**

工作篇-佛山三水恒大-2020.11.14

**TAG:此篇文章估計會很長,因為工作的時候變數(shù)太多了,預計五千字左右,想看的可以耐心看完,均為個人實戰(zhàn)經驗.===害,其實是上學期間請假去做的,還挨批了.

**到了現(xiàn)場tm的那個機房,小到我哭,站都沒地方站,剛裝修好全tm都是白灰,我穿的一身黑衣服,一蹭到一點點跟個白粉人那樣,有條件的自己帶一個折疊的小凳子去現(xiàn)場**

不要看的工資320很nice的樣子,其實說多不多說少不少,應該算少吧,因為,成本高

給你們算算吧,在佛山的應該知道,我在禪城-三水,直達車10塊來回-20
中午吃飯-15=35
晚上吃飯-15=50
加上點雜碎的,要喝水吧?買點東西吃很正常吧.-10=60
算上這些到手320-60=260

恒大集團啊這個公司,真的是財大氣粗,至于為什么,往下看你們就都懂的了.這財 力叫一個羨慕,對比工資確實有點點可憐的,讓你們知道什么是錢多沒地方花.40多人的地方用8個SW+1個FW+1AC+11個AP+33個監(jiān)控+30個電話+2個公網IP,還不跑BGP.機房面積比廁所還小.

網絡設備以及拓撲圖

二層交換機:銳捷RG-S1920-24GT4SFP/2GT=6
三層交換機:銳捷RG-S2910-24GT4-XS-E=1
三層交換機:華為S5720-28P-PWR-LI-AC=1(POE供電)
無線AC控制器:華為AC6058=1
防火墻:華為USG6307E=1
兩個公網地址
1.183.239.xx.xx
2.183.238.xx.xx
TAG:隨便來攻擊,先不說違不違法,功破了華為的墻那你絕對是大神,對了還有白名單哈,估計華為都請你過去,違不違法的,再說叭~
拓撲圖如下
TAG:別問我為什么不用二層接入一個三層匯聚一個三層核心USG雙出口,我也想,到后面你們就知道為什么了,這里是一個大坑,先記著這個點,后面會講.至于詳細端口和其他的信息就不放出來了,屬于商業(yè)機密就不透露了.不是不用ENSP,是我這臺電腦沒有,加上PT方便,就用PT弄拓撲圖了,很高級正式的公司都用Auto-CAD.

現(xiàn)場客戶需求

40+臺電腦正常上網
全部區(qū)域覆蓋wifi
能訪問總公司的數(shù)據(jù)庫
33個監(jiān)控保安要能看到
監(jiān)控的硬盤數(shù)據(jù)庫
視屏解碼器配置

如拓撲圖所示,因為全部機器都是新發(fā)貨過來都沒上架的,電都沒通網線都沒插進去,所以我的選擇是在一個舒服的地方坐著配置,配完再插進去,先做外圍的出口就是配置FW,配置這玩意,放在沙發(fā)上熱的要死.散熱很不咋地.

首先呢兩個公網IP,一開始我以為是要做BGP的,不過后來沒有,只是說雙出口,那第一步就先配IP+NAT+路由啦
第一步先把LLDP開起來,LLDP是啥呢,相當于思科的CDP 直接搜就行了
第二步弄個VLAN做下面的接入.和把DHCP做起來

第三步.就把策略和接口加入安全域弄好,寫個默認路由和回去的路由然后其實就下聯(lián)的已經可以正常上網了.
第四步搞個賬號密碼(不發(fā)粗來了),和端口映射.
nat server https protocol tcp global 183.238.xx.xx xxxx inside 內網IP xxxx no-reverse
第五步 既然都開了web了,怎么可能不開CIL呢,現(xiàn)在主流都是ssh,那直接做一個端口映射也就可以了,因為移動把80 8443 21 22 反正很多都被封了,端口映射一個自己的就可以了,一般都是這樣干的.

中間以及下聯(lián)部分

TAG:FW基本上就這么多配置了.上午十二點多就搞完了,然后因為我要去外面配嘛,機房沒地方站和坐,所以我弄了一條五十多米的網線出來外面舒服的坐著配置.現(xiàn)在FW搞完了,就到POE那臺華為的SW了.
TAG:因為是做好所有接入回到家再寫這篇文章的,所以使用telnet管理下面的華為交換機,可以回去上面看拓撲圖是怎么樣的.因為他們有AP的存在,但是沒有單獨的POE供電,所以必須所有AP(11個)都插到這臺SW上,而且還需要連接USG+下面的二層交換機和連接AC,還有些其他的東西,所以這臺機都沒剩下多少端口.

步驟也是差不多
第一步,配置IP先,和創(chuàng)用戶賬號密碼和打開遠程接入.
第二步,做DHCP中繼和DHCP Snopping (防止有人私接),本來想搞端口安全和MAC綁定的,后來沒時間了,趕著回家,不然車都沒了.
第三步,為管理AP和AP客戶端單獨創(chuàng)造VLAN,并把AP所屬端口做成Acess然后劃入VLAN,連接AC的端口做trunk.如圖所示如下.
第四步 寫個默認路由給USG,然后把AP接口加入AP組.
然后到了這其實都配置完了可以,二層都不用配置當傻瓜用插進去都能自動獲取地址上網了,但是出于方便和專業(yè)考慮,在每臺接入交換機上做了點配置,有啥呢?
1.配IP 和VLAN并且上聯(lián)接口做個dhcp snooping
2.寫一條默認路由指向華為的POE交換機
3.創(chuàng)造用戶和配enable密碼并打開telent
一共有六臺二層交換機我就不寫配置了,配置都一樣,刷進去就行了,換個IP.

