**
工作篇-佛山三水恒大-2020.11.14
**TAG:此篇文章估计会很长,因为工作的时候变数太多了,预计五千字左右,想看的可以耐心看完,均为个人实战经验.===害,其实是上学期间请假去做的,还挨批了.
**到了现场tm的那个机房,小到我哭,站都没地方站,刚装修好全tm都是白灰,我穿的一身黑衣服,一蹭到一点点跟个白粉人那样,有条件的自己带一个折叠的小凳子去现场**
不要看的工资320很nice的样子,其实说多不多说少不少,应该算少吧,因为,成本高
给你们算算吧,在佛山的应该知道,我在禅城-三水,直达车10块来回-20
中午吃饭-15=35
晚上吃饭-15=50
加上点杂碎的,要喝水吧?买点东西吃很正常吧.-10=60
算上这些到手320-60=260
恒大集团啊这个公司,真的是财大气粗,至于为什么,往下看你们就都懂的了.这财 力叫一个羡慕,对比工资确实有点点可怜的,让你们知道什么是钱多没地方花.40多人的地方用8个SW+1个FW+1AC+11个AP+33个监控+30个电话+2个公网IP,还不跑BGP.机房面积比厕所还小.
网络设备以及拓扑图
二层交换机:锐捷RG-S1920-24GT4SFP/2GT=6
三层交换机:锐捷RG-S2910-24GT4-XS-E=1
三层交换机:华为S5720-28P-PWR-LI-AC=1(POE供电)
无线AC控制器:华为AC6058=1
防火墙:华为USG6307E=1
两个公网地址
1.183.239.xx.xx
2.183.238.xx.xx
TAG:随便来攻击,先不说违不违法,功破了华为的墙那你绝对是大神,对了还有白名单哈,估计华为都请你过去,违不违法的,再说叭~
拓扑图如下
TAG:别问我为什么不用二层接入一个三层汇聚一个三层核心USG双出口,我也想,到后面你们就知道为什么了,这里是一个大坑,先记着这个点,后面会讲.至于详细端口和其他的信息就不放出来了,属于商业机密就不透露了.不是不用ENSP,是我这台电脑没有,加上PT方便,就用PT弄拓扑图了,很高级正式的公司都用Auto-CAD.
现场客户需求
40+台电脑正常上网
全部区域覆盖wifi
能访问总公司的数据库
33个监控保安要能看到
监控的硬盘数据库
视屏解码器配置
如拓扑图所示,因为全部机器都是新发货过来都没上架的,电都没通网线都没插进去,所以我的选择是在一个舒服的地方坐着配置,配完再插进去,先做外围的出口就是配置FW,配置这玩意,放在沙发上热的要死.散热很不咋地.
首先呢两个公网IP,一开始我以为是要做BGP的,不过后来没有,只是说双出口,那第一步就先配IP+NAT+路由啦
第一步先把LLDP开起来,LLDP是啥呢,相当于思科的CDP 直接搜就行了
第二步弄个VLAN做下面的接入.和把DHCP做起来
第三步.就把策略和接口加入安全域弄好,写个默认路由和回去的路由然后其实就下联的已经可以正常上网了.
第四步搞个账号密码(不发粗来了),和端口映射.
nat server https protocol tcp global 183.238.xx.xx xxxx inside 内网IP xxxx no-reverse
第五步 既然都开了web了,怎么可能不开CIL呢,现在主流都是ssh,那直接做一个端口映射也就可以了,因为移动把80 8443 21 22 反正很多都被封了,端口映射一个自己的就可以了,一般都是这样干的.
中间以及下联部分
TAG:FW基本上就这么多配置了.上午十二点多就搞完了,然后因为我要去外面配嘛,机房没地方站和坐,所以我弄了一条五十多米的网线出来外面舒服的坐着配置.现在FW搞完了,就到POE那台华为的SW了.
TAG:因为是做好所有接入回到家再写这篇文章的,所以使用telnet管理下面的华为交换机,可以回去上面看拓扑图是怎么样的.因为他们有AP的存在,但是没有单独的POE供电,所以必须所有AP(11个)都插到这台SW上,而且还需要连接USG+下面的二层交换机和连接AC,还有些其他的东西,所以这台机都没剩下多少端口.
