[135期]金牌网管实战篇:Cisco/H3C交换机配置与管理

原创
企业动态
交换机的配置一直以来是非常神秘的,不仅对于一般用户,对于绝大多数网管人员来说也是如此,同时也是作为网管水平高低衡量的一个重要而又基本的标志。

交换机的配置一直以来是非常神秘的,不仅对于一般用户,对于绝大多数网管人员来说也是如此,同时也是作为网管水平高低衡量的一个重要而又基本的标志。这主要在两个原因,一是绝大多数企业所配置的交换机都是桌面非网管型交换机,根本不需任何配置,纯属"傻瓜"型,与集线器一样,接上电源,插好网线就可以正常工作;另一方面多数中、小企业老总对自己的网管员不是很放心,所以即使购买的交换机是网管型的,也不让自己的网管人员来配置,而是请厂商工程师或者其它专业人员来配置,所以这些中、小企业网管员也就很难有机会真正自己动手来配置一台交换机。 交换机的详细配置过程比较复杂,而且具体的配置方法会因不同品牌、不同系列的交换机而有所不同.所以,我们不可能通晓所有交换机的配置和管理方法,我们懂得通用配置方法就行,有了这些通用配置方法,我们就能举一反三,融会贯通。

技术门诊是51CTO社区品牌栏目,每周邀请一位客座专家,为广大技术网友解答疑问。从热门技术到前沿知识,从技术答疑到职业规划。每期一个主题,站在最新最热的技术前沿为你引航!

本期门诊特邀著名IT畅销书作者、网络技术领域专家王达老师与我们一起畅谈交换机的配置与管理中的经验及疑难问题。

专家介绍:

姓  名:王达

擅长领域:网络工程设计、企业网络管理、网络安全、硬件服务器

著名IT畅销书作者、网络技术领域专家。51CTO"博客之星"、"读者最喜爱IT图书作者"、"2008年度IT最佳原创作者"、"电子工业出版社优秀作者"。是经久畅销全国的《网管员必读》和《网络工程师必读》两系列丛书作者,全国网管技能水平考试指定教材--《金牌网管师》系列作者,国家"网管师"认证专家团副主任。多本图书输出并多次重印,获得过"输出版优秀图书奖"、"全行业最畅销品种奖"等多项行业级大奖。主要技术专长体现在网络工程设计、企业网络管理、网络安全、硬件服务器与网络存储等。

查看本期门诊精彩实录:http://doctor.51cto.com/develop.php?cid=148

参与最新技术门诊:http://doctor.51cto.com/

精选本期网友提问与专家解答,以供网友学习参考。

Q:最近用过一台S1550设备,是H3C的,连接上层的cisco3750,3750设置了TRUNK工作方式,H3C的S1550也同样设置了此工作模式,结果一切正常,VLAN信息被传递过来了。操作过程中,遇到一个问题,我知道是连接造成的,但我想知道它的原理,感觉蛮有意思的。帮忙回答一下吧,俺也想学习学习。就是把交换机S1550任意两个接口,用直连的线连接,那么此台设备就会"死机"?死机的现象是:此台交换机下层连接的所有无线AP无线接入点都停止了工作。原理是什么?

A: 如果你没有新划分VLAN的话,则一个交换机上的所有端口都是在同一个VLAN中,共用一个VLAN虚拟接口。如果你把同一个交换机的同一VLAN的两个端口直接连接,就相当于把同一块网卡用一条网线直接连接到两个网络接口(假设网卡上有两个接口),结果很显然就是造成一个内部的死循环,IP地址冲突(因为此时源IP地址和目的IP地址是一样的),数据发送不出去。对于设备的理解可能是硬件存在物理性的短路故障中,电流加大,致使网络设备都停止工作。

Q:王老师,您好!一直非常喜欢您写的《网管员必读》和《网络工程师必读》系列书籍,从中受益匪浅。您的最新大作《Cisco/H3C交换机配置与管理完全手册》我正在拜读。现有一小问题请教,未来准备考思科的相关认证(从NA开始一步步来),如果想自己购置二手的交换机、路由器在家做实验的话,您是否可以介绍些适合机型?谢谢,希望您继续给大家带来优秀的作品!预祝您的大作"《Cisco/H3C路由器配置与管理完全手册》"热卖!!!!

A: 谢谢你的信任与支持!要用二手设备自己做实验的话,建议采用3560或者3750系列交换机,路由器方面建议采用3600、3700、3800系列。因为这些型号的设备相对来说功能比较齐全,有代表性,可以从这几个机型上学到最主流的技能。而且这些型号的产品都有较新的IOS系统下载(从思科官网上)。

Q:公司面临网络重新规划(搬迁),想在路由交换设备选型方面听听专家的意见,谢谢!

A: 设备的具体选型所要考虑的方面比较多,如网络通信性能、网络规模、网络拓扑结构、网络应用需求、设备成本,以及公司发展现状等。在此你没有提供给这些信息,所以我只能针对一般情况下的情形为你提供以下几方面的建议:

     首先,在添加新设备前,一定要好好规划自己新网络的各方面需求和拓扑结构,有针对性地进行选购。

     另外,建议在核心层,甚至汇聚层都采用三层交换机,这样即使你们公司暂时用不上三层功能,也可以满足公司不久以后的发展需求,因为在核心层实现三层交换目前是很普遍的了。

     其次,建议尽可能采用相同品牌的设备,同一层次建议还要尽可能采用相同,或者相互支持的型号/系列。这样的好处就是可以确保配置功能的兼容性,充分发挥对应品牌的功能与特性。因为不同品牌,甚至不同系列或者型号,对功能的支持,或者所实现的通信协议类型都不完全一样。

     最后,尽可能地充分利用现有设备,保护以前的投资。

Q:老师,我想问问,在交换机上做acl,要求只能访问www.51cto.com这个网站,其他外网都不能访问,配置如下:

  ip access-list extended test-web

 10 permit ip any host 211.103.156.229

 20 permit ip any 172.16.0.0 0.0.255.255

 30 deny ip any any   上外网的的速度很慢,这个要怎么调整?

A:扩展ACL的列表号只能是100号以后的。另外,建议你把IP改为TCP,因为在互联网访问时除了IP包外,还可能有其他类型协议的包,如TCP分段等。

Q:王老师,您好!首先感谢你能抽空阅读我的问题。

    我是在移动的分公司从事通信软交换类网关即路由器,交换机的维护的,平时移动是不会给我们配置他们的电信级高端设备的,所以我来来去去只用使用有限的display及show开头的命令,但我不甘心就这样只是敲几下命令。我想学会配置这些高端的产品,但又不知从何学起。平时只能利用空闲的时间看下产品的说明文档和技术支持文档,里面也有配置的介绍。但我没办法亲自敲这些命令呀。像华为,redback,juniper这三种产品不会像思科那么好的至少有个模拟器让你练习下。所以现在我有点迷茫,麻烦王老师帮我解答一下以下问题,感激不尽:

   (1)目前是一直呆在移动里面替他们维护设备但学不到配置,还是做上一两年后有些少工作经验再选择跳槽进一间设备厂家好呢,虽然这比较难,但这是个好的选择吗?

