【239期门诊集锦】网络设备配置与管理学习方法谈

    技术门诊是51CTO社区品牌栏目，每周邀请一位客座专家，为广大技术网友解答疑问。从热门技术到前沿知识，从技术答疑到职业规划。每期一个主题，站在最新最热的技术前沿为你引航！

  本期特邀工信部全国网管技能水平考试专家委成员、金牌网管师王达先生 ,针对网络设备配置与管理学习方法的问题给予解答，欢迎网友积极提问，与专家一起讨论！

王达的博客：http://winda.blog.51cto.com/
查看本期门诊精彩实录：http://doctor.51cto.com/develop-253.html
参与最新技术门诊：http://doctor.51cto.com/develop-254.html

精选本期网友提问与专家解答，以供网友学习参考。

Q：王老师，你好！我主要维护的是本单位专网内的网络设备（主要是华为系列），路由器<30台，主要用到的是静态路由，开启了SNMP（仅仅只读模式），主要确保的是设备的联通性（路由可达）、可靠性、稳定性，目前很少做有关安全方面配置，目前没有出现安全事件，所以我想问一下老师如果做安全策略我应该做哪些呢？
A：网络设备的安全策略主要包括以下几个方面，你可以选择地性使用：
（1）用户接入和访问控制：可通过像MAC地址认证、IP地址/MAC和端口绑定、802.1x认证、AAA策略等来保障；
（2）内容或访问过滤：可通过各种ACL来实现；
（3）ARP欺骗或***预防：可通过设备上的***检测系统，或者内容审核系统来预防；
（4）广播风暴抑制：可通过设置广播包比例，或者通过QoS策略降低广播包的优先级；
（5）内容欺骗保护：可通过QoS策略进行内容审核，确保只有符合特定优先级的包才可通过。
以上这些方面，我在的四本网络设备图书中均有详细的介绍。

Q：我的工作大部分是跟华为、h3c设备打交道，cisco少量，还有其他的一些，ipsec的***也比较多。就工作中遇到的一些疑问想请教您。
1、voip方面，对h323和sip协议架构的网络电话，如何统计语音网关上的通话量？对sip电话机的统计可以做到。
2、以前华为2403h和部分2000系列的交换机配置生成树协议的时候，show stp 后面没有brief选项，我想了解，可以通过升级bin文件实现这些功能吗？3、在多级互联的网络中，一个完整的配置快速生成树协议，考虑收敛和安全性情况下，需要配置哪些东西？
4、网络安全方面，目前我使用的nmap比较多进行端口扫描，类似其他的注入之类等没有深入学习，有开源的工具推荐？
5、配置asa5500防火墙的时候，配置ipsec***如何与华为的路由器进行兼容？能有案例，最好两端都有不能汇聚的网络段划分？
6、无线方面分享，华三的icg2000无线设备，无线客户端经常掉线，后经过升级bin后，解决这个问题。我想问的问题是，这个设备默认是30个客户端（说明性能有限），可以通过配置修改增加客户端，为保证客户上网的质量，那我想控制无线客户端的带宽和会话数，这个如何配置？
A：谢谢你的信任与关注！谈一下自己的一些观点。
第一个问题，因为我对语音这方面还没有太多研究，所以不能给你明确的解答，不好意思。
第二个问题，你可能打错了，应该是display stp，而不是show stp，华为的不是很清楚，H3C的自comware 5.0版本开始都有 brief这个关键字的。 可以通过升级bin文件来实现。
第三个问题，生成树方面主要需要配置的是生成树模式、根交换机和从根交换机，端口优先级和端口开销、hello包发送时间间隔、转发延时、MST区域，以及利用生成树进行负载均衡等方面，具体在我的《Cisco/H3C交换机配置与管理完全手册》（第二版）中有详细介绍。
第四个问题。注入方面我没还没有深入研究，所以不好意思，不能给你相应的工具推荐，但网上肯定有的，搜索一下应该就可以找到。
第五个问题。不好意思，在这里不可能提供这方面的大型配置案例。
第六个问题。我没用过你所用的这款华为无线设备。

