【51CTO.com原創(chuàng)稿件】我今天想給大家分享一下怎樣成為一個(gè)優(yōu)秀的網(wǎng)絡(luò)工程師。整體有這樣幾個(gè)步驟：第一，良好的技術(shù)水平，也就是硬實(shí)力，這是一切的基礎(chǔ)。第二，規(guī)范的設(shè)計(jì)意識(shí)，硬實(shí)力有了之后就是規(guī)范性的問(wèn)題，技術(shù)不僅要學(xué)會(huì)，而且還得會(huì)用在一個(gè)合理的位置。第三，認(rèn)真細(xì)致的思考，細(xì)致是一個(gè)網(wǎng)絡(luò)工程師必備的素質(zhì)。第四，靈活的應(yīng)變頭腦，這主要考驗(yàn)經(jīng)驗(yàn)的積累和心理素質(zhì)。到了客戶(hù)現(xiàn)場(chǎng)之后，作為一個(gè)網(wǎng)絡(luò)工程師，面對(duì)任何突發(fā)狀況都都需要冷靜判斷、靈活應(yīng)變。

　　一. 良好的技術(shù)水平。

　　1. 技術(shù)水平體現(xiàn)在哪里？

　　技術(shù)水平主要體現(xiàn)在兩個(gè)方面，一是你對(duì)這些理論夠不夠熟悉，知不知道它的原理，二是在設(shè)備上邊能不能夠把它實(shí)現(xiàn)出來(lái)。首先對(duì)于傳統(tǒng)網(wǎng)絡(luò)里的常用技術(shù)，你一定要知道其原理和應(yīng)用場(chǎng)景，然后對(duì)于不同廠商的設(shè)備，你也要熟練各自的配置。

　　你能不能在思科的設(shè)備上知道VLAN怎么配，Trunk怎么配，你能不能在華為的設(shè)備上知道OSPF怎么配，BGP怎么配、MPLSVPN怎么實(shí)現(xiàn)。你的技術(shù)水平是由這兩方面構(gòu)成的。

　　2.網(wǎng)絡(luò)工程師如何獲取知識(shí)？

　　對(duì)于學(xué)生群體和職場(chǎng)群體我給出兩種建議。

　　參加工作之前：作為學(xué)生，最主要的就是教材。傳統(tǒng)網(wǎng)絡(luò)教材有很多，我主推思科，思科在講課方面最棒的就是明教教主秦科。把教材上所講的理論都記熟，然后再通過(guò)模擬器做實(shí)驗(yàn)來(lái)驗(yàn)證這個(gè)理論，達(dá)到相互鞏固的效果。此外，還可以看一些技術(shù)博客，同學(xué)之間也可以進(jìn)行良性交流。

　　參加工作之后：你可能沒(méi)有太多空余時(shí)間，那么我在這里提供4點(diǎn)建議。

　　（1）巡檢。不管你是做實(shí)施還是做運(yùn)維，必須要重視巡檢。巡檢是你提升技術(shù)最好的一種方式，參與割接的機(jī)會(huì)也最多。從巡檢中抓出來(lái)的東西都是正兒八經(jīng)的模板，可以套用。另外在巡檢之中發(fā)現(xiàn)不懂的問(wèn)題也可以及時(shí)去解決。

　　（2）重視官方提供的手冊(cè)案例。因?yàn)橐话銇?lái)說(shuō)，官方的文檔都具有一定的權(quán)威性。舉個(gè)例子，你接觸了新華三的10512這個(gè)交換產(chǎn)品，可以通過(guò)百度找到新華三官網(wǎng)鏈接，點(diǎn)擊進(jìn)入就能找到“相關(guān)手冊(cè)”，可以查看其中的典型配置舉例，通過(guò)這些案例你能同時(shí)熟悉它的場(chǎng)景和命令。

　　（3）積累項(xiàng)目實(shí)戰(zhàn)經(jīng)驗(yàn)。有機(jī)會(huì)就多參與實(shí)戰(zhàn)，多進(jìn)幾回機(jī)房，多熬幾次夜，多參加幾次割接，這樣也能夠得到一個(gè)更好的提升。

　　（4）請(qǐng)大佬指點(diǎn)迷津。真正進(jìn)過(guò)機(jī)房、上過(guò)戰(zhàn)場(chǎng)的大佬跟你說(shuō)的話，還是得仔細(xì)聽(tīng)。

　　tip：學(xué)習(xí)思科最好的方式是看教材，而且思科的模擬器多且功能強(qiáng)大，BUG少，把思科學(xué)會(huì)了，理論學(xué)懂了，實(shí)驗(yàn)做會(huì)了，再通過(guò)手冊(cè)去看華為跟華三就簡(jiǎn)單了。掌握這個(gè)思路以后，不管任何廠商的設(shè)備你都可以信手拈來(lái)，這是第一步——打好基本功。