   (2)如果一直呆下去,也许移动会觉得我们有足够多的维护经验了,会慢慢让我配置些数据,当然数据也是规范固定死的了,配置过程中绝对丝毫不能出错的!问题是我如何能学好怎样配置这些设备呢?基本没机会敲配置的指令呀。

A:华为设备有一款huaweisim可以用的。至于其他两种的模拟器我目前还不是很了解。你的第一个问题,我建议你不要直接跳到设备厂商,因为那里要求对设备配置有一定经验,建议还是找一家有一定规模,可以接触到设备的公司,特别是外资公司。

    你的第二个问题,移动给我的待遇应该 还可以吧?建议先不要想着跳槽,而是先积累一定经验,等你的上司认为你时机成熟时,我想他会给你机会的。目前先建议熟悉思科和华为这两大品牌的配置。掌握好它们后你就可以有机会真正在设备上配置了。

Q:王老师,您好!我有一个问题向您请教,我们现在进行网络的改造,刚采购一台思科4503做为核心交换机(48个口),二层交换机(24口)直接接在核心交换机上,公司整个网络的点数大约有320多个,大约需要15个二层交换机,我想把每个二层交换机做为一个VLAN,共有15个VLAN,这样划分网络是否合理?老师有什么建议?在15个VLAN之间如何实现相互之间的互访,为了实现所有的客户端自动获取IP地址,内部的DNS服务器和DHCP服务器如何接入和部署(注:公司是在域环境下管理的,现有两台DNS服务器和一台DHCP服务器)?在核心交换机上能否实现对每个客户端IP进行流量控制?如何配置核心交换机?谢谢!

A: 如何划分VLAN这要根据你的管理和应用需求而定,而不一定就是每台交换机一个VLAN。如通常是根据一个部门,项目,或者网络应用来划分VLAN的。因为你下面的交换机都是二层的,这时你最好是采用基于端口的VLAN划分方式。如果你的域网络中已有了专门的DNS服务器和DHCP服务器,这时你就要禁止核心交换机上的这两个服务。默认情况下你不配置它们,就不会自动启用的。可用no ip dhcp snooping information option命令禁止该项功能。

Q:王老师,在IP视频网中,前端设备将视频采集后通过光纤,经过接入交换机--汇聚交换机--核交,最后存储到服务器上,我现在采用的方式是,每个接入层中视频为一个VLAN,其它应用用另一个VLAN(流量很少),不同接入层的视频使用不同的VLAN,多个接入层通过trunk方式接入汇聚层,汇聚层负责下属VLAN配置与管理,并使用路由方式与核心交换机连接。我想问的是:从性能优化方面来讲,此方式是否妥当?

1、汇聚层与核心层使用路由方式和TRUNK方式有无区别?使用路由是出于把各种VLAN广播限制在汇聚层考虑,但要做很多的路由,管理VLAN也要到各汇聚层管理。而使用trunk就方便得多,但几十个汇聚层上的VLAN广播传播到核交上的影响会有多大?

2、在此类单向大流量传输、其它交互应用流量极小的应用,在各层交换机配置时是否有优化规则可选?

3、是否还有更好的方案?

A: 第1个问题,在同一网段内当然是采用Trunk好过路由。一方面路由表项太多的话,会严重影响网络通信性能的,另外Trunk可以通过修剪方式来限制流量只能在对应的中继链路上传播。几十个Trunk对核心交换机的影响要远比配置几十个路由表项小,一般的核心交换机完全可以承受这几十个Trunk的。

第2个问题你可以通过限制端口单向速率来使得另一方向的带宽可以得到充分利用,这对于非全双工端口特别有用。

第3个问题,暂时还没有想到更好的方案。

Q:王老师,您好!我一直都是您的忠实读者,你的《网络管理员必读》系列我都拜读过!最近知道您又有新作《Cisco/H3C交换机配置与管理》出版,特地前来祝您的新作大卖!我自己毕业已有三年,一直从事网络管理工作,但一直都是从事一些公司的项目维护和支持的事务,对于网络设备的配置和使用一直都是我的薄弱环节,一直都困惑于没有环境提升自己。因为工作的原因,我目前没有打算参加培训的计划,所以我想买本有大量操作指导的指南式教程先自学,因此我想向老师咨询的是,就我的这种自身情况学习您的这部实战指南能达到怎样的一种预期程度?应该给自己一种怎样的学习目标?

A: 《Cisco/H3C交换机配置与管理完全手册》是一本面向初、中级读者的交换机配置与管理手册。它的最大特点就是综合了同一品牌不同系列的相同,或者相似功能的配置与管理方法,而不是一个个系列单独介绍。这样的好处就是通过学习可以学到所有主流系列的相同功能配置与管理方法,而且还可以十分清晰地得出不同系列的配置与管理方法的不同。本书介绍的都是通用配置方法,是交换机设备配置的最基本技能要求。通过跟着书中的示例在模拟器中进行练习就可以熟练地掌握各主要功能的通用配置与管理流程。另外本书的一个主要特点就是系统性、全面性,几乎介绍所有主流的系列和型号的绝大多数功能的全面系统配置与管理方法。这是其他同类图书远远不能相提并论的。也正因如此,仅交换机一种设备我就花了近千页,而其他同类图书中,交换机、路由和防火墙等放在一起写,也都没有这个篇幅。

Q:我的问题比较多,列举如下:

1、我还是想问如果不借助软件,在交换机上如何设置能更好的预防arp! 我们现在的方案是 ip和mac绑定  客户绑定网关mac!

2、请问王老师,如和才能更有效的制止arp病毒,如何能更快速的在交换机中找到mac地址攻击源?

3、如何判断交换机接口的线有问题 需要更换网线,或判断接口故障

交换机日志提示Nov  4 02:25:23.389: %LINK-4-ERROR: FastEthernet0/1 is experiencing errors

Nov  4 04:22:16.879: %LINK-4-ERROR: FastEthernet0/1 is experiencing errors

说明F0/1口有什么问题?

4、如果端口或端口连线有问题:

FastEthernet0/1 is up, line protocol is up

  Hardware is Fast Ethernet, address is 0000.2809.e0c1 (bia 0000.2809.e0c1)

  Description:

  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,

     reliability 255/255, txload 11/255, rxload 6/255

  Encapsulation ARPA, loopback not set

  Keepalive not set

  Auto-duplex (Full), Auto Speed (100), 100BaseTX/FX

  ARP type: ARPA, ARP Timeout 04:00:00

  Last input 00:00:16, output 00:00:00, output hang never

  Last clearing of "show interface" counters never

  Queueing strategy: fifo

  Output queue 0/40, 0 drops; input queue 0/75, 0 drops

  5 minute input rate 2394000 bits/sec, 1388 packets/sec

  5 minute output rate 4338000 bits/sec, 1541 packets/sec

     2654035774 packets input, 3981718126 bytes

     Received 841883 broadcasts, 0 runts, 0 giants, 0 throttles

     305845 input errors, 305845 CRC, 0 frame, 6107 overrun, 82328 ignored

     0 watchdog, 497176 multicast

     0 input packets with dribble condition detected

     2886583820 packets output, 3374286050 bytes, 0 underruns

     0 output errors, 0 collisions, 1 interface resets

     0 babbles, 0 late collision, 0 deferred

     0 lost carrier, 0 no carrier

     0 output buffer failures, 0 output buffers swapped out

哪些地方会提示错误?

