[135期]金牌網管實戰篇:Cisco/H3C交換機配置與管理
原創交換機的配置一直以來是非常神秘的,不僅對于一般用戶,對于絕大多數網管人員來說也是如此,同時也是作為網管水平高低衡量的一個重要而又基本的標志。這主要在兩個原因,一是絕大多數企業所配置的交換機都是桌面非網管型交換機,根本不需任何配置,純屬"傻瓜"型,與集線器一樣,接上電源,插好網線就可以正常工作;另一方面多數中、小企業老總對自己的網管員不是很放心,所以即使購買的交換機是網管型的,也不讓自己的網管人員來配置,而是請廠商工程師或者其它專業人員來配置,所以這些中、小企業網管員也就很難有機會真正自己動手來配置一臺交換機。 交換機的詳細配置過程比較復雜,而且具體的配置方法會因不同品牌、不同系列的交換機而有所不同.所以,我們不可能通曉所有交換機的配置和管理方法,我們懂得通用配置方法就行,有了這些通用配置方法,我們就能舉一反三,融會貫通。
技術門診是51CTO社區品牌欄目,每周邀請一位客座專家,為廣大技術網友解答疑問。從熱門技術到前沿知識,從技術答疑到職業規劃。每期一個主題,站在最新最熱的技術前沿為你引航!
本期門診特邀著名IT暢銷書作者、網絡技術領域專家王達老師與我們一起暢談交換機的配置與管理中的經驗及疑難問題。
專家介紹:
姓 名:王達
擅長領域:網絡工程設計、企業網絡管理、網絡安全、硬件服務器
著名IT暢銷書作者、網絡技術領域專家。51CTO"博客之星"、"讀者最喜愛IT圖書作者"、"2008年度IT最佳原創作者"、"電子工業出版社優秀作者"。是經久暢銷全國的《網管員必讀》和《網絡工程師必讀》兩系列叢書作者,全國網管技能水平考試指定教材--《金牌網管師》系列作者,國家"網管師"認證專家團副主任。多本圖書輸出并多次重印,獲得過"輸出版優秀圖書獎"、"全行業最暢銷品種獎"等多項行業級大獎。主要技術專長體現在網絡工程設計、企業網絡管理、網絡安全、硬件服務器與網絡存儲等。
查看本期門診精彩實錄:http://doctor.51cto.com/develop.php?cid=148
參與最新技術門診:http://doctor.51cto.com/
精選本期網友提問與專家解答,以供網友學習參考。
Q:最近用過一臺S1550設備,是H3C的,連接上層的cisco3750,3750設置了TRUNK工作方式,H3C的S1550也同樣設置了此工作模式,結果一切正常,VLAN信息被傳遞過來了。操作過程中,遇到一個問題,我知道是連接造成的,但我想知道它的原理,感覺蠻有意思的。幫忙回答一下吧,俺也想學習學習。就是把交換機S1550任意兩個接口,用直連的線連接,那么此臺設備就會"死機"?死機的現象是:此臺交換機下層連接的所有無線AP無線接入點都停止了工作。原理是什么?
A: 如果你沒有新劃分VLAN的話,則一個交換機上的所有端口都是在同一個VLAN中,共用一個VLAN虛擬接口。如果你把同一個交換機的同一VLAN的兩個端口直接連接,就相當于把同一塊網卡用一條網線直接連接到兩個網絡接口(假設網卡上有兩個接口),結果很顯然就是造成一個內部的死循環,IP地址沖突(因為此時源IP地址和目的IP地址是一樣的),數據發送不出去。對于設備的理解可能是硬件存在物理性的短路故障中,電流加大,致使網絡設備都停止工作。
Q:王老師,您好!一直非常喜歡您寫的《網管員必讀》和《網絡工程師必讀》系列書籍,從中受益匪淺。您的最新大作《Cisco/H3C交換機配置與管理完全手冊》我正在拜讀。現有一小問題請教,未來準備考思科的相關認證(從NA開始一步步來),如果想自己購置二手的交換機、路由器在家做實驗的話,您是否可以介紹些適合機型?謝謝,希望您繼續給大家帶來優秀的作品!預祝您的大作"《Cisco/H3C路由器配置與管理完全手冊》"熱賣!!!!
A: 謝謝你的信任與支持!要用二手設備自己做實驗的話,建議采用3560或者3750系列交換機,路由器方面建議采用3600、3700、3800系列。因為這些型號的設備相對來說功能比較齊全,有代表性,可以從這幾個機型上學到最主流的技能。而且這些型號的產品都有較新的IOS系統下載(從思科官網上)。
Q:公司面臨網絡重新規劃(搬遷),想在路由交換設備選型方面聽聽專家的意見,謝謝!
A: 設備的具體選型所要考慮的方面比較多,如網絡通信性能、網絡規模、網絡拓撲結構、網絡應用需求、設備成本,以及公司發展現狀等。在此你沒有提供給這些信息,所以我只能針對一般情況下的情形為你提供以下幾方面的建議:
首先,在添加新設備前,一定要好好規劃自己新網絡的各方面需求和拓撲結構,有針對性地進行選購。
另外,建議在核心層,甚至匯聚層都采用三層交換機,這樣即使你們公司暫時用不上三層功能,也可以滿足公司不久以后的發展需求,因為在核心層實現三層交換目前是很普遍的了。
其次,建議盡可能采用相同品牌的設備,同一層次建議還要盡可能采用相同,或者相互支持的型號/系列。這樣的好處就是可以確保配置功能的兼容性,充分發揮對應品牌的功能與特性。因為不同品牌,甚至不同系列或者型號,對功能的支持,或者所實現的通信協議類型都不完全一樣。
最后,盡可能地充分利用現有設備,保護以前的投資。
Q:老師,我想問問,在交換機上做acl,要求只能訪問www.ekrvqnd.cn這個網站,其他外網都不能訪問,配置如下:
ip access-list extended test-web
10 permit ip any host 211.103.156.229
20 permit ip any 172.16.0.0 0.0.255.255
30 deny ip any any 上外網的的速度很慢,這個要怎么調整?
A:擴展ACL的列表號只能是100號以后的。另外,建議你把IP改為TCP,因為在互聯網訪問時除了IP包外,還可能有其他類型協議的包,如TCP分段等。
Q:王老師,您好!首先感謝你能抽空閱讀我的問題。
我是在移動的分公司從事通信軟交換類網關即路由器,交換機的維護的,平時移動是不會給我們配置他們的電信級高端設備的,所以我來來去去只用使用有限的display及show開頭的命令,但我不甘心就這樣只是敲幾下命令。我想學會配置這些高端的產品,但又不知從何學起。平時只能利用空閑的時間看下產品的說明文檔和技術支持文檔,里面也有配置的介紹。但我沒辦法親自敲這些命令呀。像華為,redback,juniper這三種產品不會像思科那么好的至少有個模擬器讓你練習下。所以現在我有點迷茫,麻煩王老師幫我解答一下以下問題,感激不盡:
(1)目前是一直呆在移動里面替他們維護設備但學不到配置,還是做上一兩年后有些少工作經驗再選擇跳槽進一間設備廠家好呢,雖然這比較難,但這是個好的選擇嗎?
