【51CTO.com原創稿件】我今天想給大家分享一下怎樣成為一個優秀的網絡工程師。整體有這樣幾個步驟：第一，良好的技術水平，也就是硬實力，這是一切的基礎。第二，規范的設計意識，硬實力有了之后就是規范性的問題，技術不僅要學會，而且還得會用在一個合理的位置。第三，認真細致的思考，細致是一個網絡工程師必備的素質。第四，靈活的應變頭腦，這主要考驗經驗的積累和心理素質。到了客戶現場之后，作為一個網絡工程師，面對任何突發狀況都都需要冷靜判斷、靈活應變。

　　一. 良好的技術水平。

　　1. 技術水平體現在哪里？

　　技術水平主要體現在兩個方面，一是你對這些理論夠不夠熟悉，知不知道它的原理，二是在設備上邊能不能夠把它實現出來。首先對于傳統網絡里的常用技術，你一定要知道其原理和應用場景，然后對于不同廠商的設備，你也要熟練各自的配置。

　　你能不能在思科的設備上知道VLAN怎么配，Trunk怎么配，你能不能在華為的設備上知道OSPF怎么配，BGP怎么配、MPLSVPN怎么實現。你的技術水平是由這兩方面構成的。

　　2.網絡工程師如何獲取知識？

　　對于學生群體和職場群體我給出兩種建議。

　　參加工作之前：作為學生，最主要的就是教材。傳統網絡教材有很多，我主推思科，思科在講課方面最棒的就是明教教主秦科。把教材上所講的理論都記熟，然后再通過模擬器做實驗來驗證這個理論，達到相互鞏固的效果。此外，還可以看一些技術博客，同學之間也可以進行良性交流。

　　參加工作之后：你可能沒有太多空余時間，那么我在這里提供4點建議。

　　（1）巡檢。不管你是做實施還是做運維，必須要重視巡檢。巡檢是你提升技術最好的一種方式，參與割接的機會也最多。從巡檢中抓出來的東西都是正兒八經的模板，可以套用。另外在巡檢之中發現不懂的問題也可以及時去解決。

　　（2）重視官方提供的手冊案例。因為一般來說，官方的文檔都具有一定的權威性。舉個例子，你接觸了新華三的10512這個交換產品，可以通過百度找到新華三官網鏈接，點擊進入就能找到“相關手冊”，可以查看其中的典型配置舉例，通過這些案例你能同時熟悉它的場景和命令。

　　（3）積累項目實戰經驗。有機會就多參與實戰，多進幾回機房，多熬幾次夜，多參加幾次割接，這樣也能夠得到一個更好的提升。

　　（4）請大佬指點迷津。真正進過機房、上過戰場的大佬跟你說的話，還是得仔細聽。

　　tip：學習思科最好的方式是看教材，而且思科的模擬器多且功能強大，BUG少，把思科學會了，理論學懂了，實驗做會了，再通過手冊去看華為跟華三就簡單了。掌握這個思路以后，不管任何廠商的設備你都可以信手拈來，這是第一步——打好基本功。

　　二. 規范的設計意識

　　規范的設計意識，意味著能讓每一個技術都用到合理的位置，作為網絡工程師在設計網絡的時候，永遠要抓住整個網絡設計里的重點。

　　1.引子。首先請觀察一下圖中的這張網絡。這個是一個學生的畢業設計，在核心層做dhcp服務，但是下面的PC機不能獲取到正確的動態地址，相當于dhcp弄到核心上了，他想通過核心上的dhcp功能給下面這些主機分配這些IP地址，但是分配不到。我先給大家說幾個通用的規范之后，我們結合看一下這個設計：它的可取之處和不足之處都在哪兒？它哪些重點沒抓住，哪些地方又是亮點？

　　2.幾個通用規則。

　　(1) 二層連接要設計成三角形。這是我個人總結出來的，可能大家不一定認同。在我多年的實踐經驗中，如果把二層結構設計得太復雜，很有可能造成生成樹無法收斂。

　　(2) 如果核心不做網關，則盡量在核心上少配置其他的功能。基本上核心層的設計要點都是高效、穩定，所以說核心層通常都只會針對路由、選路等進行配置，除此之外我建議別在核心上弄一些花哨的功能。以上圖為例，在核心層做DHCP實際就不太可取。別看它是一個很簡單的分配IP的功能，實際上DHCP很占資源。盡量讓核心少去接受這些效率又低、功能又不是核心應該承擔的東西。

　　tip：如果實際需要你用網絡設備來實現一些雜七雜八的功能，你可以把它移到匯聚上。匯聚層設備兼備合流和網關功能，我建議諸如生成樹、基礎的ACL、DHCP等都可以給它配置在匯聚上面。另外，接入層是直面終端的，所以像生成樹、端口安全、MAC過濾、802.1X認證，這些都是配置到接入層上的。