5、对于日志提示如下;

Nov  4 07:00:25.265: %SW_MATM-4-MACFLAP_NOTIF: Host 0201.0000.0000 in vlan 1 is

flapping between port Gi0/15 and port Gi0/1

这代表什么啊?

6、cisco和华为H3C 交换机 一般需要关闭哪些服务呢!

比如cisco交换机 一般 vtp设置我透明 等

我有好多问题呢,先请教您这几个!有空帮忙解答一下!谢谢!

A:第1个问题目前最有效的方法就这样了,在交换机上对客户端与网关进行MAC地址与IP地址绑定(因为ARP主要是改变网关地址,所以通常只需要绑定网关的MAC地址与IP地址)。

第2个问题,在交换机上是很难发现攻击源的,这需要借助局域网管理软件来查看了,如LANSEE,有MAC冲突时会报警的。

第3个问题从日志中不能看出具体的故障原因,只是说相对应端口链路发生错误。但从日志中可以肯定的是不是物理故障,只是软故障,如接触不良,或者网线连接性能差。你可以通过排除法来排除这类故障,如重插网线,或者换一条网线。

第4个问题,首先看输出状态中对应端口的线路协议状态是否UP(FastEthernet0/1 is up, line protocol is up),再可以查看输入/输出数据包数(Output queue 0/40, 0 drops; input queue 0/75, 0 drops)来查看,还可通过下面的输出数据包错误统计来查看。

第5个问题指出VLAN1中MAC地址为0201.0000.0000 主机在Gi0/15 和Gi0/1端口上发生了迁移。

第6问题没有硬性规定,要视具体需求而定。如多数情况下要关闭telnet服务,但有时又需要,还有DHCP、DNS服务等也有需要的时候。

Q:王老师你好!我想问一下在cisco路由器上面我配置了telnet以后,telnet默认的端口号是21,我现在想把它改成新端口如:2121,这种在cisco的路由器上面有没有办法实现,在Juniper上面就能够实现将自己的21端口改成2121端口,就不知道在路由器上面行不?

A:可以的,在线路配置模式下使用rotary命令即可,如Router1(config-line)#rotary 25,把TELNET端口改为25。但更改了新端口号,要在全局配置模式下用ACL禁止原来的默认23号端口,如Router(config)#access-list 101 deny tcp any any eq 23。

Q:王老师,您好!从上交换开始就觉得理论多,可实际需要配置的确很少。所以个人感觉不深刻掌握交换的原理,遇到复杂的情况就搞不定。一个问题我想王老师给我讲解下,我的思路不是很清晰,就是关于CEF技术的应用!

A:你所说的CEF技术应该是指思科的Cisco Express Forwarding(Cisco特快转发)技术吧。CEF其实是传统路由转发技术的一种改进。以前的路由转发技术是通过建立数据包目的地址的IP路由缓存来实现的。也就是下次同样目的地址的数据包可以直接从缓存中快速地找到对应目的地址的路由路径。这对于路由不是很复杂,路由表项不是很多,网络拓扑结构不频繁发生改变的情况下是很有用的,所以传统的路由转发技术仍是应用于的主流。但对于网络拓扑结构比较复杂,路由表项比较多,拓扑结构可能会频繁发生变化的情况下,传统路由转发所依赖的缓存,就显得有些力不从心了。这也就是CEF技术出现的背景。

     CEF路由转发技术是通过建立一个存储量,检索更优势的目的地址路由转发信息库(Forwarding Information base,FIB)和邻接表(Adjacency Table,存储的是邻接交换机端口的MAC地址)这两种方法来提高路由表项的存储量,查找数据包转发到下一交换机和远程目的地址的效率,以实现在复杂多变的网络环境中数据包的快速路由转发。

Q:我一台H3C的三层交换机不能在接口配置IP地址,与一台CISCO的3750交换机连接,这样是不是只能跑静态路由?

A: 3750支持动态路由的,只要是你所说的两台交换机在一个子网中,就可以通过3750交换机实现动态路由功能。只需要在3750交换机上连接H3C交换机的相应端口配置动态路由就可以实现。

Q:你好,王老师,很早以前就听过您写的系列书,对您很敬仰。我个人对无线网络比较感兴趣,现正在学习CCNA,自己学习路由和交换的知识和配置。我有个问题一直没懂:一个24口交换机,每个口都有独立的IP和MAC,比如E0 IP 192.168.0.5此口相联的主机的IP为 192.168.0.8,中间只用一根网线相联,此时交换机的IP 和MAC有什么作用,通讯时两者独立的IP和MAC是否会冲突?

A: 不会冲突,如果仅是二层交换,则是通过MAC地址来识别的,如果要进行三层交换,则此时的IP地址与MAC就形成了一个映射表,网络间的通信是通过IP地址进行的,而到了同一子网内部,则可仅由MAC地址进行通信。

Q:我想问一下,为什么现在好多公司直接用三层交换代替路由,除了成本方面的考虑,还有其他原因吗?

A:另一个原因是三交换机的路由功能在局域网,甚至一般的IP类型广域网都可以足够应付,所以无需另外配置专门的企业级路由器了。

Q:王老师你好,我想问下。以前我维护过思科的交换机3550. 在没有IOS的情况下,且重新开机3550。发现只能从Xmodem进行灌IOS了,要灌好久。TFTP不能使用。 那在我上面描述的这情况中,有没有另外的灌IOS的方法,比Xmodem会更快呢?

A: 不知你试过RoMmon恢复模式没有,在这种模式下,你就可以使用TFTP协议从TFTP服务器中下载IOS映像。还可以在ROMmon模式下使用copy命令从TFTP服务器上复制IOS映象。这方面,在我的这本书中有非常详细的介绍。

Q:王老师你好,特别欣赏你对各类产品的参数,报价了如指掌,我想知道是h3c各类交换机的具体含义,比如si,ei,他们之间有什么差别?

A: SI是指只具备标准接口功能(如基本的二层交换,或者基本的三层路由功能,如RIP路由)的型号或者系列,而EI则是指含有扩展接口功能(主要是指具有复杂三层路由功能,如OSPF、BGP)的型号或者系列。HEC交换机名称后面的P是指端口的,如S3600-28P-EI,代表具有28个端口,扩展接口功能的S3600型号。

Q:请王老师介绍本实用的易懂的H3C和cisco 教材。谢谢!