(2)如果一直呆下去,也許移動會覺得我們有足夠多的維護經驗了,會慢慢讓我配置些數據,當然數據也是規范固定死的了,配置過程中絕對絲毫不能出錯的!問題是我如何能學好怎樣配置這些設備呢?基本沒機會敲配置的指令呀。
A:華為設備有一款huaweisim可以用的。至于其他兩種的模擬器我目前還不是很了解。你的第一個問題,我建議你不要直接跳到設備廠商,因為那里要求對設備配置有一定經驗,建議還是找一家有一定規模,可以接觸到設備的公司,特別是外資公司。
你的第二個問題,移動給我的待遇應該 還可以吧?建議先不要想著跳槽,而是先積累一定經驗,等你的上司認為你時機成熟時,我想他會給你機會的。目前先建議熟悉思科和華為這兩大品牌的配置。掌握好它們后你就可以有機會真正在設備上配置了。
Q:王老師,您好!我有一個問題向您請教,我們現在進行網絡的改造,剛采購一臺思科4503做為核心交換機(48個口),二層交換機(24口)直接接在核心交換機上,公司整個網絡的點數大約有320多個,大約需要15個二層交換機,我想把每個二層交換機做為一個VLAN,共有15個VLAN,這樣劃分網絡是否合理?老師有什么建議?在15個VLAN之間如何實現相互之間的互訪,為了實現所有的客戶端自動獲取IP地址,內部的DNS服務器和DHCP服務器如何接入和部署(注:公司是在域環境下管理的,現有兩臺DNS服務器和一臺DHCP服務器)?在核心交換機上能否實現對每個客戶端IP進行流量控制?如何配置核心交換機?謝謝!
A: 如何劃分VLAN這要根據你的管理和應用需求而定,而不一定就是每臺交換機一個VLAN。如通常是根據一個部門,項目,或者網絡應用來劃分VLAN的。因為你下面的交換機都是二層的,這時你最好是采用基于端口的VLAN劃分方式。如果你的域網絡中已有了專門的DNS服務器和DHCP服務器,這時你就要禁止核心交換機上的這兩個服務。默認情況下你不配置它們,就不會自動啟用的。可用no ip dhcp snooping information option命令禁止該項功能。
Q:王老師,在IP視頻網中,前端設備將視頻采集后通過光纖,經過接入交換機--匯聚交換機--核交,最后存儲到服務器上,我現在采用的方式是,每個接入層中視頻為一個VLAN,其它應用用另一個VLAN(流量很少),不同接入層的視頻使用不同的VLAN,多個接入層通過trunk方式接入匯聚層,匯聚層負責下屬VLAN配置與管理,并使用路由方式與核心交換機連接。我想問的是:從性能優化方面來講,此方式是否妥當?
1、匯聚層與核心層使用路由方式和TRUNK方式有無區別?使用路由是出于把各種VLAN廣播限制在匯聚層考慮,但要做很多的路由,管理VLAN也要到各匯聚層管理。而使用trunk就方便得多,但幾十個匯聚層上的VLAN廣播傳播到核交上的影響會有多大?
2、在此類單向大流量傳輸、其它交互應用流量極小的應用,在各層交換機配置時是否有優化規則可選?
3、是否還有更好的方案?
A: 第1個問題,在同一網段內當然是采用Trunk好過路由。一方面路由表項太多的話,會嚴重影響網絡通信性能的,另外Trunk可以通過修剪方式來限制流量只能在對應的中繼鏈路上傳播。幾十個Trunk對核心交換機的影響要遠比配置幾十個路由表項小,一般的核心交換機完全可以承受這幾十個Trunk的。
第2個問題你可以通過限制端口單向速率來使得另一方向的帶寬可以得到充分利用,這對于非全雙工端口特別有用。
第3個問題,暫時還沒有想到更好的方案。
Q:王老師,您好!我一直都是您的忠實讀者,你的《網絡管理員必讀》系列我都拜讀過!最近知道您又有新作《Cisco/H3C交換機配置與管理》出版,特地前來祝您的新作大賣!我自己畢業已有三年,一直從事網絡管理工作,但一直都是從事一些公司的項目維護和支持的事務,對于網絡設備的配置和使用一直都是我的薄弱環節,一直都困惑于沒有環境提升自己。因為工作的原因,我目前沒有打算參加培訓的計劃,所以我想買本有大量操作指導的指南式教程先自學,因此我想向老師咨詢的是,就我的這種自身情況學習您的這部實戰指南能達到怎樣的一種預期程度?應該給自己一種怎樣的學習目標?
A: 《Cisco/H3C交換機配置與管理完全手冊》是一本面向初、中級讀者的交換機配置與管理手冊。它的最大特點就是綜合了同一品牌不同系列的相同,或者相似功能的配置與管理方法,而不是一個個系列單獨介紹。這樣的好處就是通過學習可以學到所有主流系列的相同功能配置與管理方法,而且還可以十分清晰地得出不同系列的配置與管理方法的不同。本書介紹的都是通用配置方法,是交換機設備配置的最基本技能要求。通過跟著書中的示例在模擬器中進行練習就可以熟練地掌握各主要功能的通用配置與管理流程。另外本書的一個主要特點就是系統性、全面性,幾乎介紹所有主流的系列和型號的絕大多數功能的全面系統配置與管理方法。這是其他同類圖書遠遠不能相提并論的。也正因如此,僅交換機一種設備我就花了近千頁,而其他同類圖書中,交換機、路由和防火墻等放在一起寫,也都沒有這個篇幅。
Q:我的問題比較多,列舉如下:
1、我還是想問如果不借助軟件,在交換機上如何設置能更好的預防arp! 我們現在的方案是 ip和mac綁定 客戶綁定網關mac!
2、請問王老師,如和才能更有效的制止arp病毒,如何能更快速的在交換機中找到mac地址攻擊源?
3、如何判斷交換機接口的線有問題 需要更換網線,或判斷接口故障
交換機日志提示Nov 4 02:25:23.389: %LINK-4-ERROR: FastEthernet0/1 is experiencing errors
Nov 4 04:22:16.879: %LINK-4-ERROR: FastEthernet0/1 is experiencing errors
說明F0/1口有什么問題?
4、如果端口或端口連線有問題:
FastEthernet0/1 is up, line protocol is up
Hardware is Fast Ethernet, address is 0000.2809.e0c1 (bia 0000.2809.e0c1)
Description:
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 11/255, rxload 6/255
Encapsulation ARPA, loopback not set
Keepalive not set
Auto-duplex (Full), Auto Speed (100), 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:16, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Queueing strategy: fifo
Output queue 0/40, 0 drops; input queue 0/75, 0 drops
5 minute input rate 2394000 bits/sec, 1388 packets/sec
5 minute output rate 4338000 bits/sec, 1541 packets/sec
2654035774 packets input, 3981718126 bytes
Received 841883 broadcasts, 0 runts, 0 giants, 0 throttles
305845 input errors, 305845 CRC, 0 frame, 6107 overrun, 82328 ignored
0 watchdog, 497176 multicast
0 input packets with dribble condition detected
2886583820 packets output, 3374286050 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
哪些地方會提示錯誤?
