的双绞线连通性进行测试，结果发现它们的连通状态很正常。
    在排除了网络线路以及计算机自身因素后，网络管理员准备检查一下交换机的工作状态是否正常，当他来到交换机设备现场时，他发现其中一台交换机的所有端口信号灯状态都处于点亮但不闪烁状态，按理来说，交换机如果能够正常处理数据信息的话，那么对应交换端口的数据信号灯也应该处于闪烁状态，很明显现在交换端口点亮但不闪烁，这说明了该交换机的工作状态不正常。而反观另外一台交换机设备，网络管理员发现它们的交换端口只要被点亮，基本上都能处于闪烁状态，这说明这台交换机能够正常交换数据。经过进一步检查，网络管理员看到那些不能上网的计算机，基本上都是连接到那台工作状态不正常的交换机上的，看来局域网中部分计算机不能上网的故障现象是由交换机引起的。
    那么究竟是什么因素造成故障交换机的端口信号灯显示不正常呢？
    一般来说，造成这种端口信号灯状态显示不正常现象的原因主要有两方面，一方面就是交换机系统存在问题，例如受到网络病毒的攻击，或者工作时间长了之后出现了系统缓存溢出错误等，另外一方面就是交换机设备存在硬件问题，例如交换机服役时间比较长之后，它内部的性能元件容易发生老化现象，这些老化的元件也容易造成交换机工作状态不正常。
    通常，交换机的设置不发生变化，出现的一些“软”故障往往都能通过重新启动的方法来解决，依照这样的思路，网络管理员立即重新启动了一下故障交换机系统，没有多长时间，网络管理员观察到该故障的交换机端口工作状态已经恢复了正常，再次从故障计算机系统中尝试进行上网访问时，以前不能上网的故障现象立即消失了，这说明故障交换机的确存在类似缓存溢出这样的“软”故障，这样的故障造成了交换机的工作状态无法正常。
    如果每重新启动一段时间后，交换机又出现相同的故障现象时，那问题很可能是由局域网中的网络病毒引起的，因为有的网络病毒可能在一定时间内，会对交换机系统的内存或其他系统资源进行不停占用，最终导致交换机系统的资源全部被消耗殆尽，从而会引发局域网中的计算机不能上网的故障现象，为了避免网络病毒对交换机系统的冲击，我们应该在组建网络之前，认真选用质量可靠、性能稳定、缓存较大的设备，同时注意对局域网网络定期执行病毒清除操作。

    网络层加密

    你可以使用IPSec加密来保护网络中的VoIP数据，如果攻击者穿越了你的物理层防护措施，并截获了VoIP数据包，他们也无法破译其中的内容。IPSec使用认证头以及压缩安全有效载荷来为IP传输提供认证性、完整性以及机密性。

    VoIP上的IPSec使用隧道模式，对两头终端的身份进行保护。IPSec可以让VoIP通讯比使用传统的电话线更安全。

    会话层锁定

    你还可以使用TLS来保护VoIP会话，TLS使用的是数字签名和公共密钥加密，这意味着每一个端点都必须有一个可信任的、由权威CA认证的签名。或者你也可以通过一个内部CA(比如一台运行了认证服务的Windows服务器)来进行企业内部的通话，并经由一个公共CA来进行公司之外的通话。

    保护应用层

    你可以使用“安全RTP(SRTP)”来对应用层的介质进行加密。RFC 3711定义了SRTP，让它可以提供信息认证、机密性、回放保护、阻止对RTP数据流的拒绝服务式攻击等安全机制。通过SRTP，你可以对无线网和有线网上的VoIP通讯进行有效的保护。

    建立VoIP网络的冗余机制

    要时刻准备着可能会遭到病毒、DoS攻击，它们可能会导致网络系统瘫痪。构建能够设置多层节点、网关、服务器、电源及呼叫路由器的网络系统，并与不只一个供应商互联。经常性的对各个网络系统进行考验，确保其工作良好，当主服务网络瘫痪时，备用设施可以迅速接管工作。

    配备专用防火墙

    对一个IP网络来说，边界保护通常意味着使用防火墙，不过一个老旧的防火墙是不适合VoIP网络的。你需要一个特别设计的防火墙，他得能识别和分析VoIP协议，能对VoIP的数据包进行深度检查，并能分析VoIP的有效载荷以便发现所有和攻击有关的蛛丝马迹。

    如果你的VoIP部署使用了SIP协议(Session Initiation Protocol)，那么防火墙就应当能执行下述操作：监视进出的SIP信息，以便发现应用层次上的攻击，支持TLS(传输层安全)，执行基于SIP的NAT及介质端口管理，检测非正常的呼叫模式，记录SIP信息的详情，特别是未经授权的呼叫。

    内外网隔离

    将电话管理系统与网络系统置于国际互联网络直接访问之外是一个不错的选择，将语音服务与其它服务器置于相分离的域中，并限制对其访问。

    尽量减少软终端

    VoIP软终端电话易于遭受电脑黑客攻击，即使它位于公司防火墙之后，因为这种东西是与普通的PC、VoIP软件及一对耳机一起使用的。而且，软终端电话并没有将语音和数据分开，因此，易于受到病毒和蠕虫的攻击。

    限制所有的VoIP数据只能传输到一个VLAN上

    Cisco建议对语音和数据分别划分VLAN，这样有助于按照优先次序来处理语音和数据。划分VLAN也有助于防御费用欺诈、DoS攻击、窃听、劫持通信等。VLAN的划分使用户的计算机形成了一个有效的封闭的圈子，它不允许任何其它计算机访问其设备，从而也就避免了电脑的攻击，VoIP网络也就相当安全，即使受到攻击，也会将损失降到最低。

    监控并跟踪网络的通信模式

    监控工具和入侵探测系统能帮助用户识别那些侵入VoIP网络的企图。详细观察VoIP日志可以帮助发现一些不规则的东西，如莫名其妙的国际电话或是本公司或组织基本不联系的国际电话，多重登录试图破解密码，语音暴增等。