A: 个人认为目前来说,国内最容易看懂的还是我所编写的这本《Cisco/H3C交换机配置与管理完全手册》,因为我编写这本书时是把几乎所涉及到的所有原来比较复杂的原理和配置思路都转换成了通俗的语言。至少要使我自己能看懂,真正理解。

Q:作为一家制造型企业,大概有500+台电脑,对于网络要求不是很高,有什么合适的Cisco/H3C三层交换机可以搭建核心层交换?物美价廉最好.。

A: 建议采用Cisco的4506、4928型号交换机,或者H3C的5626C号交换机作为你的三层核心交换机。成本方面,因为它们全面支持廉价的双绞线,且光纤SFP和模块可选,端口适中,是一个比较理解的中等规模网络的三层交换机选型方案。

Q:企业有120台左右的计算机,没有使用域管理,主路由H3c,交换机都是杂牌的简单交换机,网络比较慢,如何能较好的提升网络速度?

A: 120台机的网络不是很大,如果没有复杂的网络应用,要提升网络速度的话,则可以通过替换现有的网线,并把以前杂牌的交换机放置于接入层,最好只跳几个性能好一些的,太差了的不要,特别是集线器。最好重新购买新的交换机,配置拓扑结构。既然你的路由都是H3C的,你要吧选购H3C S3610-28TP作为核心交换机,S3100-52TP-SI作为汇聚层交换机,你以前的那些好一些的杂牌交换机。

Q:二层交换机是如何识别IP地址的?

A: 二层交换机内部的数据交换不是以IP地址进行的,而是通过MAC地址进行的。它识别客户端IP地址是通过ARP协议缓存中的MAC地址与IP地址映射表进行的。

Q:你好!我想问下关于管理vlan的问题。它所使用的三层地址究竟是什么原理?通过trunk链路的时候管理配置permit 管理vlan 它是怎么通过的?

A: VLAN的IP地址是在VLAN虚拟接口上配置的,作为整个VLAN的管理IP地址。trunk技术可以使得当前指定的VLAN信息在trunk链路上中继,在中继链路上的其他交换机上自动配置相同的VLAN信息信息,这样就无需在中继链接上的其他交换机上配置相同的VLAN信息。如果没有允许trunk中继,则VLAN就不能在该中继链路交换机上中继自己的VLAN信息,就需要手动配置了。

Q:最近在书店看了条命令:spanning-tree说是开启生成树协议的,spanning-tree mode rstp是开启rstp协议的,但是回到学校去做实验却行不通,难到是那本书写错了么,可是我已经反复看过那本书很多遍了没有抄错啊,但是实验就是行不通,我用的是小凡模拟器和思科模拟器都不行!还请王老师能帮个说下是怎么回事,谢谢啊 王老师!!!

A:STP协议在每个VLAN中默认是启用的,如果是在关闭STP的VLAN中启用STP协议,所使用的命令是spanning-tree VLAN VLAN-ID,需要指定具体的VLAN。RSTP协议通常是通过启用RSTP-PVST(基于每VLAN来启用RSTP)协议进行的,所用命令是:spanning-tree mode rstp-pvst。以上两条命令都是在全局配置模式下进行的。

Q:王老师你好:

     我本人在设备配置这方面就是一个实足菜鸟,虽然也用虚拟机配置过一些案例,但是真实设备很难摸到由其在h3c方面更是不太懂请王老师除了命令和cisco有一些区别之外能不能请您推建一下即能学cisco又能学h3c的书。

A:其实真实设备与虚拟机之间的唯一不同就是真实机有一个可以看得见的外观样机,配置方法与模拟器的是一样的,只要所采用设备操作系统版本是一样的。H3C也有模拟器,如HUAWEISIM。CIsco和H3C设备的功能有许多相似之处,但具体配置命令和方法区别是相当大的,但总体配置思路还是有许多相似之处的。你可以看一下我的这本《CIsco/H3C交换机配置与管理完全手册》一书,通过对比学习就可以发现这些了。

Q:cisco和华为之间怎么样配置链路聚合?要不要注意些什么?

A:要在Cisco和H3C交换机间配置链路聚合就只能通过LACP协议来进行了,且两端交换机都必须都支持LACP协议。在Cisco交换机这边不能采用思科专用的PAgP协议来配置链路聚合了。

Q:王老师您好:我想请问您,关于灾难恢复一般思路是什么?我只有些理论知识,没有实践过,思路并不是很清晰,还望王老师能指点指点。谢谢!

A: 灾难恢复就是要根据自己企业的实际数据安全需求制订一个容灾方案,包括数据备份媒体选择(如磁带备份、光盘备份,或者磁盘备份),各级别(如周备份、月备份、季备份、年备份)备份类型所采用的备份类型(如正常备份、增量备份、差异备份等),数据还原方式(如GHOST还原、磁带/磁盘文件还原),备份媒体的存放方案(不能级别的备份媒体存放位置要所有区别,以便可以抵御不同级别的安全灾难),不同级别备份媒体的备份数量配置方案,备份媒体的存放环境和安全要求等方面。

Q:王老师好!目前这里有十台左右的华为S2403接一台3528,有没有方法鉴定下面有没有用户私自安装无线路由器?

A:用sniffer监控就可以。通过查看网络中各用户的出口通信就知道了

Q:您好,王老师!我想问一下H3C三层交换机如何实现VLAN间的互访呢!我试过给vlan分配过IP,但那样全部的vlan都可以互访,而我只想让两个vlan间可以互访,其它vlan不可以访问这两个vlan。

A:H3C的VLAN间路由配置比起CISCO的来说,配置更复杂一些,而且效果也没有CISCO的好。通常是采用的port trunk permit命令来允许或者禁止trunk中继(这里的端口是指VLAN虚拟端口),通过QOS策略可以更有效地控制VLAN间的数据流通信。

Q:王老师,您好!学习思科已经有一段时间了,有个问题请教你,现在三层交换机应用很多,会不会有一天三层的交换机能完全替代路由器?还有很多核心的交换机,他们有没有可能完全兼容路由器的功能?谢谢!

A:这一天我想肯定会有的,因为现在许多设备的功能都开始集成了。就目前来说,在企业级核心交换机中的路由功能已非常强大,在一些不是很复杂路由环境和网络通信地址协议类型的网络应用中,绝大多数是完全可以通过三层交换机来替代路由器功能的。

Q:王老师,您好!现在,大部分企业基础网络(信息化建设)上已经搭建好了,简单的基本交换及路由,已经成型了。。简单的配置工作,基本上没有更多的改动。我想问的就是:如何这些设备中,安全、集中管理、备份、容错、维护等方面?有没有好的建议?cisco\h3c设备都基本上,我都用过。。感觉cisco比较好。谢谢了。

A:是的,总体上CISCO的功能和配置都相对H3C的要好些。要实现对这些设备的集中管理,则需要使用专门的设备管理软件了。如果网络中所采用的是单一品牌的,则可以使用对应品牌的网络管理软件,如思科的CiscoWorks,H3C的H3C设备管理系统;如果是混用的,则可以用以上软件进行分别管理,也可以用像SiteView(游龙)这样的第三方网络管理软件进行统一、集中管理。至于你所说的备份、容错方面,你可以采用冗余链接,甚至双机容错方案。这些在我的这本书中都有介绍的。

Q:您好!我想问几个关于路由器的问题。在配置路由器是经常出现一些接口的问题如AUX LAN SE  eth  还有一些模块的接口,很难去区分它们的区别可以问下专家可以帮我解释下吗?还有就是在公司时经理要我配反向nat,可以请教下反向nat的配置吗?

