网络工程师总结的工作实用经验.docx

网络工程师总结的工作实用经验.docx

《网络工程师总结的工作实用经验.docx》由会员分享，可在线阅读，更多相关《网络工程师总结的工作实用经验.docx（27页珍藏版）》请在冰豆网上搜索。

网络工程师总结的工作实用经验

1、              交换机选购指南

l      设备基本指标：

网络接口类型、用户可用插槽数、端口密度。

l      设备功能指标：

VLAN划分、堆叠、单播和组播协议支持、可网管。

l      设备性能指标：

背板带宽、包转发率、支持的MAC地址数量、服务质量保证。

l      设备可靠性指标：

核心交换机是否支持关键模块的冗余（电源、风扇、交换矩阵、引擎）；

l      链路层是否具备弹性恢复的功能（如生成树、链路捆绑）；

l      在网络层是否支持动态路由协议、是否支持等价多路由功能、是否支持网关冗余协议（VRRP、HSRP）等；

2、              路由器选购指南

l      设备基本指标：

网络接口类型、用户可用槽数、端口密度；

l      设备功能指标：

路由协议支持、源地址路由支持、透明桥接、策略路由方式、PPP、MLPPP（多链路PPP）、PPPOE支持、组播支持（因特网组管理协议IGMP、距离矢量组播路由协议DVMRP、协议无关组播协议PIM）、VPN支持、加密方式、MPLS；

l      设备性能指标：

全双工线速转发能力、设备吞吐量、端口吞吐量、背靠背桢数、路由表能力、背板能力、丢包率、时延、时延抖动、VPN支持能力、无故障工作时间、内部时钟精度、Qos能力（队列管理机制、端口硬件队列数、QOS分类方式、分类业务带宽保证、资源预留协议RSVP、区分服务IPDiffServ、CAR（承诺接入速率）支持）；

l      设备可靠性指标：

冗余、热插拔组件、路由器冗余协议VRRP；

l      设备网管指标：

基于WEB的管理、网管类型、带外网管支持、网管粒度、计费能力/协议；

l      设备分组语音能力：

分组语音支持方式、协议支持、语音压缩能力、端口密度、信令支持；

3、              防火墙选购指南

设备基本指标：

产品类型（包括三种：

基于包过滤技术的防火墙、基于代理的防火墙、基于状态监测的防火墙）、LAN接口；

设备功能指标：

协议支持、加密支持、认证支持、NAT支持、防御功能、管理功能、记录和报表功能；

设备性能指标：

并发连接数、吞吐量；

4、             路由器支持IP电话的能力通常以E1来计算，一个E1支持30路电话；E1的接口分为平衡和不平衡两种，平衡是指两条输出端信号全部输出，是120欧（一端是DB-15，另一端是RJ-45）；非平衡的两条输出端信号只有一条输出，而另一条则接地，是75欧（一端是DB-15，另一端是2个BNC接头）。

5、              Catalyst 4506硬件配置案例

设备型号

描述

数量

单价（成本）

WS-C4506

Catalyst4500机箱（含风扇，6插槽）

1

PWR-C45-1000AC

Catalyst4500电源模块（1000W）

1

CAB-7KACA

AC电源线

1

WS-X4515    

Catalyst4500监视器IV（2GE），控制台（RJ-45）---即引擎

1

S4KL3-12120EW

Cisco IOS BASICL3Cat4500SUP2+3/4      -------所选的IOS软件

1

WS-X4306-GB

Catalyst4500 6口吉比特光纤以太网模块（GBIC）

1

WS-X4148-RJ

Catalyst4500 48端口（RJ-45）10/100以太网自动模块

1

WS-G5484

1000Base-SX短波长 GBIC模块（仅用于多模）

6

CISCO交换机产品包含2950、3550、3750、4500、6500（5款常用）等10多个系列。

而1900、2900、3500、4000、5000、6000系列已经停产。

6、             CISCO路由器产品包括800、1700、2600、3600、3700、7200、7300、7400、7500、7600、12000等10多个系列。

网络工程中常用的有1700、2600（低端）、3600、3700（中端）、7200、7500（高端）系列。

7、             CISCO防火墙产品包括501、506、515、525、535等。

网络工程中常用的有501、506E、515E、525E、。

8、             DDN比较适合有一个中心点和多个分支节点的环境，此时网络设备需要有和分支节点数相同的串口数。

而采用祯中继线路只需要一个串口即可，从而节约了费用。

       数字电路业务是一种直接在电信传输网上进行数字信号传送的业务，是基于准同步数字序列（PDH）和同步数字序列（SDH）等光纤数字传输技术组建的宽带核心传送网络，可向用户提供2M~2.5G各种速率的全透明电路，目前多数大型企业使用此方式。