　　二. 規(guī)范的設(shè)計(jì)意識(shí)

　　規(guī)范的設(shè)計(jì)意識(shí)，意味著能讓每一個(gè)技術(shù)都用到合理的位置，作為網(wǎng)絡(luò)工程師在設(shè)計(jì)網(wǎng)絡(luò)的時(shí)候，永遠(yuǎn)要抓住整個(gè)網(wǎng)絡(luò)設(shè)計(jì)里的重點(diǎn)。

　　1.引子。首先請(qǐng)觀察一下圖中的這張網(wǎng)絡(luò)。這個(gè)是一個(gè)學(xué)生的畢業(yè)設(shè)計(jì)，在核心層做dhcp服務(wù)，但是下面的PC機(jī)不能獲取到正確的動(dòng)態(tài)地址，相當(dāng)于dhcp弄到核心上了，他想通過(guò)核心上的dhcp功能給下面這些主機(jī)分配這些IP地址，但是分配不到。我先給大家說(shuō)幾個(gè)通用的規(guī)范之后，我們結(jié)合看一下這個(gè)設(shè)計(jì)：它的可取之處和不足之處都在哪兒？它哪些重點(diǎn)沒(méi)抓住，哪些地方又是亮點(diǎn)？

　　2.幾個(gè)通用規(guī)則。

　　(1) 二層連接要設(shè)計(jì)成三角形。這是我個(gè)人總結(jié)出來(lái)的，可能大家不一定認(rèn)同。在我多年的實(shí)踐經(jīng)驗(yàn)中，如果把二層結(jié)構(gòu)設(shè)計(jì)得太復(fù)雜，很有可能造成生成樹(shù)無(wú)法收斂。

　　(2) 如果核心不做網(wǎng)關(guān)，則盡量在核心上少配置其他的功能。基本上核心層的設(shè)計(jì)要點(diǎn)都是高效、穩(wěn)定，所以說(shuō)核心層通常都只會(huì)針對(duì)路由、選路等進(jìn)行配置，除此之外我建議別在核心上弄一些花哨的功能。以上圖為例，在核心層做DHCP實(shí)際就不太可取。別看它是一個(gè)很簡(jiǎn)單的分配IP的功能，實(shí)際上DHCP很占資源。盡量讓核心少去接受這些效率又低、功能又不是核心應(yīng)該承擔(dān)的東西。

　　tip：如果實(shí)際需要你用網(wǎng)絡(luò)設(shè)備來(lái)實(shí)現(xiàn)一些雜七雜八的功能，你可以把它移到匯聚上。匯聚層設(shè)備兼?zhèn)浜狭骱途W(wǎng)關(guān)功能，我建議諸如生成樹(shù)、基礎(chǔ)的ACL、DHCP等都可以給它配置在匯聚上面。另外，接入層是直面終端的，所以像生成樹(shù)、端口安全、MAC過(guò)濾、802.1X認(rèn)證，這些都是配置到接入層上的。

　?。?）交換路由、防火墻各有職責(zé)，不要替用。以上是關(guān)于層次的問(wèn)題，這一條則與設(shè)備相關(guān)。交換路由主要是針對(duì)數(shù)據(jù)轉(zhuǎn)發(fā)，適合交互路由，所以像OSPF、BGP這些路由一般情況下都會(huì)把它只放在交換機(jī)或者路由器上。而防火墻是安全設(shè)備，通常適合配置ACL、安全策略或者NAT，它不太適合交互路由。一般在網(wǎng)絡(luò)設(shè)計(jì)過(guò)程中，過(guò)墻流量遇到防火墻的時(shí)候基本上用的是靜態(tài)路由，也就是說(shuō)防火墻通常都配置靜態(tài)路由。所以交換路由和防火墻是各司其職的。

　　（4）IP地址使用規(guī)則。盡量不要使用192.168開(kāi)頭的地址；三層接口互連使用/30的地址；熱備互連對(duì)接用/29；必須要注意規(guī)劃Loopback地址，因?yàn)镽outer-id很重要。

　　（5）路由協(xié)議使用規(guī)則。OSPF的網(wǎng)絡(luò)類(lèi)型一般為P2P；配置IGP鄰居最好用接口地址；兩臺(tái)設(shè)備之間一般來(lái)說(shuō)只建議用一個(gè)IGP鄰居（活用靜默接口）；iBGP一般使用Loopback接口作為更新源，而eBGP一般使用物理接口作為更新源，并開(kāi)啟BFD；養(yǎng)成在接口上配置描述的習(xí)慣。

