技术门诊是51CTO社区品牌栏目,每周邀请一位客座专家,为广大技术网友解答疑问。从热门技术到前沿知识,从技术答疑到职业规划。每期一个主题,站在最新最热的技术前沿为你引航!

  本期特邀工信部全国网管技能水平考试专家委成员、金牌网管师王达先生 ,针对网络设备配置与管理学习方法的问题给予解答,欢迎网友积极提问,与专家一起讨论!

【239期门诊集锦】网络设备配置与管理学习方法谈_第1张图片

王达的博客:http://winda.blog.51cto.com/
查看本期门诊精彩实录:http://doctor.51cto.com/develop-253.html
参与最新技术门诊:http://doctor.51cto.com/develop-254.html

精选本期网友提问与专家解答,以供网友学习参考。

Q:王老师,你好!我主要维护的是本单位专网内的网络设备(主要是华为系列),路由器<30台,主要用到的是静态路由,开启了SNMP(仅仅只读模式),主要确保的是设备的联通性(路由可达)、可靠性、稳定性,目前很少做有关安全方面配置,目前没有出现安全事件,所以我想问一下老师如果做安全策略我应该做哪些呢?
A:网络设备的安全策略主要包括以下几个方面,你可以选择地性使用:
(1)用户接入和访问控制:可通过像MAC地址认证、IP地址/MAC和端口绑定、802.1x认证、AAA策略等来保障;
(2)内容或访问过滤:可通过各种ACL来实现;
(3)ARP欺骗或***预防:可通过设备上的***检测系统,或者内容审核系统来预防;
(4)广播风暴抑制:可通过设置广播包比例,或者通过QoS策略降低广播包的优先级;
(5)内容欺骗保护:可通过QoS策略进行内容审核,确保只有符合特定优先级的包才可通过。
以上这些方面,我在的四本网络设备图书中均有详细的介绍。

Q:我的工作大部分是跟华为、h3c设备打交道,cisco少量,还有其他的一些,ipsec的***也比较多。就工作中遇到的一些疑问想请教您。
1、voip方面,对h323和sip协议架构的网络电话,如何统计语音网关上的通话量?对sip电话机的统计可以做到。
2、以前华为2403h和部分2000系列的交换机配置生成树协议的时候,show stp 后面没有brief选项,我想了解,可以通过升级bin文件实现这些功能吗?3、在多级互联的网络中,一个完整的配置快速生成树协议,考虑收敛和安全性情况下,需要配置哪些东西?
4、网络安全方面,目前我使用的nmap比较多进行端口扫描,类似其他的注入之类等没有深入学习,有开源的工具推荐?
5、配置asa5500防火墙的时候,配置ipsec***如何与华为的路由器进行兼容?能有案例,最好两端都有不能汇聚的网络段划分?
6、无线方面分享,华三的icg2000无线设备,无线客户端经常掉线,后经过升级bin后,解决这个问题。我想问的问题是,这个设备默认是30个客户端(说明性能有限),可以通过配置修改增加客户端,为保证客户上网的质量,那我想控制无线客户端的带宽和会话数,这个如何配置?
A:谢谢你的信任与关注!谈一下自己的一些观点。
第一个问题,因为我对语音这方面还没有太多研究,所以不能给你明确的解答,不好意思。
第二个问题,你可能打错了,应该是display stp,而不是show stp,华为的不是很清楚,H3C的自comware 5.0版本开始都有 brief这个关键字的。 可以通过升级bin文件来实现。
第三个问题,生成树方面主要需要配置的是生成树模式、根交换机和从根交换机,端口优先级和端口开销、hello包发送时间间隔、转发延时、MST区域,以及利用生成树进行负载均衡等方面,具体在我的《Cisco/H3C交换机配置与管理完全手册》(第二版)中有详细介绍。
第四个问题。注入方面我没还没有深入研究,所以不好意思,不能给你相应的工具推荐,但网上肯定有的,搜索一下应该就可以找到。
第五个问题。不好意思,在这里不可能提供这方面的大型配置案例。
第六个问题。我没用过你所用的这款华为无线设备。