5、對于日志提示如下;
Nov 4 07:00:25.265: %SW_MATM-4-MACFLAP_NOTIF: Host 0201.0000.0000 in vlan 1 is
flapping between port Gi0/15 and port Gi0/1
這代表什么啊?
6、cisco和華為H3C 交換機 一般需要關閉哪些服務呢!
比如cisco交換機 一般 vtp設置我透明 等
我有好多問題呢,先請教您這幾個!有空幫忙解答一下!謝謝!
A:第1個問題目前最有效的方法就這樣了,在交換機上對客戶端與網關進行MAC地址與IP地址綁定(因為ARP主要是改變網關地址,所以通常只需要綁定網關的MAC地址與IP地址)。
第2個問題,在交換機上是很難發現攻擊源的,這需要借助局域網管理軟件來查看了,如LANSEE,有MAC沖突時會報警的。
第3個問題從日志中不能看出具體的故障原因,只是說相對應端口鏈路發生錯誤。但從日志中可以肯定的是不是物理故障,只是軟故障,如接觸不良,或者網線連接性能差。你可以通過排除法來排除這類故障,如重插網線,或者換一條網線。
第4個問題,首先看輸出狀態中對應端口的線路協議狀態是否UP(FastEthernet0/1 is up, line protocol is up),再可以查看輸入/輸出數據包數(Output queue 0/40, 0 drops; input queue 0/75, 0 drops)來查看,還可通過下面的輸出數據包錯誤統計來查看。
第5個問題指出VLAN1中MAC地址為0201.0000.0000 主機在Gi0/15 和Gi0/1端口上發生了遷移。
第6問題沒有硬性規定,要視具體需求而定。如多數情況下要關閉telnet服務,但有時又需要,還有DHCP、DNS服務等也有需要的時候。
Q:王老師你好!我想問一下在cisco路由器上面我配置了telnet以后,telnet默認的端口號是21,我現在想把它改成新端口如:2121,這種在cisco的路由器上面有沒有辦法實現,在Juniper上面就能夠實現將自己的21端口改成2121端口,就不知道在路由器上面行不?
A:可以的,在線路配置模式下使用rotary命令即可,如Router1(config-line)#rotary 25,把TELNET端口改為25。但更改了新端口號,要在全局配置模式下用ACL禁止原來的默認23號端口,如Router(config)#access-list 101 deny tcp any any eq 23。
Q:王老師,您好!從上交換開始就覺得理論多,可實際需要配置的確很少。所以個人感覺不深刻掌握交換的原理,遇到復雜的情況就搞不定。一個問題我想王老師給我講解下,我的思路不是很清晰,就是關于CEF技術的應用!
A:你所說的CEF技術應該是指思科的Cisco Express Forwarding(Cisco特快轉發)技術吧。CEF其實是傳統路由轉發技術的一種改進。以前的路由轉發技術是通過建立數據包目的地址的IP路由緩存來實現的。也就是下次同樣目的地址的數據包可以直接從緩存中快速地找到對應目的地址的路由路徑。這對于路由不是很復雜,路由表項不是很多,網絡拓撲結構不頻繁發生改變的情況下是很有用的,所以傳統的路由轉發技術仍是應用于的主流。但對于網絡拓撲結構比較復雜,路由表項比較多,拓撲結構可能會頻繁發生變化的情況下,傳統路由轉發所依賴的緩存,就顯得有些力不從心了。這也就是CEF技術出現的背景。
CEF路由轉發技術是通過建立一個存儲量,檢索更優勢的目的地址路由轉發信息庫(Forwarding Information base,FIB)和鄰接表(Adjacency Table,存儲的是鄰接交換機端口的MAC地址)這兩種方法來提高路由表項的存儲量,查找數據包轉發到下一交換機和遠程目的地址的效率,以實現在復雜多變的網絡環境中數據包的快速路由轉發。
Q:我一臺H3C的三層交換機不能在接口配置IP地址,與一臺CISCO的3750交換機連接,這樣是不是只能跑靜態路由?
A: 3750支持動態路由的,只要是你所說的兩臺交換機在一個子網中,就可以通過3750交換機實現動態路由功能。只需要在3750交換機上連接H3C交換機的相應端口配置動態路由就可以實現。
Q:你好,王老師,很早以前就聽過您寫的系列書,對您很敬仰。我個人對無線網絡比較感興趣,現正在學習CCNA,自己學習路由和交換的知識和配置。我有個問題一直沒懂:一個24口交換機,每個口都有獨立的IP和MAC,比如E0 IP 192.168.0.5此口相聯的主機的IP為 192.168.0.8,中間只用一根網線相聯,此時交換機的IP 和MAC有什么作用,通訊時兩者獨立的IP和MAC是否會沖突?
A: 不會沖突,如果僅是二層交換,則是通過MAC地址來識別的,如果要進行三層交換,則此時的IP地址與MAC就形成了一個映射表,網絡間的通信是通過IP地址進行的,而到了同一子網內部,則可僅由MAC地址進行通信。
Q:我想問一下,為什么現在好多公司直接用三層交換代替路由,除了成本方面的考慮,還有其他原因嗎?
A:另一個原因是三交換機的路由功能在局域網,甚至一般的IP類型廣域網都可以足夠應付,所以無需另外配置專門的企業級路由器了。
Q:王老師你好,我想問下。以前我維護過思科的交換機3550. 在沒有IOS的情況下,且重新開機3550。發現只能從Xmodem進行灌IOS了,要灌好久。TFTP不能使用。 那在我上面描述的這情況中,有沒有另外的灌IOS的方法,比Xmodem會更快呢?
A: 不知你試過RoMmon恢復模式沒有,在這種模式下,你就可以使用TFTP協議從TFTP服務器中下載IOS映像。還可以在ROMmon模式下使用copy命令從TFTP服務器上復制IOS映象。這方面,在我的這本書中有非常詳細的介紹。
Q:王老師你好,特別欣賞你對各類產品的參數,報價了如指掌,我想知道是h3c各類交換機的具體含義,比如si,ei,他們之間有什么差別?
A: SI是指只具備標準接口功能(如基本的二層交換,或者基本的三層路由功能,如RIP路由)的型號或者系列,而EI則是指含有擴展接口功能(主要是指具有復雜三層路由功能,如OSPF、BGP)的型號或者系列。HEC交換機名稱后面的P是指端口的,如S3600-28P-EI,代表具有28個端口,擴展接口功能的S3600型號。
Q:請王老師介紹本實用的易懂的H3C和cisco 教材。謝謝!