　　3.方案分析。

　　【案例】某分支機(jī)構(gòu)計(jì)劃建設(shè)一套局域網(wǎng)，要求內(nèi)外網(wǎng)分離?？蛻?hù)采購(gòu)的網(wǎng)絡(luò)設(shè)備為：一臺(tái)華為AR3260路由，兩臺(tái)華為S5720交換機(jī)，兩臺(tái)華為S3700交換機(jī)，一臺(tái)華為USG6600防火墻，現(xiàn)在設(shè)備都已經(jīng)上架并連接好了。

　　【需求】請(qǐng)根據(jù)這個(gè)結(jié)構(gòu)，滿(mǎn)足下列網(wǎng)絡(luò)建設(shè)需求：

　　1. 華為AR3260作為連接中心機(jī)構(gòu)網(wǎng)絡(luò)（內(nèi)網(wǎng)）的上聯(lián)設(shè)備，與中心結(jié)構(gòu)一側(cè)的網(wǎng)絡(luò)設(shè)備建立了BGP鄰居，用于收取總部?jī)?nèi)網(wǎng)路由。

　　2. 連接外網(wǎng)使用USG6600防火墻直接連接，外網(wǎng)使用PPPoE撥號(hào)的方式獲取IP地址。

　　3. 兩臺(tái)S5720作為局域網(wǎng)的網(wǎng)關(guān)設(shè)備，兩臺(tái)S3700作為局域網(wǎng)的接入層設(shè)備。

　　4. 局域網(wǎng)需要兩個(gè)網(wǎng)段，一個(gè)只允許訪問(wèn)外網(wǎng)，另一個(gè)只能訪問(wèn)內(nèi)網(wǎng)。

　　5. 分支機(jī)構(gòu)總共不超過(guò)200個(gè)主機(jī)。

　　【方案】根據(jù)需求來(lái)逐一看一下3套設(shè)計(jì)方案。

　　【方案1】

　　l 分配兩個(gè)IP網(wǎng)段，VLAN10是10.101.1.0/24，VLAN20是10.102.2.0/24，讓10.101.1.0/24訪問(wèn)內(nèi)網(wǎng)，讓10.102.2.0/24訪問(wèn)外網(wǎng)。

　　l 10.101.1.0/24只能訪問(wèn)內(nèi)網(wǎng)，所以在USG6600上就不能對(duì)這個(gè)網(wǎng)段做NAT；而10.102.2.0/24 只能訪問(wèn)外網(wǎng)，所以在AR3260上，用ACL拒絕這個(gè)網(wǎng)段訪問(wèn)內(nèi)網(wǎng)即可。

　　l 兩臺(tái)S5700上做MSTP+VRRP ，SS700-1做VLAN10的根橋，并作為VLAN 10 :10.101.1.0/24的根橋和Master設(shè)備，S5700-2 做VLAN 20的根橋，并作為VLAN 20 : 10.102.2.0/24 的根橋和Master設(shè)備。

　　l AR3260和S5700之間跑OSPF ，做OSPF和BGP的雙向重分發(fā)；對(duì)USG 6600的方向?qū)懩J(rèn)路由即可。

　　l 可以考慮把USG 6600和AR3260換個(gè)位置，這樣AR3260就能支持DMVPN，而防火墻與內(nèi)網(wǎng)互連也能支持一般的路由功能。

　　【問(wèn)題】：讓USG 6600和AR3260互換位置，其目的只是為了適應(yīng)DMVPN的備用通道，這屬于本末倒置，是方案1的不可取之處。而且華為沒(méi)有DMVPN，有的是DSVPN，而且要另外購(gòu)買(mǎi)授權(quán)才能支持。而且把防火墻跟路由器調(diào)換了位置之后，讓防火墻又跑OSPF又跑BGP，肯定會(huì)成為訪問(wèn)瓶頸。此外，讓路由器直接暴露在防火墻外，安全性也下降了。

　　【方案2】

　　l 分配兩個(gè)IP網(wǎng)段，VLAN 11: 192.168.1.0/24，VLAN 12 :192.168.2.0/24。讓 192.168.1.0/24訪問(wèn)內(nèi)網(wǎng)，192.168.2.0/24訪問(wèn)外網(wǎng)。

　　l 允許訪問(wèn)內(nèi)網(wǎng)的主機(jī)，在USG 6600上寫(xiě)ACL , 拒絕其訪問(wèn)外網(wǎng)。允許訪問(wèn)外網(wǎng)的主機(jī)在S5720上寫(xiě)ACL ,拒絕其訪問(wèn)內(nèi)網(wǎng)。

　　l 兩臺(tái)S5700上，做MSTP+VRRP，根橋和Master都在S5700-l 上。

　　l 讓AR 3260和S5700、 USG 6600之間運(yùn)行OSPF ,再在USG 6600上以 always的方式注入一個(gè)默認(rèn)路由到網(wǎng)絡(luò)中。