A: AUX接口通常是用来进行路由器配置的,也是一种Console接口,LAN接口是指用来连接局域网的接口,通常是RJ-45接口类型的,ETH则是指以太网接口,通常是RJ-45接口类型的。还有像SFP和GBIC这两种模块接口,都是一种可以同时支持双绞线电接口和光纤的光接口的接口模块,但SFP接口体积比GBIC更小,这样就可以在同样体积的模块中提供更多的端口数。另外,要注意的是,因为有些电接口和光接口是与交换机一个子端口对应的,所以不能同时使用连接到同一子接口电接口和光接口。反向NAT就是把内部IP地址映射成外部IP地址,让外部用户能访问位于内网的服务器。配置命令就是ip nat inside source static tcp 内网ip   端口号 外网ip  端口号

Q:请问王老师,现在互联网宽带很多都用fttp+lan高速接入了,那带路由和vpn功能的防火墙是不是可以代替路由器直接作为internet接入了?我看实际很多中小企业都是这样用的。另外我看您比较忙,您的博客更新没以前多了!

A: 如果是仅接入互联网,且防火墙有支持你所用的互联网接方式,那就可以直接用它接入互联网了。

谢谢你的关注!近期书稿和全国网管技能水平考试的指导工作比较多,所以更新博客频率低了。我目前还在北京进行新闻发布会、专场讲座和接受专访。所以本次技术门诊的全面解答也要等到我回到家里后才能进行,敬请大家谅解!

Q:Cisco和H3C交换机在二层网络中,配置生成树应注意什么问题?( STP与PVST+协议对接, RSTP与Rapid-PVST+协议对接, MSTP 与MST协议对接 )

A: 首先要确保整个生成树,或者多个生成树中的交换机上支持了你所要启用的生成树协议版本,如PVST、PVST+、Rapid-PVST+ 和MST。其实也就是考虑各交换机所支持的协议生成树类型。在同一生成树,或者在多生成树中的某一个区域中,必须按最低协议版本来配置。

另外,不要在同一生成村或者多生成树区域中启用、配置多种生成树协议,否则会造成配置冲突。

最后,在确定了要采用的生成树协议类型后,你需要使整个生成树,或者多生成树域的每个交换机的端口角色和状态都按同一生成树协议进行部署,而不要有一统一的现象。

Q:我司购买了一台华为的S3328TP-EI,用console进行了简单的配置,设置了vlan1和IP地址,当时可以使用ping命令ping通缩设置的IP地址。但接到网络上后,就发现不能ping通了。我这台交换机上接了4台路由器、12台服务器、一个24口的D-link普通交换机,而我的本机就是接在这台D-link上的。请问,这个会是什么问题?谢谢!

A: 那要看你的D-LINK交换机是否是接在VLAN1所包括的端口了。

Q:老师你好。目前学校里在每层都放置了楼层交换机,每个宿舍分配四个接口。如果把其中两个端口用网线连起来会造成什么情况?为什么会被封端口号?

A: 我没试过你所说的这种情况,但我想从原理上来分析的话,如果这样做的话就会形成环路,造成网络性能下降,甚至死循环。数据无法达到目的地址。封端口号的目的我想就是为了避免你这种环路的出现。

Q:王老师好:公司现在是用的普通的交换机和路由器,想改造网络,并且要做vpn连接,因为有好多分店要连接,请问用Cisco的好还是华为的?

A: 从性价比方面来说,还是建议采用H3C的路由器设备来部署VPN应用

Q:王老师好,我想问问设备配置界面的问题,我们现在学的都是CLI的,GUI的模式会不会取代CLI? 如果会最终取代的话,现在学CLI是不是将来有点无用武之地?

A:GUI模式我想很难全面取代CLI,一是因为GUI模式要消耗大量的资源,设备中的网络操作系统和内存都难以支持,二是GUI模式对于有些命令可能无法实现,就像Windows系统中有些功能(如FSMO角色抢占)都不能在界面中配置,只能在命令模式配置一样。

#p#

Q:你好,我想请问下如果要学习交换机集线器路由器等网络设备,应该如何学习呢?应该哪方面入手呢?还有思科和华为王先生你会选择哪个品牌的呢?

A: 集线器现在就不用学了.设备配置学习方面,在你还不具备实际配置能力前,一般来说你是没有机会接触真正的设备配置的,所以这时你就得先通过看书学习,然后利用对应的模拟器进行练习.首先要学的你还是Cisco的交换机设备配置。

Q:王老师好!首先我想声明下观点,我认为目前企业网络内部的信息交换包括路由全都应该用交换机及3层交换去实现,不用路由器。只有当需要远距离传输时才用路由器去解决。这种观点正确吗?其次我想问在内部全由交换机实现的企业内部网络中使用哪些技术来实现流量管理?使用哪些技术实现对交换网络的管理?配置方法是什么?

A: 首先你的观点是正确的,在大多数企业网络中,三层交换机基本上可以全面取代路由器。至于全交换机网络环境中可以通过配置端口速率限制、QOS,以及VLAN间路由等技术来实现流量管理。这些功能的具体配置方法就涉及到比较多的内容了,在此没时间为你一一列出。你可以看我的这本《CIsco/H3C交换机配置与管理完全手册》。要实现对整个交换网络的管理就需要用到专门的网络设备管理软件进行了,如思科CiscoWorks 和华为网络管理软件,第三方像游龙科技的SiteView网络管理软件等。

Q:"用sniffer监控就可以。通过查看网络中各用户的出口通信就知道了。"能够更详细点说明如何通过网络监控软件查看下挂用户私接无线路由吗?

A:可以的,你只需要查看到可疑用户与外网的通信数据包就可以发现他们所用的路由器了.有关具体使用sniffer查看数据包的方法参见我的<网管员必读_网络测试\监控和实验>一书.

Q:王老师,您好!我非常喜欢您写的《网管员必读》和《网络工程师必读》系列;特别是您的《Cisco/H3C交换机配置与管理完全手册》我正在学习。我现在正在培训期间想考取思科的认证,可是试卷全是英文的,我正在努力的看题库;我感觉这样学习真累,您有什么好的方法吗?

A:学习时可通过模拟器多训练,但考试还是英文的啊.建议只学知识,不要考这个认证.也没什么意义的.