A: 個人認為目前來說,國內最容易看懂的還是我所編寫的這本《Cisco/H3C交換機配置與管理完全手冊》,因為我編寫這本書時是把幾乎所涉及到的所有原來比較復雜的原理和配置思路都轉換成了通俗的語言。至少要使我自己能看懂,真正理解。
Q:作為一家制造型企業,大概有500+臺電腦,對于網絡要求不是很高,有什么合適的Cisco/H3C三層交換機可以搭建核心層交換?物美價廉最好.。
A: 建議采用Cisco的4506、4928型號交換機,或者H3C的5626C號交換機作為你的三層核心交換機。成本方面,因為它們全面支持廉價的雙絞線,且光纖SFP和模塊可選,端口適中,是一個比較理解的中等規模網絡的三層交換機選型方案。
Q:企業有120臺左右的計算機,沒有使用域管理,主路由H3c,交換機都是雜牌的簡單交換機,網絡比較慢,如何能較好的提升網絡速度?
A: 120臺機的網絡不是很大,如果沒有復雜的網絡應用,要提升網絡速度的話,則可以通過替換現有的網線,并把以前雜牌的交換機放置于接入層,最好只跳幾個性能好一些的,太差了的不要,特別是集線器。最好重新購買新的交換機,配置拓撲結構。既然你的路由都是H3C的,你要吧選購H3C S3610-28TP作為核心交換機,S3100-52TP-SI作為匯聚層交換機,你以前的那些好一些的雜牌交換機。
Q:二層交換機是如何識別IP地址的?
A: 二層交換機內部的數據交換不是以IP地址進行的,而是通過MAC地址進行的。它識別客戶端IP地址是通過ARP協議緩存中的MAC地址與IP地址映射表進行的。
Q:你好!我想問下關于管理vlan的問題。它所使用的三層地址究竟是什么原理?通過trunk鏈路的時候管理配置permit 管理vlan 它是怎么通過的?
A: VLAN的IP地址是在VLAN虛擬接口上配置的,作為整個VLAN的管理IP地址。trunk技術可以使得當前指定的VLAN信息在trunk鏈路上中繼,在中繼鏈路上的其他交換機上自動配置相同的VLAN信息信息,這樣就無需在中繼鏈接上的其他交換機上配置相同的VLAN信息。如果沒有允許trunk中繼,則VLAN就不能在該中繼鏈路交換機上中繼自己的VLAN信息,就需要手動配置了。
Q:最近在書店看了條命令:spanning-tree說是開啟生成樹協議的,spanning-tree mode rstp是開啟rstp協議的,但是回到學校去做實驗卻行不通,難到是那本書寫錯了么,可是我已經反復看過那本書很多遍了沒有抄錯啊,但是實驗就是行不通,我用的是小凡模擬器和思科模擬器都不行!還請王老師能幫個說下是怎么回事,謝謝啊 王老師!!!
A:STP協議在每個VLAN中默認是啟用的,如果是在關閉STP的VLAN中啟用STP協議,所使用的命令是spanning-tree VLAN VLAN-ID,需要指定具體的VLAN。RSTP協議通常是通過啟用RSTP-PVST(基于每VLAN來啟用RSTP)協議進行的,所用命令是:spanning-tree mode rstp-pvst。以上兩條命令都是在全局配置模式下進行的。
Q:王老師你好:
我本人在設備配置這方面就是一個實足菜鳥,雖然也用虛擬機配置過一些案例,但是真實設備很難摸到由其在h3c方面更是不太懂請王老師除了命令和cisco有一些區別之外能不能請您推建一下即能學cisco又能學h3c的書。
A:其實真實設備與虛擬機之間的唯一不同就是真實機有一個可以看得見的外觀樣機,配置方法與模擬器的是一樣的,只要所采用設備操作系統版本是一樣的。H3C也有模擬器,如HUAWEISIM。CIsco和H3C設備的功能有許多相似之處,但具體配置命令和方法區別是相當大的,但總體配置思路還是有許多相似之處的。你可以看一下我的這本《CIsco/H3C交換機配置與管理完全手冊》一書,通過對比學習就可以發現這些了。
Q:cisco和華為之間怎么樣配置鏈路聚合?要不要注意些什么?
A:要在Cisco和H3C交換機間配置鏈路聚合就只能通過LACP協議來進行了,且兩端交換機都必須都支持LACP協議。在Cisco交換機這邊不能采用思科專用的PAgP協議來配置鏈路聚合了。
Q:王老師您好:我想請問您,關于災難恢復一般思路是什么?我只有些理論知識,沒有實踐過,思路并不是很清晰,還望王老師能指點指點。謝謝!
A: 災難恢復就是要根據自己企業的實際數據安全需求制訂一個容災方案,包括數據備份媒體選擇(如磁帶備份、光盤備份,或者磁盤備份),各級別(如周備份、月備份、季備份、年備份)備份類型所采用的備份類型(如正常備份、增量備份、差異備份等),數據還原方式(如GHOST還原、磁帶/磁盤文件還原),備份媒體的存放方案(不能級別的備份媒體存放位置要所有區別,以便可以抵御不同級別的安全災難),不同級別備份媒體的備份數量配置方案,備份媒體的存放環境和安全要求等方面。
Q:王老師好!目前這里有十臺左右的華為S2403接一臺3528,有沒有方法鑒定下面有沒有用戶私自安裝無線路由器?
A:用sniffer監控就可以。通過查看網絡中各用戶的出口通信就知道了
Q:您好,王老師!我想問一下H3C三層交換機如何實現VLAN間的互訪呢!我試過給vlan分配過IP,但那樣全部的vlan都可以互訪,而我只想讓兩個vlan間可以互訪,其它vlan不可以訪問這兩個vlan。
A:H3C的VLAN間路由配置比起CISCO的來說,配置更復雜一些,而且效果也沒有CISCO的好。通常是采用的port trunk permit命令來允許或者禁止trunk中繼(這里的端口是指VLAN虛擬端口),通過QOS策略可以更有效地控制VLAN間的數據流通信。
Q:王老師,您好!學習思科已經有一段時間了,有個問題請教你,現在三層交換機應用很多,會不會有一天三層的交換機能完全替代路由器?還有很多核心的交換機,他們有沒有可能完全兼容路由器的功能?謝謝!