　　【問(wèn)題】：使用了垃圾IP地址；讓防火墻又跑OSPF，又注入靜態(tài)路由，降低防火墻性能；在S5720上寫(xiě)ACL，又在防火墻上寫(xiě)ACL，增加后期運(yùn)維難度，且沒(méi)有好好考慮S5720上是否能支持復(fù)雜的ACL。這種方案屬于典型的生搬硬套的教科書(shū)，用各種技術(shù)堆砌，而沒(méi)有考慮設(shè)備特性。

　　【方案3】（標(biāo)準(zhǔn)設(shè)計(jì)）

　　l 分配兩個(gè)IP網(wǎng)段，VLAN10：10.101.1.0/24，VLAN20：10.102.2.0/24，讓10.101.1.0/24訪問(wèn)內(nèi)網(wǎng)，讓10.102.2.0/24訪問(wèn)外網(wǎng)。

　　l 10.101.1.0/24只能訪問(wèn)內(nèi)網(wǎng)，所以在USG6600上寫(xiě)靜態(tài)路由的時(shí)候，不寫(xiě)10.101.1.0/24。而10.102.2.0/24只能訪問(wèn)外網(wǎng)，所以在AR3260上不把10.102.2.0/24發(fā)到BGP里，讓總部收不到這個(gè)路由即可。

　　l 兩臺(tái)S5700上，做MSTP+VRRP，SS700-1做VLAN10的根橋，并作為VLAN 10 :10.101.1.0/24的根橋和Master設(shè)備，S5700-2 做VLAN 20的根橋，并作為VLAN 20 : 10.102.2.0/24 的根橋和Master設(shè)備。

　　l AR3260和S5700之間跑OSPF，在AR3260上寫(xiě)一條大段的Null0靜態(tài)路由，再用network把大段路由注入到BGP內(nèi)。

　　三. 認(rèn)真細(xì)致的思考

　　假如某客戶(hù)有兩臺(tái)核心設(shè)備Cisco6509現(xiàn)在要換成華為S12708，那么你覺(jué)得前期應(yīng)該做哪些考慮？這個(gè)問(wèn)題考驗(yàn)的就是你是否認(rèn)真細(xì)致。

　　如果你只是考慮到：HSRP改為VRRP，PVST改為MSTP，有EIGRP就改成OSPF……是遠(yuǎn)遠(yuǎn)不夠的。首先，HSRP改VRRP，核心如果有的話肯定要改成VRRP，但是HSRP和VRRP有個(gè)最重要的區(qū)別就是組播地址，組播地址先要記牢，然后改的過(guò)程怎么操作？也要考慮清楚，一般都要執(zhí)行先關(guān)后改的操作步驟；其次，EIGRP改OSPF，兩者有本質(zhì)區(qū)別，而且他們的AD值不一樣，具體怎么改也是有講究的；再者，生成樹(shù)的問(wèn)題。一個(gè)正規(guī)的網(wǎng)絡(luò)是不會(huì)允許你把生成樹(shù)搞到核心上面的。所以考慮問(wèn)題要全面。

　　除了上述的技術(shù)問(wèn)題，還要考慮哪些因素？

　　第一，工勘。這包括機(jī)房環(huán)境的調(diào)研、上架位置、空余線纜的長(zhǎng)度等等 。比如說(shuō)Cisco6509和華為S12708都是大型設(shè)備，會(huì)很占機(jī)柜的高度，所以在換之前你要先去機(jī)房調(diào)研清楚，原先Cisco6509的位置能不能放進(jìn)S12708，有沒(méi)有足夠的空間。

　　第二，測(cè)試。新設(shè)備來(lái)了之后能不能正常啟動(dòng)。一般情況下，設(shè)備都是通過(guò)物流運(yùn)輸?shù)浆F(xiàn)場(chǎng)的。萬(wàn)一在運(yùn)輸過(guò)程中造成了損壞，萬(wàn)一板卡壞了，萬(wàn)一抬到機(jī)架上后發(fā)現(xiàn)不能啟動(dòng)，就會(huì)造成很大麻煩。所以一定要測(cè)試設(shè)備能否正常啟動(dòng)，設(shè)備軟件是否功能正常。