Q:王老师,您好。对于网络设备的配置与管理,说实话,我学习这些知识也有一段时间了,纯学思科差不多就一年左右,期间还报过一些专业的培训机构进行过培训,也算是自学加培训的组合学习方式吧。但就至今而言,我依旧很难分析出一些关于网络上的那些协议的知识。
比如说什么样的环境适合配置STP生成树,VTP域等,什么样的网络环境适合配置比如像RIP,RIPv2,OSPF,ISIS,BGP等这些协议等。说实话,学了好多的协议和配置方面的命令,但就在使用的时候,或多或少的知道怎么去用,但就是不知道为什么要这样去用,这么用了对现实的生产运行环境会带来什么价值,客户究其原因的时候就有点不知错所了。有时候客户就会问到说你配置这些东西是为什么呢?我往往就不知该如何作答了,说实话,当时我的心里就一句话(老师当初就是这么教的,我就是这么学的!)但这也不能说出来呀,您说是吧!还望王老师赐教啊!
A:你所涉及的问题估计很多人都有过,都是知其然,不知其所以然。这原因可能有两方面:一是你们所看的书中并没有介绍对应技术是为了解决什么问题的,或者说是用来做什么的;二是你们在学的时候也没有多问一个“为什么”。
因为设备技术、功能非常多,不可能全面给你说明,所以在这里也仅就你提到的几个方面进行解释。像STP它主要是用来解决网络中可能存在二层环路的问题,那么什么情况下可能存在二层环路呢?太多了,如核心交换机间的互联(主要是为了提供务份链路的),因为每台核心交换机下面都会连接汇聚层交换机,这样一来下面交换机发来的帧,到达核心交换机时就可能形成一个死循环,因为此时存在一个天角形的环路,还有在一些口字形结构的网络或者某个网段都可能存在二层环路。STP技术就可以在不影响备份链路发生作用的同时,又能剪断环路。
VTP就更简单了,它是用来为我们提供VLAN配置中继的协议,通过它我们就可以把一台交换机上的VLAN配置自动复制到相邻交换机上,大大减轻了我们的人工配置工作量。至于你所说的VLAN域它就是一个VLAN配置中继的范围,也就是某个VLAN配置可以在哪些交换机上自动复制,如果没有设置域的话,只要在交换机上启用VTP协议,则相互连接的所有交换机上都会自动复制同样的VLAN配置,这可能又不是我们所需要的。
RIP和RIPv2只是版本上的不同,v2版本最大的不同就是它支持无类别网络,也就是VLSM,这样它就可支持无类别路由及路由汇总了,这就是它最大的改进。另外RIP/RIPv2路由我们知道它最大的路径就是16跳,很显然它只适用于小型的网络路由。
至于OSPF\IS-IS\BGP这三种路由协议,它们都可以支持大型的网络路由,但它们采用的路由算法不完全一样,所适用的网络环境也不完全一样。OSPF是链路状态路由算法,是根据网络路径中链路的开销值来选择最佳最径的,它不仅适用于内部网络,还适用于广域网络IS-IS是自泽系统内部的路由,所以它适用于同一组织内部的网络路由;BGP是一个边界网关的路径矢量路由协议,很显然它主要是适用不同组织间网络的路由,但也有iBGP协议,它也可适用于组织内部网络的路由。综来看。OSPF的应用最广,既可以在组织内部网络中使用,又可以用来连接外部网络,IS-IS仅适用于组织内部网络的路由,而BGP则仅适用于不同组织网络间的路由,其中的iBGP适用于组织内部的网络路由。
如果你还没有看我的书的话,建议你看一下本期门诊中所列的这四本网络设备图书,或者对你理解这些问题有所帮助。但学习的同时一定要加强自己的学习总结能力,多问一个为什么。或许有些问题在书中并没有明确说出,但仍然可以从书的内容中总结得出。