Q:王老师，您好。对于网络设备的配置与管理，说实话，我学习这些知识也有一段时间了，纯学思科差不多就一年左右，期间还报过一些专业的培训机构进行过培训，也算是自学加培训的组合学习方式吧。但就至今而言，我依旧很难分析出一些关于网络上的那些协议的知识。
比如说什么样的环境适合配置STP生成树，VTP域等，什么样的网络环境适合配置比如像RIP,RIPv2，OSPF,ISIS，BGP等这些协议等。说实话，学了好多的协议和配置方面的命令，但就在使用的时候，或多或少的知道怎么去用，但就是不知道为什么要这样去用，这么用了对现实的生产运行环境会带来什么价值，客户究其原因的时候就有点不知错所了。有时候客户就会问到说你配置这些东西是为什么呢？我往往就不知该如何作答了，说实话，当时我的心里就一句话（老师当初就是这么教的，我就是这么学的！）但这也不能说出来呀，您说是吧！还望王老师赐教啊！
A：你所涉及的问题估计很多人都有过，都是知其然，不知其所以然。这原因可能有两方面：一是你们所看的书中并没有介绍对应技术是为了解决什么问题的，或者说是用来做什么的；二是你们在学的时候也没有多问一个“为什么”。
因为设备技术、功能非常多，不可能全面给你说明，所以在这里也仅就你提到的几个方面进行解释。像STP它主要是用来解决网络中可能存在二层环路的问题，那么什么情况下可能存在二层环路呢？太多了，如核心交换机间的互联(主要是为了提供务份链路的)，因为每台核心交换机下面都会连接汇聚层交换机，这样一来下面交换机发来的帧，到达核心交换机时就可能形成一个死循环，因为此时存在一个天角形的环路，还有在一些口字形结构的网络或者某个网段都可能存在二层环路。STP技术就可以在不影响备份链路发生作用的同时，又能剪断环路。
VTP就更简单了，它是用来为我们提供VLAN配置中继的协议，通过它我们就可以把一台交换机上的VLAN配置自动复制到相邻交换机上，大大减轻了我们的人工配置工作量。至于你所说的VLAN域它就是一个VLAN配置中继的范围，也就是某个VLAN配置可以在哪些交换机上自动复制，如果没有设置域的话，只要在交换机上启用VTP协议，则相互连接的所有交换机上都会自动复制同样的VLAN配置，这可能又不是我们所需要的。
RIP和RIPv2只是版本上的不同，v2版本最大的不同就是它支持无类别网络，也就是VLSM,这样它就可支持无类别路由及路由汇总了，这就是它最大的改进。另外RIP/RIPv2路由我们知道它最大的路径就是16跳，很显然它只适用于小型的网络路由。
至于OSPF\IS-IS\BGP这三种路由协议，它们都可以支持大型的网络路由，但它们采用的路由算法不完全一样，所适用的网络环境也不完全一样。OSPF是链路状态路由算法，是根据网络路径中链路的开销值来选择最佳最径的，它不仅适用于内部网络，还适用于广域网络IS-IS是自泽系统内部的路由，所以它适用于同一组织内部的网络路由；BGP是一个边界网关的路径矢量路由协议，很显然它主要是适用不同组织间网络的路由，但也有iBGP协议，它也可适用于组织内部网络的路由。综来看。OSPF的应用最广，既可以在组织内部网络中使用，又可以用来连接外部网络，IS-IS仅适用于组织内部网络的路由，而BGP则仅适用于不同组织网络间的路由，其中的iBGP适用于组织内部的网络路由。
如果你还没有看我的书的话，建议你看一下本期门诊中所列的这四本网络设备图书，或者对你理解这些问题有所帮助。但学习的同时一定要加强自己的学习总结能力，多问一个为什么。或许有些问题在书中并没有明确说出，但仍然可以从书的内容中总结得出。