　　第三，采集。這個(gè)采集主要是針對(duì)更換之前的設(shè)備。一方面你要把之前設(shè)備上面的show run采集出來(lái)，在這個(gè)例子中就是在換設(shè)備前把配置寫(xiě)下來(lái)，按照原來(lái)Cisco6509的配置來(lái)配，當(dāng)然還要進(jìn)行配置的翻譯，就是說(shuō)要把思科的命令翻譯成華為S12708的命令，這就是采集出來(lái)進(jìn)行配置翻譯的過(guò)程。另一方面還要采集一下原先的路由信息，也就是show ip route，把路由表給抓取下來(lái)，用作設(shè)備更換前后的對(duì)比。此外，老設(shè)備的運(yùn)行狀況，比如CPU、內(nèi)存利用率、板卡工作是否正常這些信息都需要采集。因此在割接之前一定要把設(shè)備巡檢一遍，以防你把老設(shè)備關(guān)機(jī)后發(fā)現(xiàn)網(wǎng)絡(luò)要回退，結(jié)果回退后設(shè)備起不來(lái)了。準(zhǔn)備工作做得越仔細(xì)，后續(xù)就用得越輕松。

　　Tip：采集結(jié)束，割接之前還要進(jìn)行測(cè)試。這包括：新設(shè)備硬件功能測(cè)試，新設(shè)備軟件功能升級(jí)，思科和華為對(duì)同一種設(shè)備的協(xié)議解釋差異。有條件的話可以做一次模擬實(shí)驗(yàn)。

　　最后需要細(xì)致考慮的是，一定要注意配置順序。永遠(yuǎn)記住網(wǎng)絡(luò)在交付之前不要鎖設(shè)備，就是說(shuō)阻礙你通信或者說(shuō)阻礙你登錄到設(shè)備這些東西，一定要最后再配置。與接口認(rèn)證、AAA、登錄源地址限制等操作，一定要等到網(wǎng)絡(luò)業(yè)務(wù)正常后再配置。還有一點(diǎn)，如果說(shuō)有防火墻在里邊割接的話，防火墻先全部放通策略，一定要保證網(wǎng)絡(luò)在暢通無(wú)阻的情況下測(cè)試通信之后再去增加防火墻的策略。

　　四. 靈活的應(yīng)變頭腦

　　如何去做到靈活？這與網(wǎng)工的心理素質(zhì)有一定關(guān)系。首先看一個(gè)例子。

　　某客戶(hù)的思科ASA防火墻配置了A/S模式的Failover，有一天客戶(hù)說(shuō)防火墻的Failover突然裂開(kāi)了而導(dǎo)致斷網(wǎng)，經(jīng)檢查，是因?yàn)閮膳_(tái)Cisco ASA的軟件版本不一致導(dǎo)致的Failover裂開(kāi)。

　　面對(duì)這一問(wèn)題，首先你要做的不是去分析什么原因?qū)е翪isco ASA的軟件版本不一致，因?yàn)榫W(wǎng)絡(luò)斷了，當(dāng)務(wù)之急是搶通網(wǎng)絡(luò)。任何情況，都是先考慮解決斷網(wǎng)問(wèn)題，再進(jìn)行后續(xù)優(yōu)化。很多時(shí)候處理網(wǎng)絡(luò)故障都可以“就地取材”。在這個(gè)例子中，冷靜分析如何靈活處理呢？首先，斷開(kāi)版本較低的那臺(tái)Cisco ASA上的所有連接，解決IP沖突的情況，把網(wǎng)絡(luò)搶通。然后，把高版本的IOS拷到你的電腦上，然后再灌入到低版本的設(shè)備中，問(wèn)題就解決了。

　　要保持靈活的頭腦，就必須養(yǎng)成良好的工作習(xí)慣和良好的心理素質(zhì)。收集好正版的 IOS (.bin)、VRP (.CC)、Comware（.ipe）文件，隨時(shí)帶在U盤(pán)內(nèi)便于使用；設(shè)備的操作系統(tǒng)

　　要經(jīng)常備份或提示客戶(hù)備份；收集各種型號(hào)設(shè)備的配置命令，針對(duì)通用配置和模板化的配置最好是抓出來(lái)，形成自己的配置思路；任何情況下都要保持冷靜；重啟設(shè)備或斷電時(shí)要得到客戶(hù)負(fù)責(zé)人的提示。

　　更多精彩內(nèi)容請(qǐng)關(guān)注51CTO《大咖來(lái)了》欄目http://aix.51cto.com/activity/index.html

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】