　?。?）交換路由、防火墻各有職責，不要替用。以上是關于層次的問題，這一條則與設備相關。交換路由主要是針對數據轉發，適合交互路由，所以像OSPF、BGP這些路由一般情況下都會把它只放在交換機或者路由器上。而防火墻是安全設備，通常適合配置ACL、安全策略或者NAT，它不太適合交互路由。一般在網絡設計過程中，過墻流量遇到防火墻的時候基本上用的是靜態路由，也就是說防火墻通常都配置靜態路由。所以交換路由和防火墻是各司其職的。

　?。?）IP地址使用規則。盡量不要使用192.168開頭的地址；三層接口互連使用/30的地址；熱備互連對接用/29；必須要注意規劃Loopback地址，因為Router-id很重要。

　?。?）路由協議使用規則。OSPF的網絡類型一般為P2P；配置IGP鄰居最好用接口地址；兩臺設備之間一般來說只建議用一個IGP鄰居（活用靜默接口）；iBGP一般使用Loopback接口作為更新源，而eBGP一般使用物理接口作為更新源，并開啟BFD；養成在接口上配置描述的習慣。

　　3.方案分析。

　　【案例】某分支機構計劃建設一套局域網，要求內外網分離?？蛻舨少彽木W絡設備為：一臺華為AR3260路由，兩臺華為S5720交換機，兩臺華為S3700交換機，一臺華為USG6600防火墻，現在設備都已經上架并連接好了。

　　【需求】請根據這個結構，滿足下列網絡建設需求：

　　1. 華為AR3260作為連接中心機構網絡（內網）的上聯設備，與中心結構一側的網絡設備建立了BGP鄰居，用于收取總部內網路由。

　　2. 連接外網使用USG6600防火墻直接連接，外網使用PPPoE撥號的方式獲取IP地址。

　　3. 兩臺S5720作為局域網的網關設備，兩臺S3700作為局域網的接入層設備。

　　4. 局域網需要兩個網段，一個只允許訪問外網，另一個只能訪問內網。

　　5. 分支機構總共不超過200個主機。

　　【方案】根據需求來逐一看一下3套設計方案。

　　【方案1】

　　l 分配兩個IP網段，VLAN10是10.101.1.0/24，VLAN20是10.102.2.0/24，讓10.101.1.0/24訪問內網，讓10.102.2.0/24訪問外網。

　　l 10.101.1.0/24只能訪問內網，所以在USG6600上就不能對這個網段做NAT；而10.102.2.0/24 只能訪問外網，所以在AR3260上，用ACL拒絕這個網段訪問內網即可。

　　l 兩臺S5700上做MSTP+VRRP ，SS700-1做VLAN10的根橋，并作為VLAN 10 :10.101.1.0/24的根橋和Master設備，S5700-2 做VLAN 20的根橋，并作為VLAN 20 : 10.102.2.0/24 的根橋和Master設備。

　　l AR3260和S5700之間跑OSPF ，做OSPF和BGP的雙向重分發；對USG 6600的方向寫默認路由即可。

　　l 可以考慮把USG 6600和AR3260換個位置，這樣AR3260就能支持DMVPN，而防火墻與內網互連也能支持一般的路由功能。

　　【問題】：讓USG 6600和AR3260互換位置，其目的只是為了適應DMVPN的備用通道，這屬于本末倒置，是方案1的不可取之處。而且華為沒有DMVPN，有的是DSVPN，而且要另外購買授權才能支持。而且把防火墻跟路由器調換了位置之后，讓防火墻又跑OSPF又跑BGP，肯定會成為訪問瓶頸。此外，讓路由器直接暴露在防火墻外，安全性也下降了。

　　【方案2】

　　l 分配兩個IP網段，VLAN 11: 192.168.1.0/24，VLAN 12 :192.168.2.0/24。讓 192.168.1.0/24訪問內網，192.168.2.0/24訪問外網。

　　l 允許訪問內網的主機，在USG 6600上寫ACL , 拒絕其訪問外網。允許訪問外網的主機在S5720上寫ACL ,拒絕其訪問內網。

　　l 兩臺S5700上，做MSTP+VRRP，根橋和Master都在S5700-l 上。

　　l 讓AR 3260和S5700、 USG 6600之間運行OSPF ,再在USG 6600上以 always的方式注入一個默認路由到網絡中。

　　【問題】：使用了垃圾IP地址；讓防火墻又跑OSPF，又注入靜態路由，降低防火墻性能；在S5720上寫ACL，又在防火墻上寫ACL，增加后期運維難度，且沒有好好考慮S5720上是否能支持復雜的ACL。這種方案屬于典型的生搬硬套的教科書，用各種技術堆砌，而沒有考慮設備特性。