A:這一天我想肯定會有的,因為現在許多設備的功能都開始集成了。就目前來說,在企業級核心交換機中的路由功能已非常強大,在一些不是很復雜路由環境和網絡通信地址協議類型的網絡應用中,絕大多數是完全可以通過三層交換機來替代路由器功能的。
Q:王老師,您好!現在,大部分企業基礎網絡(信息化建設)上已經搭建好了,簡單的基本交換及路由,已經成型了。。簡單的配置工作,基本上沒有更多的改動。我想問的就是:如何這些設備中,安全、集中管理、備份、容錯、維護等方面?有沒有好的建議?cisco\h3c設備都基本上,我都用過。。感覺cisco比較好。謝謝了。
A:是的,總體上CISCO的功能和配置都相對H3C的要好些。要實現對這些設備的集中管理,則需要使用專門的設備管理軟件了。如果網絡中所采用的是單一品牌的,則可以使用對應品牌的網絡管理軟件,如思科的CiscoWorks,H3C的H3C設備管理系統;如果是混用的,則可以用以上軟件進行分別管理,也可以用像SiteView(游龍)這樣的第三方網絡管理軟件進行統一、集中管理。至于你所說的備份、容錯方面,你可以采用冗余鏈接,甚至雙機容錯方案。這些在我的這本書中都有介紹的。
Q:您好!我想問幾個關于路由器的問題。在配置路由器是經常出現一些接口的問題如AUX LAN SE eth 還有一些模塊的接口,很難去區分它們的區別可以問下專家可以幫我解釋下嗎?還有就是在公司時經理要我配反向nat,可以請教下反向nat的配置嗎?
A: AUX接口通常是用來進行路由器配置的,也是一種Console接口,LAN接口是指用來連接局域網的接口,通常是RJ-45接口類型的,ETH則是指以太網接口,通常是RJ-45接口類型的。還有像SFP和GBIC這兩種模塊接口,都是一種可以同時支持雙絞線電接口和光纖的光接口的接口模塊,但SFP接口體積比GBIC更小,這樣就可以在同樣體積的模塊中提供更多的端口數。另外,要注意的是,因為有些電接口和光接口是與交換機一個子端口對應的,所以不能同時使用連接到同一子接口電接口和光接口。反向NAT就是把內部IP地址映射成外部IP地址,讓外部用戶能訪問位于內網的服務器。配置命令就是ip nat inside source static tcp 內網ip 端口號 外網ip 端口號
Q:請問王老師,現在互聯網寬帶很多都用fttp+lan高速接入了,那帶路由和vpn功能的防火墻是不是可以代替路由器直接作為internet接入了?我看實際很多中小企業都是這樣用的。另外我看您比較忙,您的博客更新沒以前多了!
A: 如果是僅接入互聯網,且防火墻有支持你所用的互聯網接方式,那就可以直接用它接入互聯網了。
謝謝你的關注!近期書稿和全國網管技能水平考試的指導工作比較多,所以更新博客頻率低了。我目前還在北京進行新聞發布會、專場講座和接受專訪。所以本次技術門診的全面解答也要等到我回到家里后才能進行,敬請大家諒解!
Q:Cisco和H3C交換機在二層網絡中,配置生成樹應注意什么問題?( STP與PVST+協議對接, RSTP與Rapid-PVST+協議對接, MSTP 與MST協議對接 )
A: 首先要確保整個生成樹,或者多個生成樹中的交換機上支持了你所要啟用的生成樹協議版本,如PVST、PVST+、Rapid-PVST+ 和MST。其實也就是考慮各交換機所支持的協議生成樹類型。在同一生成樹,或者在多生成樹中的某一個區域中,必須按最低協議版本來配置。
另外,不要在同一生成村或者多生成樹區域中啟用、配置多種生成樹協議,否則會造成配置沖突。
最后,在確定了要采用的生成樹協議類型后,你需要使整個生成樹,或者多生成樹域的每個交換機的端口角色和狀態都按同一生成樹協議進行部署,而不要有一統一的現象。
Q:我司購買了一臺華為的S3328TP-EI,用console進行了簡單的配置,設置了vlan1和IP地址,當時可以使用ping命令ping通縮設置的IP地址。但接到網絡上后,就發現不能ping通了。我這臺交換機上接了4臺路由器、12臺服務器、一個24口的D-link普通交換機,而我的本機就是接在這臺D-link上的。請問,這個會是什么問題?謝謝!
A: 那要看你的D-LINK交換機是否是接在VLAN1所包括的端口了。
Q:老師你好。目前學校里在每層都放置了樓層交換機,每個宿舍分配四個接口。如果把其中兩個端口用網線連起來會造成什么情況?為什么會被封端口號?
A: 我沒試過你所說的這種情況,但我想從原理上來分析的話,如果這樣做的話就會形成環路,造成網絡性能下降,甚至死循環。數據無法達到目的地址。封端口號的目的我想就是為了避免你這種環路的出現。
Q:王老師好:公司現在是用的普通的交換機和路由器,想改造網絡,并且要做vpn連接,因為有好多分店要連接,請問用Cisco的好還是華為的?
A: 從性價比方面來說,還是建議采用H3C的路由器設備來部署VPN應用
Q:王老師好,我想問問設備配置界面的問題,我們現在學的都是CLI的,GUI的模式會不會取代CLI? 如果會最終取代的話,現在學CLI是不是將來有點無用武之地?
A:GUI模式我想很難全面取代CLI,一是因為GUI模式要消耗大量的資源,設備中的網絡操作系統和內存都難以支持,二是GUI模式對于有些命令可能無法實現,就像Windows系統中有些功能(如FSMO角色搶占)都不能在界面中配置,只能在命令模式配置一樣。
#p#
Q:你好,我想請問下如果要學習交換機集線器路由器等網絡設備,應該如何學習呢?應該哪方面入手呢?還有思科和華為王先生你會選擇哪個品牌的呢?
A: 集線器現在就不用學了.設備配置學習方面,在你還不具備實際配置能力前,一般來說你是沒有機會接觸真正的設備配置的,所以這時你就得先通過看書學習,然后利用對應的模擬器進行練習.首先要學的你還是Cisco的交換機設備配置。
Q:王老師好!首先我想聲明下觀點,我認為目前企業網絡內部的信息交換包括路由全都應該用交換機及3層交換去實現,不用路由器。只有當需要遠距離傳輸時才用路由器去解決。這種觀點正確嗎?其次我想問在內部全由交換機實現的企業內部網絡中使用哪些技術來實現流量管理?使用哪些技術實現對交換網絡的管理?配置方法是什么?
A: 首先你的觀點是正確的,在大多數企業網絡中,三層交換機基本上可以全面取代路由器。至于全交換機網絡環境中可以通過配置端口速率限制、QOS,以及VLAN間路由等技術來實現流量管理。這些功能的具體配置方法就涉及到比較多的內容了,在此沒時間為你一一列出。你可以看我的這本《CIsco/H3C交換機配置與管理完全手冊》。要實現對整個交換網絡的管理就需要用到專門的網絡設備管理軟件進行了,如思科CiscoWorks 和華為網絡管理軟件,第三方像游龍科技的SiteView網絡管理軟件等。
Q:"用sniffer監控就可以。通過查看網絡中各用戶的出口通信就知道了。"能夠更詳細點說明如何通過網絡監控軟件查看下掛用戶私接無線路由嗎?
A:可以的,你只需要查看到可疑用戶與外網的通信數據包就可以發現他們所用的路由器了.有關具體使用sniffer查看數據包的方法參見我的<網管員必讀_網絡測試\監控和實驗>一書.
