技术门诊是51CTO社区品牌栏目,每周邀请一位客座专家,为广大技术网友解答疑问。从热门技术到前沿知识,从技术答疑到职业规划。每期一个主题,站在最新最热的技术前沿为你引航!

  本期特邀工信部全国网管技能水平考试专家委成员、金牌网管师王达先生 ,针对网络设备配置与管理学习方法的问题给予解答,欢迎网友积极提问,与专家一起讨论!

【239期门诊集锦】网络设备配置与管理学习方法谈_第1张图片

王达的博客:http://winda.blog.51cto.com/
查看本期门诊精彩实录:
http://doctor.51cto.com/develop-253.html
参与最新技术门诊:http://doctor.51cto.com/develop-254.html

精选本期网友提问与专家解答,以供网友学习参考。

Q:王老师,你好!我主要维护的是本单位专网内的网络设备(主要是华为系列),路由器<30台,主要用到的是静态路由,开启了SNMP(仅仅只读模式),主要确保的是设备的联通性(路由可达)、可靠性、稳定性,目前很少做有关安全方面配置,目前没有出现安全事件,所以我想问一下老师如果做安全策略我应该做哪些呢?
A:
网络设备的安全策略主要包括以下几个方面,你可以选择地性使用:
(1)用户接入和访问控制:可通过像MAC地址认证、IP地址/MAC和端口绑定、802.1x认证、AAA策略等来保障;
(2)内容或访问过滤:可通过各种ACL来实现;
(3)ARP欺骗或***预防:可通过设备上的***检测系统,或者内容审核系统来预防;
(4)广播风暴抑制:可通过设置广播包比例,或者通过QoS策略降低广播包的优先级;
(5)内容欺骗保护:可通过QoS策略进行内容审核,确保只有符合特定优先级的包才可通过。
以上这些方面,我在的四本网络设备图书中均有详细的介绍。

Q:我的工作大部分是跟华为、h3c设备打交道,cisco少量,还有其他的一些,ipsec的***也比较多。就工作中遇到的一些疑问想请教您。
1、voip方面,对h323和sip协议架构的网络电话,如何统计语音网关上的通话量?对sip电话机的统计可以做到。
2、以前华为2403h和部分2000系列的交换机配置生成树协议的时候,show stp 后面没有brief选项,我想了解,可以通过升级bin文件实现这些功能吗?3、在多级互联的网络中,一个完整的配置快速生成树协议,考虑收敛和安全性情况下,需要配置哪些东西?
4、网络安全方面,目前我使用的nmap比较多进行端口扫描,类似其他的注入之类等没有深入学习,有开源的工具推荐?
5、配置asa5500防火墙的时候,配置ipsec***如何与华为的路由器进行兼容?能有案例,最好两端都有不能汇聚的网络段划分?
6、无线方面分享,华三的icg2000无线设备,无线客户端经常掉线,后经过升级bin后,解决这个问题。我想问的问题是,这个设备默认是30个客户端(说明性能有限),可以通过配置修改增加客户端,为保证客户上网的质量,那我想控制无线客户端的带宽和会话数,这个如何配置?

A:谢谢你的信任与关注!谈一下自己的一些观点。
第一个问题,因为我对语音这方面还没有太多研究,所以不能给你明确的解答,不好意思。
第二个问题,你可能打错了,应该是display stp,而不是show stp,华为的不是很清楚,H3C的自comware 5.0版本开始都有 brief这个关键字的。 可以通过升级bin文件来实现。
第三个问题,生成树方面主要需要配置的是生成树模式、根交换机和从根交换机,端口优先级和端口开销、hello包发送时间间隔、转发延时、MST区域,以及利用生成树进行负载均衡等方面,具体在我的《Cisco/H3C交换机配置与管理完全手册》(第二版)中有详细介绍。
第四个问题。注入方面我没还没有深入研究,所以不好意思,不能给你相应的工具推荐,但网上肯定有的,搜索一下应该就可以找到。
第五个问题。不好意思,在这里不可能提供这方面的大型配置案例。
第六个问题。我没用过你所用的这款华为无线设备。