　　【方案3】（標準設計）

　　l 分配兩個IP網段，VLAN10：10.101.1.0/24，VLAN20：10.102.2.0/24，讓10.101.1.0/24訪問內網，讓10.102.2.0/24訪問外網。

　　l 10.101.1.0/24只能訪問內網，所以在USG6600上寫靜態路由的時候，不寫10.101.1.0/24。而10.102.2.0/24只能訪問外網，所以在AR3260上不把10.102.2.0/24發到BGP里，讓總部收不到這個路由即可。

　　l 兩臺S5700上，做MSTP+VRRP，SS700-1做VLAN10的根橋，并作為VLAN 10 :10.101.1.0/24的根橋和Master設備，S5700-2 做VLAN 20的根橋，并作為VLAN 20 : 10.102.2.0/24 的根橋和Master設備。

　　l AR3260和S5700之間跑OSPF，在AR3260上寫一條大段的Null0靜態路由，再用network把大段路由注入到BGP內。

　　三. 認真細致的思考

　　假如某客戶有兩臺核心設備Cisco6509現在要換成華為S12708，那么你覺得前期應該做哪些考慮？這個問題考驗的就是你是否認真細致。

　　如果你只是考慮到：HSRP改為VRRP，PVST改為MSTP，有EIGRP就改成OSPF……是遠遠不夠的。首先，HSRP改VRRP，核心如果有的話肯定要改成VRRP，但是HSRP和VRRP有個最重要的區別就是組播地址，組播地址先要記牢，然后改的過程怎么操作？也要考慮清楚，一般都要執行先關后改的操作步驟；其次，EIGRP改OSPF，兩者有本質區別，而且他們的AD值不一樣，具體怎么改也是有講究的；再者，生成樹的問題。一個正規的網絡是不會允許你把生成樹搞到核心上面的。所以考慮問題要全面。

　　除了上述的技術問題，還要考慮哪些因素？

　　第一，工勘。這包括機房環境的調研、上架位置、空余線纜的長度等等 。比如說Cisco6509和華為S12708都是大型設備，會很占機柜的高度，所以在換之前你要先去機房調研清楚，原先Cisco6509的位置能不能放進S12708，有沒有足夠的空間。

　　第二，測試。新設備來了之后能不能正常啟動。一般情況下，設備都是通過物流運輸到現場的。萬一在運輸過程中造成了損壞，萬一板卡壞了，萬一抬到機架上后發現不能啟動，就會造成很大麻煩。所以一定要測試設備能否正常啟動，設備軟件是否功能正常。

　　第三，采集。這個采集主要是針對更換之前的設備。一方面你要把之前設備上面的show run采集出來，在這個例子中就是在換設備前把配置寫下來，按照原來Cisco6509的配置來配，當然還要進行配置的翻譯，就是說要把思科的命令翻譯成華為S12708的命令，這就是采集出來進行配置翻譯的過程。另一方面還要采集一下原先的路由信息，也就是show ip route，把路由表給抓取下來，用作設備更換前后的對比。此外，老設備的運行狀況，比如CPU、內存利用率、板卡工作是否正常這些信息都需要采集。因此在割接之前一定要把設備巡檢一遍，以防你把老設備關機后發現網絡要回退，結果回退后設備起不來了。準備工作做得越仔細，后續就用得越輕松。

　　Tip：采集結束，割接之前還要進行測試。這包括：新設備硬件功能測試，新設備軟件功能升級，思科和華為對同一種設備的協議解釋差異。有條件的話可以做一次模擬實驗。

　　最后需要細致考慮的是，一定要注意配置順序。永遠記住網絡在交付之前不要鎖設備，就是說阻礙你通信或者說阻礙你登錄到設備這些東西，一定要最后再配置。與接口認證、AAA、登錄源地址限制等操作，一定要等到網絡業務正常后再配置。還有一點，如果說有防火墻在里邊割接的話，防火墻先全部放通策略，一定要保證網絡在暢通無阻的情況下測試通信之后再去增加防火墻的策略。

　　四. 靈活的應變頭腦

　　如何去做到靈活？這與網工的心理素質有一定關系。首先看一個例子。

　　某客戶的思科ASA防火墻配置了A/S模式的Failover，有一天客戶說防火墻的Failover突然裂開了而導致斷網，經檢查，是因為兩臺Cisco ASA的軟件版本不一致導致的Failover裂開。

　　面對這一問題，首先你要做的不是去分析什么原因導致Cisco ASA的軟件版本不一致，因為網絡斷了，當務之急是搶通網絡。任何情況，都是先考慮解決斷網問題，再進行后續優化。很多時候處理網絡故障都可以“就地取材”。在這個例子中，冷靜分析如何靈活處理呢？首先，斷開版本較低的那臺Cisco ASA上的所有連接，解決IP沖突的情況，把網絡搶通。然后，把高版本的IOS拷到你的電腦上，然后再灌入到低版本的設備中，問題就解決了。

　　要保持靈活的頭腦，就必須養成良好的工作習慣和良好的心理素質。收集好正版的 IOS (.bin)、VRP (.CC)、Comware（.ipe）文件，隨時帶在U盤內便于使用；設備的操作系統

　　要經常備份或提示客戶備份；收集各種型號設備的配置命令，針對通用配置和模板化的配置最好是抓出來，形成自己的配置思路；任何情況下都要保持冷靜；重啟設備或斷電時要得到客戶負責人的提示。

　　更多精彩內容請關注51CTO《大咖來了》欄目http://aix.51cto.com/activity/index.html

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】