Q:王老師,您好!我非常喜歡您寫的《網管員必讀》和《網絡工程師必讀》系列;特別是您的《Cisco/H3C交換機配置與管理完全手冊》我正在學習。我現在正在培訓期間想考取思科的認證,可是試卷全是英文的,我正在努力的看題庫;我感覺這樣學習真累,您有什么好的方法嗎?
A:學習時可通過模擬器多訓練,但考試還是英文的啊.建議只學知識,不要考這個認證.也沒什么意義的.
Q:王老師您好,我是高校的網絡維護人員,我們用的都是H3C的設備,現在有個問題就是學生宿舍上網,我們用的是3600下面配合傻瓜交換機管理的,有什么好的辦法解決宿舍ARP嚴重的問題,比如配置管理交換機或者升級設備等。謝謝。
A:ARP病毒通過設備是難以有效果的,只能通過專業的殺軟來監控和查殺.如卡巴,360也可以。
Q:請問王老師, 我單位有移動和網通兩條光纖接入互聯網,路由器都在運營商那里,現在想統一管理,仍用兩條線,一部分用戶用網通,一部分用戶用移動,應配置哪些設備,如何實現這樣的功能? 謝謝!
A:用網吧寬帶路由器就行了,同時支持像電信和聯通的寬帶接入的多WAN端口寬帶路由器.具體配置方法你可以看我的<金牌網管師_網吧網管>一書.
Q:王達老師,h3c的二層交換機3100雖然提供網管ip但是沒提供該ip的網關ip,這樣通過遠程配置都要先通過三層交換來進行配置,難道廠家在二層交換機上加這個功能很難嗎?
A:可為通過配置默認靜態路由來實現啊,命令為:ip route-static
Q:王老師您好!請教您一下,
(1)企業網中Ciso2950交換機出現ARP風暴時該如何解決
(2)交換機在配置方面有沒有什么通用的配置方法
A: 你確認為ARP風暴?不是廣播風暴?如果是廣播風暴,建議你重新設計或者配置一下你網絡的拓撲結構,盡可能不要有冗余鏈路,可以開啟STP,或者RSTP之類的協議來消除。ARP病毒的話,可以在交換機上做端口綁定即可。同一品牌中同一系列的交換機有基本一致的配置思路和方法,但也不是絕對。不同系列的相同功能配置命令都可能不一樣,所以你需要具體學習。這些在我的這本《Cisco/H3C交換機配置與管理完全手冊》書中就對這些不同之處進行了綜合比較。以上其他的也都有詳細介紹。
Q:王老師,您好。感謝本站的介紹,9月份我已買了您的這本新書。借此機會,請教個問題。
有一臺Quidway F1800-a 布置在H3C SR8805的前面,網橋模式,配置它的管理地址(內部)一直沒有實現與內網連通。謝謝。
A:是不是配置在同一VLAN中了?如果不是,是不是在兩臺交換機上配置了VLAN中繼?否則是Ping不通的。
Q:老師您好!還想問您個問題。就是有的公司使用路由器直接連公網而有的卻是在路由器前面還加個modem。可以指點下兩者的優劣嗎?
A: 直接連接公網是采用的專線連接方式,通常分配一個固定IP地址,是其優點業般表現為穩定好,可用性較好,但價格較貴,加個MODEM的是要撥號上網的,通常是動態分配IP地址,其優點就是價格便宜,但不穩定,可用性也不是很好。
Q:最簡單的路由器配置為啥丟包。
--------------------------------------------------------------------------------
Router#show runn
Building configuration...
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
enable secret 5 $1$msL5$VPGEFhW1Dfk8blIoiqtOt0
!
ip subnet-zero
!
!
!
interface Ethernet0/0
ip address 192.168.159.14 255.255.255.0
no ip directed-broadcast
ip nat inside
!
interface Ethernet0/1
ip address 58.240.239.118 255.255.255.252
no ip directed-broadcast
ip nat outside
!
ip nat inside source list 1 interface Ethernet0/1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 58.240.239.117
!
access-list 1 permit 192.168.159.0 0.0.0.255
!
line con 0
transport input none
line aux 0
line vty 0 4
password admin
login
!
end
配置允許192.168.159.*這個網段的機器允許上網,發現在PING www.163.com時延時150ms以上。而且丟包。直接用pc連外網ping 則正常。各位高手幫忙看下可能那里出了問題?補充下Cisco 2600路由器。
A: 你的路由器配置并沒有影響網絡連接性能的設置,估計還是交換機配置(如存在環路),或者交換機性能不行,還可能是網絡中存在太多廣播包引起的。你用PC直接連接外網是不經過交換網絡的,所以上面這些因素不會影響你的外網連接。
Q:王老師,我是 紫軒£狂楓。我們公司100來臺電腦,用的是3com 4250t交換機,其余的都是一般都是用TP-LINK,但是好像網速比較慢,而且有人偶爾網頁都打不開,可能是有人下載,我想問問有什么辦法可以知道誰在下載或者限制下載,
A:許多網管工具軟件都可以實現限制下載的,如網路崗、聚生網管、超級網管等。至于如何發現,則可以通過像sniffer這類監控軟件來進行了,通過它的通信流量視圖就可以很容易地發現哪臺機的通信流量太大,不正常。
Q:王老師,既然您把思科與華三的交換機放在一起作個手冊,我想問下,書中有沒有相關的思科交換機與華為交換機的性能對比,做系統集成時的交換設備采購建議。
茶鄉浪子 在《Cisco/H3C交換機配置與管理完全手冊》一書中沒有對兩品牌交換機進行專門的對比,因為這兩個品牌各自有太多的系列和型號了,綜合對比沒有多大意義,一個個對應層次系列進行對比,又很難進行,因為這樣一來,篇幅就會大大增加。但從兩個品牌的交換機功能配置介紹可以看出,Cisco的無論從功能上,還是性能上都較H3C的要好許多。H3C基本上都是采用通用的協議,盡管具有較廣泛的通用性,但通用協議的功能和性能都不如Cisco專用的。
Q:最近公司IT部門打算對現有的網絡進行改造,準備采購微軟的ISA 2006 ,來配合思科的ASA 防火墻,一起使用, 我們用ISA 主要是靈活控制員工的上網行為,并且統計員工的上網記錄,ISA 對上網的應用控制比較強,那請問我該如何配置ISA 和思科 ASA,該組成什么模式?才能發揮這兩個防火墻的功能呢?
A: 你同時使用ISA和ASA防火墻的話,建議你僅對ISA上配置上網行為管理,當作一個網絡管理工具軟件來使用;而對于通信流過濾方面,在ISA上不要做任何設置,這方面可以在ASA上進行配置,否則兩者很難達到完全一致的配置效果,還可以相互沖突。而且在兩個防火墻上都配置過濾的話,對網絡連接性能的影響會非常大的,因為每個數據包要經過兩個防火墻的過濾策略分析。建議你不要使用ISA,而采用其他的網絡管理軟件,如網路崗、聚生網管、網警、超級網管、清楊網管等。因為ISA占用的資源比較多,對網絡通信性能的影響比較大。
Q:王老師,如果交換機的端口下聯的是一臺虛擬機的物理服務器,里面的虛擬機處于不同的網段,如果要保證這些虛擬機互訪和訪問外面都不受限制,這個接口需要做單獨的配置嗎?