注意：

数字电路接入是指不以来CHINADDN、CHINAFRN等电信业务网，而是直接通过电信传输网进行数据的传输。

9、             组建企业VPN所需设备清单（案例1）

设备型号

描述

数量

成本单价

中心端设备

CISCO2621XM

路由器

1

CAB-ACA

插头，电源线，10A

1

S26C-12215T

Cisco2600SerIOSIP

1

WIC-1T

1端口串行WAN接口板

1

CAB-V35MT

V．35电缆，DTE，插头，3米

1

PIX-515E-UR-BUN

防火墙（具有VPN加速模块）

1

分支设备

CISCO1721

10/100Base-T模块路由器，w/2WAN插槽，32M闪存，64MDRAM

3

WIC-1ADSL

1端口ADSLWAN接口板

3

MOD1700-VPN

Cisco1700系列VPN模块

3

S17C7K9-12213T

Cisco1700IOS IP/ADLS PLUS IPSEC 3DES

3

CAB-ACA

插头，电源线，10A

3

CAB-ADSL-RJ11

用于xDSL的Lawender电缆，直通，RJ-11，2米

3

10、        组建企业VPN所需设备清单（案例2）

设备型号

描述

数量

成本单价

中心端设备

CISCO3725

路由器

1

S3721PB-12302T

IOS

1

NM-1CE1U

1端口信道化的E1/ISDN-PRI不平衡网络模块

1

CAB-E1-BNC

E1电缆，BNC，75欧姆，5米

1

WIC-1T

1端口串行WAN接口板

1

CAB-V35MT

V．35电缆，DTE，插头，3米

1

NM-30DM

30端口数字Modem网络模块

1

CAB-AC

电源线，110V

1

分支设备

CISCO2621XM

路由器

15

WIC-1AM

1端口模拟ModemWAN接口线

15

S26C-12215T

Cisco2600IOS

15

WIC-1T

1端口串行WAN接口板

15

CAB-ACA

插头，电源线，10A

15

CAB-V35MT

V．35电缆，DTE，插头，3米

15

11、        组建企业VPN所需设备清单（案例3）

设备型号

描述

数量

成本单价

中心端设备

CISCO3725

路由器

1

S3721PB-12302T

IOS

1

NM-1CE1U

1端口信道化的E1/ISDN-PRI不平衡网络模块

2

CAB-E1-BNC

E1电缆，BNC，75欧姆，5米

2

NM-30DM

30端口数字Modem网络模块

1

CAB-AC

电源线，110V

1

分支设备

CISCO2621XM

路由器

15

WIC-1AM

1端口模拟ModemWAN接口线

15

S26C-12215T

Cisco2600IOS

15

WIC-1T

1端口串行WAN接口板

15

CAB-ACA

插头，电源线，10A

15

CAB-V35MT

V．35电缆，DTE，插头，3米

15

l      设备选型方面：

n      总部使用CISCO7507路由器，配置PA-MC-STM-1模块用于和省级分支机构SDH的互连，配置NM-1CE1U模块用于省级分支机构的ISDN接入。

n      省级分支机构采用CISCO3745路由器，配置2个NM-1CE1U模块分别用于和总部2M的互连以及和市级分支机构的互连，另配1个NM-1CE1U模块用于市级分支机构的ISDN接入。

n      市级分支机构采用CISCO2621XM，配置1块WIC-1T串口模块用于和省级分支机构的互连，另配WIC-1B-S/T模块用于和省级分支机构的ISDN连接。

设备型号

描述

数量

用途

总部中心端设备

CISCO7507/8X2-MX

路由器

1

PWR-7507/4X2

双AC电源、任选（默认）

1

CAB-7KACA

AC电源线

2

S75A-12114E

CiscoRSPx系列IOS企业网

1

RSP8

CISCO7505/7507/7513/7576路由器交换处理器（默认）

1

RSP8

CISCO7505/7507/7513/7576路由器交换处理器（默认）

1

VIP4-80

通用接口处理器4，Model80

1

PA-2FE-TX

2端口快速以太网100Base-TX端口适配器

1

PA-MC-STM-1SMI

1端口多通路STM-1单模式端口适配器

1

NM-1CE1U

1端口信道化E1/ISDN-PRI不平衡网络模块

1

CAB-E1-BNC

E1电缆，BNC，75欧姆，不平衡，5米

1

MEM-RSP8-64M

RSP864MBDRAM可选（默认）

1

MEM-RSP8-FLC20M

RSPFlashCard:

20MB可选（默认）

1

MEM-RSP8-64M

RSP864MBDRAM可选（默认）

1

MEM-RSP8-FLC20M

RSPFlashCard:

20MB可选（默认）

1

MEM-VIP4-64M-SD

64MBSDRAM可选for VIP4（默认）

1

省（一级）分支机构路由器

CISCO3745

路由器，双FE，多业务接入

20

S374C-12215T

IOS

20

PWR-3745-AC

AC电源

20

CAB-ACA

插头，电源线，10A

20

NM-1CE1U

1端口信道化E1/ISDN-PRI不平衡网络模块

40

CAB-E1-BNC

E1电缆，BNC，75欧姆，不平衡，5米

40

市（二级）分支机构路由器

CISCO2621XM

路由器

100

CAB-ACA

插头，电源线，10A

100

S26C-12215T

IOS

100

WIC-1T

1端口串行WAN接口板

100

CAB-V35MT

V．35电缆，DTE，插头，3米

100

WIC-1B-S/T

1端口ISDNWAN接口板（拨号或专用线路）

100

12、        企业Internet出口模块

企业网一般包含三大部分：

内部局域网、企业广域网互联、Internet出口模块。

常用的Internet接入方式有：

DDN：

安全、可靠、有固定IP地址；费用高；

祯中继：

PSTN/ISDN：

现已很少使用；

数字电路：

ADSL：

用户距离电信的交换机机房的线路距离不能超过4~6公里；

CableModem：

共享带宽方式接入，可达到10M以上；

无线接入：

通过高频天线与ISP连接。

距离在10公里左右，带宽为2~11M，费用低，适合与ISP距离不远的用户；

光纤接入：

可以将用户以100M速率接入城域网，适用于大企业接入；

13、        交换机基本配置摸板

hostnamexxxxx

enablepasswordyyyyyyy

noipdomain-lookup

servicetimestampsdebuguptime

servicetimestampsdebugdatetime

servicetimestampsloguptime

servicetimestampslogdatetime

linevty04

passwordxxxxx

login

linecon0

login

noiphttpserver

nosnmp-server

noservicefinger

nontp

nocdprun

noserviceudp-small-servers

noservicetcp-small-servers

14、        交换机端口配置

交换机端口默认都是二层端口，在支持三层交换的交换机上可以将每个端口设为路由端口（[no]switchport）；GBIC端口不能配置速率和双工模式；核心交换机将VLAN作为一种接口对待，就像路由器上的一样。

VLAN配置常用步骤：

1、设置VTP域（核心、分支交换机上都设置）；

2、配置中继（核心、分支交换机上都设置）；

3、创建VLAN（在Server上设置）；

4、将交换机端口划入VLAN；

5、配置三层交换；

6、配置VLAN访问控制（VACL）；

15、        交换机三层设置（两种方法：

给VLAN所有节点分配静态IP地址、给VLAN所有节点分配动态IP地址）

l      给VLAN所有节点分配静态IP地址：

n      在核心交换机上要为每个VLAN接口指定IP地址；

n      然后再在各个接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址，并且把默认网关设置为该VLAN的接口地址。

l      给VLAN所有节点分配静态IP地址：

n      首先在核心交换机上分别设置各VLAN的接口IP地址和同样的DHCP服务器的IP地址；

n      再在DHCP服务器上设置网络地址分别为各VLAN接口IP地址的作用域，并将这些作用域的“路由器”选项设置为对应VLAN的接口IP地址；

n      最后在各个接入VLAN的计算机进行网络设置，将IP地址选项设置为自动获取IP地址。

16、        路由器基本配置模板

hostname cisco

enablepasswordcisco

noipdomain-lookup

servicetimestampsdebuguptime

servicetimestampsdebugdatetime

servicetimestampsloguptime

servicetimestampslogdatetime

linecon0

login

linevty04

passwordcisco

login

noiphttpserver

nosnmp-server

noservicefinger

nontp

nocdprun

noserviceudp-small-servers

noservicetcp-small-servers

17、        防火墙基本配置模板（包括内部、外部和DMZ接口的PIX防火墙）

nameifethennet0outsidesecurity0

nameifethennet1insidesecurity100

nameifethennet2DMZsecurity50

enablepasswordcisco

passwordcisco

hostnamepixfirewall

interfaceethernet0auto

interfaceethernet1auto

interfaceethernet2auto

ipaddressoutside 192.168.1.1 255.255.255.0

ipaddressinside10.1.1.1255.255.255.0

ipaddressdmz172.16.1.1255.255.255.0

global（outside）1192.168.1.200-192.168.1.253                         设置全局复用地址池；

global（outside）1192.168.1.254                                     单个PAT地址池；

global（dmz）1172.16.1.200-172.16.1.253                             设置DMZ区复用地址池；

nat（inside）100                                                 转换所有内部地址；

nat（dmz）100                                                   转换DMZ区的地址；

static（dmz,outside）192.168.1.10172.16.1.10netmask255.255.255.255     将服务器172.168.1.10的地址映射为192.168.1.10；