Q:王老师您好,我是高校的网络维护人员,我们用的都是H3C的设备,现在有个问题就是学生宿舍上网,我们用的是3600下面配合傻瓜交换机管理的,有什么好的办法解决宿舍ARP严重的问题,比如配置管理交换机或者升级设备等。谢谢。

A:ARP病毒通过设备是难以有效果的,只能通过专业的杀软来监控和查杀.如卡巴,360也可以。

Q:请问王老师, 我单位有移动和网通两条光纤接入互联网,路由器都在运营商那里,现在想统一管理,仍用两条线,一部分用户用网通,一部分用户用移动,应配置哪些设备,如何实现这样的功能? 谢谢!

A:用网吧宽带路由器就行了,同时支持像电信和联通的宽带接入的多WAN端口宽带路由器.具体配置方法你可以看我的<金牌网管师_网吧网管>一书.

Q:王达老师,h3c的二层交换机3100虽然提供网管ip但是没提供该ip的网关ip,这样通过远程配置都要先通过三层交换来进行配置,难道厂家在二层交换机上加这个功能很难吗?

A:可为通过配置默认静态路由来实现啊,命令为:ip route-static

Q:王老师您好!请教您一下,

(1)企业网中Ciso2950交换机出现ARP风暴时该如何解决

(2)交换机在配置方面有没有什么通用的配置方法

A: 你确认为ARP风暴?不是广播风暴?如果是广播风暴,建议你重新设计或者配置一下你网络的拓扑结构,尽可能不要有冗余链路,可以开启STP,或者RSTP之类的协议来消除。ARP病毒的话,可以在交换机上做端口绑定即可。同一品牌中同一系列的交换机有基本一致的配置思路和方法,但也不是绝对。不同系列的相同功能配置命令都可能不一样,所以你需要具体学习。这些在我的这本《Cisco/H3C交换机配置与管理完全手册》书中就对这些不同之处进行了综合比较。以上其他的也都有详细介绍。

Q:王老师,您好。感谢本站的介绍,9月份我已买了您的这本新书。借此机会,请教个问题。

有一台Quidway F1800-a 布置在H3C SR8805的前面,网桥模式,配置它的管理地址(内部)一直没有实现与内网连通。谢谢。

A:是不是配置在同一VLAN中了?如果不是,是不是在两台交换机上配置了VLAN中继?否则是Ping不通的。

Q:老师您好!还想问您个问题。就是有的公司使用路由器直接连公网而有的却是在路由器前面还加个modem。可以指点下两者的优劣吗?

A: 直接连接公网是采用的专线连接方式,通常分配一个固定IP地址,是其优点业般表现为稳定好,可用性较好,但价格较贵,加个MODEM的是要拨号上网的,通常是动态分配IP地址,其优点就是价格便宜,但不稳定,可用性也不是很好。

Q:最简单的路由器配置为啥丢包。

--------------------------------------------------------------------------------

Router#show runn

Building configuration...

Current configuration:

!

version 12.0

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Router

!

enable secret 5 $1$msL5$VPGEFhW1Dfk8blIoiqtOt0

!

ip subnet-zero

!

!

!

interface Ethernet0/0

ip address 192.168.159.14 255.255.255.0

no ip directed-broadcast

ip nat inside

!

interface Ethernet0/1

ip address 58.240.239.118 255.255.255.252

no ip directed-broadcast

ip nat outside

!

ip nat inside source list 1 interface Ethernet0/1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 58.240.239.117

!

access-list 1 permit 192.168.159.0 0.0.0.255

!

line con 0

transport input none

line aux 0

line vty 0 4

password admin

login

!

end

配置允许192.168.159.*这个网段的机器允许上网,发现在PING www.163.com时延时150ms以上。而且丢包。直接用pc连外网ping 则正常。各位高手帮忙看下可能那里出了问题?补充下Cisco 2600路由器。

A: 你的路由器配置并没有影响网络连接性能的设置,估计还是交换机配置(如存在环路),或者交换机性能不行,还可能是网络中存在太多广播包引起的。你用PC直接连接外网是不经过交换网络的,所以上面这些因素不会影响你的外网连接。

Q:王老师,我是 紫轩£狂枫。我们公司100来台电脑,用的是3com  4250t交换机,其余的都是一般都是用TP-LINK,但是好像网速比较慢,而且有人偶尔网页都打不开,可能是有人下载,我想问问有什么办法可以知道谁在下载或者限制下载,

A:许多网管工具软件都可以实现限制下载的,如网路岗、聚生网管、超级网管等。至于如何发现,则可以通过像sniffer这类监控软件来进行了,通过它的通信流量视图就可以很容易地发现哪台机的通信流量太大,不正常。

Q:王老师,既然您把思科与华三的交换机放在一起作个手册,我想问下,书中有没有相关的思科交换机与华为交换机的性能对比,做系统集成时的交换设备采购建议。

 茶乡浪子 在《Cisco/H3C交换机配置与管理完全手册》一书中没有对两品牌交换机进行专门的对比,因为这两个品牌各自有太多的系列和型号了,综合对比没有多大意义,一个个对应层次系列进行对比,又很难进行,因为这样一来,篇幅就会大大增加。但从两个品牌的交换机功能配置介绍可以看出,Cisco的无论从功能上,还是性能上都较H3C的要好许多。H3C基本上都是采用通用的协议,尽管具有较广泛的通用性,但通用协议的功能和性能都不如Cisco专用的。

Q:最近公司IT部门打算对现有的网络进行改造,准备采购微软的ISA 2006 ,来配合思科的ASA 防火墙,一起使用, 我们用ISA 主要是灵活控制员工的上网行为,并且统计员工的上网记录,ISA 对上网的应用控制比较强,那请问我该如何配置ISA 和思科 ASA,该组成什么模式?才能发挥这两个防火墙的功能呢?

A: 你同时使用ISA和ASA防火墙的话,建议你仅对ISA上配置上网行为管理,当作一个网络管理工具软件来使用;而对于通信流过滤方面,在ISA上不要做任何设置,这方面可以在ASA上进行配置,否则两者很难达到完全一致的配置效果,还可以相互冲突。而且在两个防火墙上都配置过滤的话,对网络连接性能的影响会非常大的,因为每个数据包要经过两个防火墙的过滤策略分析。建议你不要使用ISA,而采用其他的网络管理软件,如网路岗、聚生网管、网警、超级网管、清杨网管等。因为ISA占用的资源比较多,对网络通信性能的影响比较大。

Q:王老师,如果交换机的端口下联的是一台虚拟机的物理服务器,里面的虚拟机处于不同的网段,如果要保证这些虚拟机互访和访问外面都不受限制,这个接口需要做单独的配置吗?

A:不用在接口为每个虚拟机单独配置的,你只需要配置物理服务器,各虚拟机间的互访通过虚拟机软件的NAT模式来配置与物理服务器的连接即可实现互访。

Q:王老师,我想向您咨一下,Cisco路由器的双线配置问题,我公司现在有一条10M的网通的光纤,还有一条4M的电信光纤,我在网上查了好多双线的配置方法。都不理想。我的想法是,最好是能利用现在的Cisco路由器,进行双线负载的自动平衡。不知道王老师有好的解决办法没?