A:不用在接口為每個虛擬機單獨配置的,你只需要配置物理服務器,各虛擬機間的互訪通過虛擬機軟件的NAT模式來配置與物理服務器的連接即可實現互訪。
Q:王老師,我想向您咨一下,Cisco路由器的雙線配置問題,我公司現在有一條10M的網通的光纖,還有一條4M的電信光纖,我在網上查了好多雙線的配置方法。都不理想。我的想法是,最好是能利用現在的Cisco路由器,進行雙線負載的自動平衡。不知道王老師有好的解決辦法沒?
A: 在Cisco路由器做負載均衡方法倒是很多,如基于策略、基于開銷和基于HSRP協議,但我認為第一種更容易理解,更容易配置。就是為不同線路配置不同的路由表和相匹配的ACL列表,限制某個地址范圍的用戶使用某個路由表和ACL列表。所使用的命令包括:Route map(創建路由表)、 Match access-list(匹配ACL列表)、 Set interface(設置線路連接接口)。要注意的是,你需要在兩個ISP線路接口上分別配置,但配置項的具體內容有所不同。
Q:專家您好,我的網絡環境是這樣:有一臺Cisco 3550交換機作為內網核心交換機,上聯路由器Cisco2811(線路A接入)和路由器華為R1760(線路B接入),下聯內網2層交換機。想實現如下需求:
1. 當A或B線路有故障時,另一條線路能自動切換。
2. 當A/B線路正常時,實現均衡負載。
3. 對內網數據流進行QoS策略部署,實現對重要數據的保障。
請問專家,以上需求若能實現,都需要進行哪些方面的數據配置?在均衡負載和線路切換方面,是否是通過C3550來實現? 謝謝專家!
A: 不同品牌的路由器比較實現負載均衡的,雖然都有一些均衡的配置方法,但可能難以兼容。在C3550交換機上是不能配置你所需的負載均衡的。
Q:王老師,你好!現在在一家公司做城域網工程,對下層的DSLAM,與接入匯聚層的設備有一些認識.在配中興9210的設備時,在加完業務VLAN后就要關閉PVLAN功能,想問一下,PVLAN是做什么用的.為什么華為的5600就不用配?還有一點就是對BAS一直不理解,在接入匯聚后再在各業務VLAN外加打統一的一個標簽,說它們是為了到上層BAS中尋求認證的.還有人說經過華為S3328后就直接到NE40了.在此想問一下,BAS在城域網中主要起到什么作用?
A: PVLAN通常用于企業內部網,用來防止連接到某些接口或接口組的網絡設備之間的相互通信,但卻允許與默認網關進行通信。盡管各設備處于不同的pVLAN中,它們可以使用相同的IP子網。PVLAN是用來實現下層不同用戶的VLAN(輔助VLAN)間的隔離,但上層VLAN(主VLAN)是可以全面管理下面的各用戶VLAN的。主要應用于ISP。在中興設備中,需要完成業務后關閉PVLAN,可能是受該品牌設備的PVLAN管理局限性限制(本人沒有配置過中興設備),可能不關閉就無法對用戶VLAN進行管理。CISOC是的是不用關閉PVLAN,就可對用戶VLAN進行管理的。有關PVLAN方面的知識可以看我的《CIsco/H3C交換機配置與管理完全手冊》一書的第8章。BAS(寬帶接入服務器)是用來管理用戶接入的。不知是不是你所說的BAS。
Q:Cisco和H3C在命令上有哪些區別,希望那個能夠提供相關的較為詳細和分類的資料?
A:對比一下兩者相同功能的配置命令要吧發現,它們的許多功能配置思路是基本一樣的,只是具體的命令名稱,或者參加不完全一樣(但也有相似的地方)。具體要說到有哪些區別,我想在這里也沒法給你列出,你可以在看我的這本書時對比一下相應章節介紹的相同功能配置命令就知道了。
Q:首先 謝謝您的指點!我想再請教一下,關于深入學習的問題!我是一個網絡設備的初學者,重點學習了思科設備,只過了NA!簡單學習過 華為和銳捷設備!我想問,我該如何更深入的學習呢!我現在已經畢業,從事IDC 網絡運維!想更加深入的學習!我覺得證書不重要,關鍵是真正掌握的技能? 這樣想對嗎?
我覺得自己該系統的從頭學一下!學校學習的東西 工作后感覺還是不夠,不夠具體和深入!只是不知道 該如何系統學習!? 還有是先學路由呢 還是交換? 我們公司基本沒有路由器 都是交換機!? 這樣感覺很迷茫!我們在學校主要就學習的路由 ,交換的相對較少? 請您指點一下!
A: 你的觀點為是正確的,證書只是在找工作時有些參考作用,對于實際工作沒有任何幫助。在實際工作中還需要真正過硬的技能,不是靠證能解決得了的。你現在從事的是IDC運維,如果你覺得可以長久發展的話,則建議從基礎開始,系統地學習一下網絡設備的配置思路和方法,特別是思科和H3C的。而且建議從交換機配置開始,因為交換機的應用遠比路由器的要常見。如果你不確定能否長久在IDC公司工作,則建議系統地學習一下網絡管理知識和技能,網絡管理不僅是網絡設備。相反網絡設備的配置只占極少部分,更多的是應用服務器和網絡服務器的配置與管理。
Q:我使用的H3C路由和交換機,路由:MSR 20-21,我想進行IP和MAC的綁定,請問老師可以嗎?
A:MSR 20-21路由器沒有IP地址與MAC地址綁定功能,但有MAC地址攻擊檢測功能,使用的命令是:arp anti-attack source-mac { filter | monitor }
Q:你好,王老師.很高興你能抽出時間,為我們解答,非常感謝.我想知道如何在交換機實現對VLAN的安全控制和訪問,還有在三層交換機上才能哪種方法對避免廣播風暴起到立桿見影的效果??謝謝!
A: 對VLAN訪問的控制是通過ACL進行的。在交換機上最有效的避免廣播風暴的方法就是啟用STP,或者RSTP協議。
Q:對于五十人左右的..公司有必要使用三層交換機嗎? 在結構 上..怎么規化.像文件服務之類 服務器如何配置.
A: 具體是否要使用三層交換機要看你的網絡應用需求而定。如果你想要對部分用戶的訪問采用基于協議(如IP地址,或者通信協議類型)的過濾,還要看你們公司的發展速度。如果發展速度比較快,在近期內可能要用到三層過濾,或者三層交換(三層交換比二層交換的性能要好許多),就建議采用三層交換機。否則沒有必要。
Q:華為2層設備,管理vlan可否和業務vlan同時使用?怎么實現?