conduitpermittcphost192.168.1.10eq80any                        允许外部任何地址对192.168.1.10进行www（端口80）的访问；

routeoutside0.0.0.00.0.0.0192.168.1.2                              设置缺省路由；

注意：

在防火墙外的路由器上要配置到内网网段（10.1.1.0/24的路由；

18、        祯中继：

在电信投资建设的CHINADDN（中国公用数字数据网）、CHINAPAC（中国公用分组交换数据网）上均可开设祯中继业务。

同时电信于1997年建成了采用ATM平台的CHINAFRN（中国公用祯中继宽带业务网）。

客户在申请祯中继电路时，是以PVC为单位的，每一条PVC都要注明CIR、Bc、Be、DLCI等参数（非常重要，调试时要用到）。

办理祯中继业务的费用包括一次性费用和月租费，月租费包括端口月租费和虚电路月租费。

祯中继技术适用于以下三种情况：

带宽需求为64K-2M，参与通信的各方多于两个；通信距离较长时；数据业务量为突发性时；

一般用户的总部或地市分部如果汇集的电路数比较多，带宽需求比较大，则建议首选采用以ATM方式就近接入节点的方式，配置端口为STM-1端口。

也可采用节点机到用户的接入方式，建议采用CE1端口。

对于祯中继网络没有覆盖到的分支点，建议采用通过DDN接入的方式，用户通过基带Modem或DTU设备接入的方式。

如接入速率低于64K，则在路由器上配置V.24接口，如接入速率为64K~1920K，则在接入路由器上配置V.35端口,如带宽总需求为2M,则建议采用CE1端口，如用户带宽需求为2M左右，则可采用CE1端口，采用光纤直接连到FR节点机的方式。

目前可提供祯中继业务的数据网有全国骨干祯中继网，也可使用新桥DDN网内的祯中继引擎板开通祯中继业务。

对于低速祯中继业务可通过新桥DDN网内以祯中继OVERDDN的方式或经由DDN网接入宽带ATM网开通。

对于高速客户可使用光纤或HDSL直接接入ATM网。

对于某些已放置DDN节点机的集团客户可经由E1模块或v.35模块接入。

我国祯中继用户入网方式与前述DDN用户入网完全一样，即：

1、            通过DDN的数据终端设备（DTU）接入DDN：

用户网络----路由器（v.24/v.35）-----（v.24/v.35）数据终端设备DTU---|---DDN节点机----CHINAFRN。

2、            利用基带Modem接入DDN：

用户网络----路由器（v.24/v.35）----（v.24/v.35）基带Modem---|---（v.24/v.35）基带Modem----DDN节点机----CHINAFRN.

3、            xDSL设备接入：

用户网络----路由器（v.24/v.35）----（v.24/v.35）HDSLModem---|---（v.24/v.35）HDSLModem---DDN节点机----CHINAFRN。

4、            通过光纤线路接入：

用户网络----路由器（v.24/v.35）----（v.24/v.35）光Modem----|----光Modem（v.24/v.35）-----（v.24/v.35）DDN节点机----CHINAFRN。

19、        数字电路

如果用户的总部或地市分部汇集的电路数比较多，带宽需求较大，则建议采用以数字电路方式就近接入节点的方式，如果每个分支的带宽为2M或更高，则总部就需要更高的带宽。

根据具体情况，在总部我们可以选择多端口的E1模块，或采用155M的多通道STM-1模块；如果每个分支的带宽为64K、128K等，在总部就可以采用CE1模块。

用户入网方式：

1、             直接电缆线接入：

当用户与电信公司的机房在同一建筑物内时（距离100米内），可以直接用同轴电缆接入。

用户端接口为G.703，接入的速率为2-45Mbit/s。

连接方式为：

用户网络----路由器（G.703）----同轴电缆----传输节点设备----PDH/SDH传输网；

2、             基带Modem接入：

当用户距离电信机房较远（100米-3公里），需要的带宽小于2M时，则可用一对基带Modem通过电话线实现接入。

连接方式为：

用户网络----路由器（V.35/V.24）----基带Modem----基带Modem（V.35/V.24）----传输节点设备----PDH/SDH传输网；

3、             HDSL延伸接入：

当用户距离电信机房较远（100米-3公里），需要的带宽为2M或多个2M时，则可用一对HDSL设备或多对HDSL设备通过电话线实现接入。

连接方式为：

用户网络-