A: 在Cisco路由器做负载均衡方法倒是很多,如基于策略、基于开销和基于HSRP协议,但我认为第一种更容易理解,更容易配置。就是为不同线路配置不同的路由表和相匹配的ACL列表,限制某个地址范围的用户使用某个路由表和ACL列表。所使用的命令包括:Route map(创建路由表)、 Match access-list(匹配ACL列表)、 Set interface(设置线路连接接口)。要注意的是,你需要在两个ISP线路接口上分别配置,但配置项的具体内容有所不同。

Q:专家您好,我的网络环境是这样:有一台Cisco 3550交换机作为内网核心交换机,上联路由器Cisco2811(线路A接入)和路由器华为R1760(线路B接入),下联内网2层交换机。想实现如下需求:

1. 当A或B线路有故障时,另一条线路能自动切换。

2. 当A/B线路正常时,实现均衡负载。

3. 对内网数据流进行QoS策略部署,实现对重要数据的保障。

请问专家,以上需求若能实现,都需要进行哪些方面的数据配置?在均衡负载和线路切换方面,是否是通过C3550来实现? 谢谢专家!

A: 不同品牌的路由器比较实现负载均衡的,虽然都有一些均衡的配置方法,但可能难以兼容。在C3550交换机上是不能配置你所需的负载均衡的。

Q:王老师,你好!现在在一家公司做城域网工程,对下层的DSLAM,与接入汇聚层的设备有一些认识.在配中兴9210的设备时,在加完业务VLAN后就要关闭PVLAN功能,想问一下,PVLAN是做什么用的.为什么华为的5600就不用配?还有一点就是对BAS一直不理解,在接入汇聚后再在各业务VLAN外加打统一的一个标签,说它们是为了到上层BAS中寻求认证的.还有人说经过华为S3328后就直接到NE40了.在此想问一下,BAS在城域网中主要起到什么作用?

A: PVLAN通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中,它们可以使用相同的IP子网。PVLAN是用来实现下层不同用户的VLAN(辅助VLAN)间的隔离,但上层VLAN(主VLAN)是可以全面管理下面的各用户VLAN的。主要应用于ISP。在中兴设备中,需要完成业务后关闭PVLAN,可能是受该品牌设备的PVLAN管理局限性限制(本人没有配置过中兴设备),可能不关闭就无法对用户VLAN进行管理。CISOC是的是不用关闭PVLAN,就可对用户VLAN进行管理的。有关PVLAN方面的知识可以看我的《CIsco/H3C交换机配置与管理完全手册》一书的第8章。BAS(宽带接入服务器)是用来管理用户接入的。不知是不是你所说的BAS。

Q:Cisco和H3C在命令上有哪些区别,希望那个能够提供相关的较为详细和分类的资料?

A:对比一下两者相同功能的配置命令要吧发现,它们的许多功能配置思路是基本一样的,只是具体的命令名称,或者参加不完全一样(但也有相似的地方)。具体要说到有哪些区别,我想在这里也没法给你列出,你可以在看我的这本书时对比一下相应章节介绍的相同功能配置命令就知道了。

Q:首先 谢谢您的指点!我想再请教一下,关于深入学习的问题!我是一个网络设备的初学者,重点学习了思科设备,只过了NA!简单学习过 华为和锐捷设备!我想问,我该如何更深入的学习呢!我现在已经毕业,从事IDC 网络运维!想更加深入的学习!我觉得证书不重要,关键是真正掌握的技能? 这样想对吗?

我觉得自己该系统的从头学一下!学校学习的东西 工作后感觉还是不够,不够具体和深入!只是不知道 该如何系统学习!? 还有是先学路由呢 还是交换? 我们公司基本没有路由器 都是交换机!? 这样感觉很迷茫!我们在学校主要就学习的路由 ,交换的相对较少? 请您指点一下!

A: 你的观点为是正确的,证书只是在找工作时有些参考作用,对于实际工作没有任何帮助。在实际工作中还需要真正过硬的技能,不是靠证能解决得了的。你现在从事的是IDC运维,如果你觉得可以长久发展的话,则建议从基础开始,系统地学习一下网络设备的配置思路和方法,特别是思科和H3C的。而且建议从交换机配置开始,因为交换机的应用远比路由器的要常见。如果你不确定能否长久在IDC公司工作,则建议系统地学习一下网络管理知识和技能,网络管理不仅是网络设备。相反网络设备的配置只占极少部分,更多的是应用服务器和网络服务器的配置与管理。

Q:我使用的H3C路由和交换机,路由:MSR 20-21,我想进行IP和MAC的绑定,请问老师可以吗?

A:MSR 20-21路由器没有IP地址与MAC地址绑定功能,但有MAC地址攻击检测功能,使用的命令是:arp anti-attack source-mac { filter | monitor }

Q:你好,王老师.很高兴你能抽出时间,为我们解答,非常感谢.我想知道如何在交换机实现对VLAN的安全控制和访问,还有在三层交换机上才能哪种方法对避免广播风暴起到立杆见影的效果??谢谢!

A: 对VLAN访问的控制是通过ACL进行的。在交换机上最有效的避免广播风暴的方法就是启用STP,或者RSTP协议。

Q:对于五十人左右的..公司有必要使用三层交换机吗?  在结构 上..怎么规化.像文件服务之类 服务器如何配置.

A: 具体是否要使用三层交换机要看你的网络应用需求而定。如果你想要对部分用户的访问采用基于协议(如IP地址,或者通信协议类型)的过滤,还要看你们公司的发展速度。如果发展速度比较快,在近期内可能要用到三层过滤,或者三层交换(三层交换比二层交换的性能要好许多),就建议采用三层交换机。否则没有必要。

Q:华为2层设备,管理vlan可否和业务vlan同时使用?怎么实现?

A: 我不太清楚你所说的"同时使用"是什么意思。是要同时把管理VLAN用于业务,还是指同时启用管理VLAN与业务VLAN呢?如果要把管理VLAN用于业务当然不行,但如果只是要同时启用,当然可以,不用额外配置的。

Q:王老师好,我有个技术问题想咨询一下!具体情况是这样的,两台hp的380g6的服务器,都是双网卡的,两台cisco的3750-24的交换机,两台cisco asa5500的防火墙,我现在想实现服务器、交换机、防火墙都做冗余(两台服务器是做的集群),请问交换机和防火墙怎么配置冗余呢?就是说服务器的两块网卡分别连到两台交换机上,任何一台交换机down掉都不影响服务器的访问,(防火墙的配置与交换机类似)请王老师帮助解决一下!