A: 我不太清楚你所說的"同時使用"是什么意思。是要同時把管理VLAN用于業務,還是指同時啟用管理VLAN與業務VLAN呢?如果要把管理VLAN用于業務當然不行,但如果只是要同時啟用,當然可以,不用額外配置的。
Q:王老師好,我有個技術問題想咨詢一下!具體情況是這樣的,兩臺hp的380g6的服務器,都是雙網卡的,兩臺cisco的3750-24的交換機,兩臺cisco asa5500的防火墻,我現在想實現服務器、交換機、防火墻都做冗余(兩臺服務器是做的集群),請問交換機和防火墻怎么配置冗余呢?就是說服務器的兩塊網卡分別連到兩臺交換機上,任何一臺交換機down掉都不影響服務器的訪問,(防火墻的配置與交換機類似)請王老師幫助解決一下!
A: 你問的問題比較大,你可以在連接服務器的兩個交換機的其中一個端口上啟用RSTP協議,并把該端口配置為"備份端口",這樣就可以確保在正常情況下只啟用另一個交換機的端口鏈路,當正常鏈路換效時,備份端口所對應的鏈接會自動接替失效的鏈路。至于cisco asa5500方面的冗余配置目前我還不知道,不好意思。因為通常防火墻不會采取兩臺防火墻這樣冗余的。
Q:王老師好,我是一個新手,剛開始接觸可網管交換機和路由器,想問一下,怎么能夠快速入門和提高?補充一下,我這里只能用模擬器的,單位的h3c是不敢亂動的!
A: 新手學習設備配置基本上都是通過模擬器軟件進行的。現在網友學設備配置普遍存在一個誤區,那就是認為只有看純大型案例的書才能學到知識。這是非常錯誤的,因為對于新手來說,連基本的功能配置都不會,你如何學到通用的功能配置?如何理解書中那些大型案例的配置語句?看完后可能連個基本的配置思路和方法都不知道,又有什么用。大型案例的書只適合于有比較豐富的經驗的讀者閱讀,作為拓展學習應用方案配置的。H3C設備網上有專門的"H3C模擬器"下載的。
Q:王老師你好:想問下堆疊是不是只有高端產品才支持呀?端口密度大的情況下,是做堆疊好,還是直接采用高背板模塊化的三層好呀?
A: 相反,堆疊是低檔設備才支持,中高檔設備不支持。因為堆疊主要用于接入層,最多是匯聚層。從成本上來考慮,當然是選擇堆疊好些,畢竟低檔設備比較便宜。模塊化設備一般是中高檔的才有,價格比較貴。而且還沒有堆疊的端口擴展能力那么強。
Q:王老師,您好!我配置過一個Cisco3800的路由器,增加了兩個模塊,每個模塊上有兩個以太口,同一個模塊內的兩個以太口可以互相通信,不同模塊之間無法通行,最后在兩個模塊之間用一根網線直連,兩個模塊就可以通信啦,中間試過兩個模塊之間配置路由等方法都沒有解決。王老師,如果不用這根網線能不能讓這兩個模塊之間可以通信,因為用網線后占用了兩個端口?
A: 這兩個模塊是用來連接不同網絡的,這些端口默認是可路由(routed)模式,當然不能直接相通,需要配置路由。如果兩個模塊連接的是同一個網絡,可以把這兩個模塊的端口都配置成ACCESS模式。
Q:我用的是神舟數碼的CR3360的,我的路由下面接CISCO的交換機二層的,我路由的密碼不記的了,想問一下,這個破路由的密碼是乍搞的呀,和CISCO的一樣不?
A:沒用過這款路由器。你看一下有沒有復位孔,或者按鍵。如果有的話,先關機,按住這個孔,或者鍵再開機,一直到啟動成功再松開,試一下。這時就會是默認的密碼了。
Q:老師好!我想知道H3C3526C的設備如何實現ACL在某個具體端口上的應用策略?
A:這方面你可以看我的《Cisco/H3C交換機配置與管理完全手冊》的第19章。
Q:王老師你好,我想問一下如果是兩個交換機相連,每個橋的priority均為默認,鏈路開銷相同,都是fastethernet,從mac地址的大小已經可以確定誰是根橋,誰是非根橋,那么在這個非根橋上如何判斷哪個端口為根端口。在非根橋上判斷根端口的依據則為哪個端口跟根橋最近。交換機上兩端口為f0/23與f0/24,線路連接情況為f0/23<----->f0/24,f0/24<-------->f0/23.。一般的連接情況都是f0/23<----->f0/23,f0/24<----->f0/24,這個情況我知道如何判斷,因為在priority相同,mac地址相同(同一個交換機上),鏈路開銷相同的情況下則比較端口ID,肯定是端口ID小的為根端口。那如果線路連接情況為f0/23<----->f0/24,f0/24<-------->f0/23.在判斷端口ID大小時是應該判斷本地端口,還是與之相連的端口ID大小呢?謝謝,非常感謝王達老師!
A: 根端口是在非根橋上的,所以只能在非根橋上的端口進行比較。在所有與根橋連接的端口呂,端口ID最小的就成為根端口。你所說的這種情況,當然就是非根橋上的f0/23端口為根端口了。
Q:在Cicso設備環境下,一個園區網使用OSPF作為其路由協議。該園區網使用了OSPF多區域設置,在AREA1中的網絡設備通過O的路由可以去往1.1.1.0/24網段,但是現在要求該區域內的網絡設備也要使用穿越AREA0的路由去往1.1.1.0/24網段.在不使用靜態路由、默認路由和策略路由的情況下只在OSPF協議內做設置能否完成改要求?【最好還可以提供路由的冗余】
A: 為什么不使用簡單的靜態路由,或者其他路由方式呢?其他方案我沒有想到,不好意思。因為我只有晚上有時間,今天晚上也累了,一下子解答了幾十個讀者的提問。要休息了,以后有問題,可以在我的讀者群中提。謝謝大家的信任與支持!
Q:我想問一下 : VRRP協議和HSRP協議的差別,那個效率更高。
A: VRRP協議是確保在主路由器不可用時能夠提供動態的故障轉移機制,允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。
HSRP協議是思科專用的,它可以在終端主機不能動態知道第一跳路由器的IP 地址時,提供一個虛擬路由器。這樣做的目的就可以實現即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。從以上簡單介紹可以知道,兩者實現的功能其實是差不多的,甚至可以說是一樣的。但VRRP協議允許參與VRRP組的設備間建立認證機制,安全性更高。而且VRRP的實現路由備份的機制比HSRP的簡單,因它只有三種狀態和5個事件,而HSRP協議需要用到5個狀態和8個事件。VRRP協議工作在TCP傳輸協議基礎上,而HSRP協議工作在UDP協議上,則此可見,VRRP協議更加可靠,但需要占用更多的資源。
更多精彩技術門診請訪問:http://doctor.51cto.com/
【編輯推薦】