重頭戲無線AC控制器

為什么說這貨是重頭戲呢
我配置了他三個小時,最終還是沒搞好,問題是什么呢,我給你一一道來.
一開始呢,我還以為看錯了,因為跟FW長得一樣,然后呢,他這個供電線是有點問題的,兩次做好配置他就松了,結果我沒保存…這可是真機…知道那感受了吧…

然后呢,配置什么都做對了,也嘗試過了,能ping通AP,就是無法管理.

搞了好久都搞不定,因為上一次是因為模式的問題,FAT和FIT,也檢查過了沒問題,看過上一篇的朋友就知道上次是模式的問題,這次又是什么問題呢.讓我告訴你!
TNND TMD
是授權
是授權
是授權
是授權
是授權
是授權
是授權
是授權
是授權



我靠當我知道的時候我都快要GG了,本來三點多可以走的,搞到六點多才知道.真的被氣死,然后后來我才知道思科也是這樣,華為跟思科學的,來自一位IE告訴我的.
FAT:也就是胖AP,是不需要無線控制器(AC)的
FIT:瘦AP,是需要無線控制器(AC)的
Bang.Bnag,Bang.
重頭戲來了
前面有提到,為什么沒有分接入層匯聚層核心層.
現(xiàn)在我來說說原因,一開始去到機房的時候,全都上架了,我看了一遍,交換機六臺銳捷+一臺華為,一個華為的USG防火墻,我還特意問了現(xiàn)場做網絡布線的那個人.是不是都是三層,問了幾次都說是.ok我相信你,信別人沒好結果.
因為在做好防火墻和華為的三層交換機的時候,下面的(三層交換機)插進去網線已經是可以正常拿到IP上網了,并且沒有配置任何東西.
等查完AC的問題沒授權之后,打算給接入的設備配個管理IP,方便遠程接入的時候管理,結果.我插進去console的時候show ip route 他給我報錯.
請問意味著什么? 我tm沒打錯 還確定了幾次…
這他媽是臺二層交換機.
這他媽是臺二層交換機.
這他媽是臺二層交換機.
這他媽是臺二層交換機.
這他媽是臺二層交換機.
當場我就炸了,雖然不影響正常使用,但是大哥啊,搞了一天了最后我才知道這玩意是個二層,那萬一不是這樣設計的,那我豈不是要全部重做???
平復了一下后我才開始慢慢把dhcp snooping 路由 telnet什么的慢慢加進去.
TAG:強烈提醒,去到機房的時候,最好一臺一臺機器的插進去console看一遍,檢測什么的但凡有點技術的都知道怎么看,不用教也會,沒有路由表還有問嗎,鐵定二層了.
你就記著,現(xiàn)場除了你都是憨憨,你就是個IE級別的去給他服務,你說是什么就是什么,別讓那些懂一點點的人把你坑了,這是大坑
最后寫完服務單還要跟智能化+監(jiān)控的人對接.(其實我已經一點都不想理他了,但是出于禮貌還是…)
無線的問題,因為我是神州數(shù)碼(真機)+思科(EVE)出身,神州數(shù)碼的AC和AP是不需要授權的,所以這點我沒有想到但是學到了…
一次模式
一次授權
下次是什么我就不知道了mmp

總結:1.做無線的時候,先查看版本是否兼容和AC,AP是否授權,無論任何品牌都進去console看看,有些新設備是有可能會console口壞了進不去的,到時候說你弄壞的你就等著背鍋吧,做技術的最容易背鍋,他叫我?guī)退惚O(jiān)控我鳥都不鳥他.
2.不要輕易相信別人說的話,你自己看到的才是真實的.
3.有條件的盡量帶一個可以折疊的小凳子,不然就在機房蹲著或者站著做配置吧.
4.去之前最好問清楚拓撲圖和公網IP之類的信息,等到了現(xiàn)場再弄就很煩了.,
5.有條件的可以多帶一條console線,還有進入設備的時候波特率要自己靈活點,一般都是9600或者115200,但是很多品牌不一樣.
6.安全起見所有遠程接入不要使用默認端口,雖然說一般都會封殺掉,讓安全更上一層樓就做白名單,網絡設備上系統(tǒng)加固MD5加密密碼.
7.每個項目的難點,奇葩點,最好自己存一份配置和文檔記錄,但是注意不要泄露,因為這些是可以屬于商業(yè)機密的,如果因為你泄露而導致?lián)p失是可以追究你的責任的.

好的本次到這里就結束了，歡迎觀看我的文章。我是CCIE-Yasuo，喜歡就關注我吧，下一期見。
歡迎新盟教育的同學一起來交流，我是41期的疾風劍豪
同時我也是一名17歲來自中專的學生在學校寫的，如有寫的不對或侵權請及時聯(lián)系刪除。

總結

以上是生活随笔為你收集整理的工作篇-佛山三水恒大-2020.11.13的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。