A: 你问的问题比较大,你可以在连接服务器的两个交换机的其中一个端口上启用RSTP协议,并把该端口配置为"备份端口",这样就可以确保在正常情况下只启用另一个交换机的端口链路,当正常链路换效时,备份端口所对应的链接会自动接替失效的链路。至于cisco asa5500方面的冗余配置目前我还不知道,不好意思。因为通常防火墙不会采取两台防火墙这样冗余的。

Q:王老师好,我是一个新手,刚开始接触可网管交换机和路由器,想问一下,怎么能够快速入门和提高?补充一下,我这里只能用模拟器的,单位的h3c是不敢乱动的!

A: 新手学习设备配置基本上都是通过模拟器软件进行的。现在网友学设备配置普遍存在一个误区,那就是认为只有看纯大型案例的书才能学到知识。这是非常错误的,因为对于新手来说,连基本的功能配置都不会,你如何学到通用的功能配置?如何理解书中那些大型案例的配置语句?看完后可能连个基本的配置思路和方法都不知道,又有什么用。大型案例的书只适合于有比较丰富的经验的读者阅读,作为拓展学习应用方案配置的。H3C设备网上有专门的"H3C模拟器"下载的。

Q:王老师你好:想问下堆叠是不是只有高端产品才支持呀?端口密度大的情况下,是做堆叠好,还是直接采用高背板模块化的三层好呀?

A: 相反,堆叠是低档设备才支持,中高档设备不支持。因为堆叠主要用于接入层,最多是汇聚层。从成本上来考虑,当然是选择堆叠好些,毕竟低档设备比较便宜。模块化设备一般是中高档的才有,价格比较贵。而且还没有堆叠的端口扩展能力那么强。

Q:王老师,您好!我配置过一个Cisco3800的路由器,增加了两个模块,每个模块上有两个以太口,同一个模块内的两个以太口可以互相通信,不同模块之间无法通行,最后在两个模块之间用一根网线直连,两个模块就可以通信啦,中间试过两个模块之间配置路由等方法都没有解决。王老师,如果不用这根网线能不能让这两个模块之间可以通信,因为用网线后占用了两个端口?

A: 这两个模块是用来连接不同网络的,这些端口默认是可路由(routed)模式,当然不能直接相通,需要配置路由。如果两个模块连接的是同一个网络,可以把这两个模块的端口都配置成ACCESS模式。

Q:我用的是神舟数码的CR3360的,我的路由下面接CISCO的交换机二层的,我路由的密码不记的了,想问一下,这个破路由的密码是乍搞的呀,和CISCO的一样不?

A:没用过这款路由器。你看一下有没有复位孔,或者按键。如果有的话,先关机,按住这个孔,或者键再开机,一直到启动成功再松开,试一下。这时就会是默认的密码了。

Q:老师好!我想知道H3C3526C的设备如何实现ACL在某个具体端口上的应用策略?

A:这方面你可以看我的《Cisco/H3C交换机配置与管理完全手册》的第19章。

Q:王老师你好,我想问一下如果是两个交换机相连,每个桥的priority均为默认,链路开销相同,都是fastethernet,从mac地址的大小已经可以确定谁是根桥,谁是非根桥,那么在这个非根桥上如何判断哪个端口为根端口。在非根桥上判断根端口的依据则为哪个端口跟根桥最近。交换机上两端口为f0/23与f0/24,线路连接情况为f0/23<----->f0/24,f0/24<-------->f0/23.。一般的连接情况都是f0/23<----->f0/23,f0/24<----->f0/24,这个情况我知道如何判断,因为在priority相同,mac地址相同(同一个交换机上),链路开销相同的情况下则比较端口ID,肯定是端口ID小的为根端口。那如果线路连接情况为f0/23<----->f0/24,f0/24<-------->f0/23.在判断端口ID大小时是应该判断本地端口,还是与之相连的端口ID大小呢?谢谢,非常感谢王达老师!

A: 根端口是在非根桥上的,所以只能在非根桥上的端口进行比较。在所有与根桥连接的端口吕,端口ID最小的就成为根端口。你所说的这种情况,当然就是非根桥上的f0/23端口为根端口了。

Q:在Cicso设备环境下,一个园区网使用OSPF作为其路由协议。该园区网使用了OSPF多区域设置,在AREA1中的网络设备通过O的路由可以去往1.1.1.0/24网段,但是现在要求该区域内的网络设备也要使用穿越AREA0的路由去往1.1.1.0/24网段.在不使用静态路由、默认路由和策略路由的情况下只在OSPF协议内做设置能否完成改要求?【最好还可以提供路由的冗余】

A: 为什么不使用简单的静态路由,或者其他路由方式呢?其他方案我没有想到,不好意思。因为我只有晚上有时间,今天晚上也累了,一下子解答了几十个读者的提问。要休息了,以后有问题,可以在我的读者群中提。谢谢大家的信任与支持!

Q:我想问一下 : VRRP协议和HSRP协议的差别,那个效率更高。

A: VRRP协议是确保在主路由器不可用时能够提供动态的故障转移机制,允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。

HSRP协议是思科专用的,它可以在终端主机不能动态知道第一跳路由器的IP 地址时,提供一个虚拟路由器。这样做的目的就可以实现即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。从以上简单介绍可以知道,两者实现的功能其实是差不多的,甚至可以说是一样的。但VRRP协议允许参与VRRP组的设备间建立认证机制,安全性更高。而且VRRP的实现路由备份的机制比HSRP的简单,因它只有三种状态和5个事件,而HSRP协议需要用到5个状态和8个事件。VRRP协议工作在TCP传输协议基础上,而HSRP协议工作在UDP协议上,则此可见,VRRP协议更加可靠,但需要占用更多的资源。

更多精彩技术门诊请访问:http://doctor.51cto.com/

【编辑推荐】

  1. [134期]VSFTP服务的日常应用及疑难问题解析
  2. [133期] 保障企业核心机密——与专家对话内网安全
  3. [132期] 实战乃王道:C/C++开发常见bug解析
责任编辑:张攀 来源: 51cto
相关推荐

2013-05-06 09:49:17

H3C交换机交换机设置

2009-05-05 17:57:25

交换机S7506EH3C

2010-09-03 12:33:43

H3C交换机DHCP

2010-09-03 12:48:15

H3C交换机DHCP

2010-09-26 09:30:29

H3C交换机配置DHC

2010-09-26 15:15:43

H3C交换机DHCP命

2011-08-16 09:27:50

端口镜像交换机

2010-04-25 16:05:57

2009-07-21 09:23:07

2009-12-30 14:07:25

2010-08-20 11:21:15

2010-01-12 09:47:36

H3C交换机super

2010-06-12 22:05:23

以太网交换机H3C

2010-09-03 12:27:45

H3C交换机DHCP

2010-01-11 10:18:36

三层交换机配置

2011-04-02 17:13:39

VTPTrunk

2010-05-04 15:43:05

H3C S12518交

2010-01-05 15:33:53

高端交换机

2010-05-05 14:04:34

交换机H3C

2011-07-08 09:54:39

点赞
收藏

51CTO技术栈公众号