步骤也是差不多
第一步,配置IP先,和创用户账号密码和打开远程接入.
第二步,做DHCP中继和DHCP Snopping (防止有人私接),本来想搞端口安全和MAC绑定的,后来没时间了,赶着回家,不然车都没了.
第三步,为管理AP和AP客户端单独创造VLAN,并把AP所属端口做成Acess然后划入VLAN,连接AC的端口做trunk.如图所示如下.
第四步 写个默认路由给USG,然后把AP接口加入AP组.
然后到了这其实都配置完了可以,二层都不用配置当傻瓜用插进去都能自动获取地址上网了,但是出于方便和专业考虑,在每台接入交换机上做了点配置,有啥呢?
1.配IP 和VLAN并且上联接口做个dhcp snooping
2.写一条默认路由指向华为的POE交换机
3.创造用户和配enable密码并打开telent
一共有六台二层交换机我就不写配置了,配置都一样,刷进去就行了,换个IP.
重头戏无线AC控制器
为什么说这货是重头戏呢
我配置了他三个小时,最终还是没搞好,问题是什么呢,我给你一一道来.
一开始呢,我还以为看错了,因为跟FW长得一样,然后呢,他这个供电线是有点问题的,两次做好配置他就松了,结果我没保存…这可是真机…知道那感受了吧…
然后呢,配置什么都做对了,也尝试过了,能ping通AP,就是无法管理.
搞了好久都搞不定,因为上一次是因为模式的问题,FAT和FIT,也检查过了没问题,看过上一篇的朋友就知道上次是模式的问题,这次又是什么问题呢.让我告诉你!
TNND TMD
是授权
是授权
是授权
是授权
是授权
是授权
是授权
是授权
是授权
我靠当我知道的时候我都快要GG了,本来三点多可以走的,搞到六点多才知道.真的被气死,然后后来我才知道思科也是这样,华为跟思科学的,来自一位IE告诉我的.
FAT:也就是胖AP,是不需要无线控制器(AC)的
FIT:瘦AP,是需要无线控制器(AC)的
Bang.Bnag,Bang.
重头戏来了
前面有提到,为什么没有分接入层汇聚层核心层.
现在我来说说原因,一开始去到机房的时候,全都上架了,我看了一遍,交换机六台锐捷+一台华为,一个华为的USG防火墙,我还特意问了现场做网络布线的那个人.是不是都是三层,问了几次都说是.ok我相信你,信别人没好结果.
因为在做好防火墙和华为的三层交换机的时候,下面的(三层交换机)插进去网线已经是可以正常拿到IP上网了,并且没有配置任何东西.
等查完AC的问题没授权之后,打算给接入的设备配个管理IP,方便远程接入的时候管理,结果.我插进去console的时候show ip route 他给我报错.
请问意味着什么? 我tm没打错 还确定了几次…
这他妈是台二层交换机.
这他妈是台二层交换机.
这他妈是台二层交换机.
这他妈是台二层交换机.
这他妈是台二层交换机.
当场我就炸了,虽然不影响正常使用,但是大哥啊,搞了一天了最后我才知道这玩意是个二层,那万一不是这样设计的,那我岂不是要全部重做???
平复了一下后我才开始慢慢把dhcp snooping 路由 telnet什么的慢慢加进去.
TAG:强烈提醒,去到机房的时候,最好一台一台机器的插进去console看一遍,检测什么的但凡有点技术的都知道怎么看,不用教也会,没有路由表还有问吗,铁定二层了.
你就记着,现场除了你都是憨憨,你就是个IE级别的去给他服务,你说是什么就是什么,别让那些懂一点点的人把你坑了,这是大坑
最后写完服务单还要跟智能化+监控的人对接.(其实我已经一点都不想理他了,但是出于礼貌还是…)
无线的问题,因为我是神州数码(真机)+思科(EVE)出身,神州数码的AC和AP是不需要授权的,所以这点我没有想到但是学到了…
一次模式
一次授权
下次是什么我就不知道了mmp
总结:1.做无线的时候,先查看版本是否兼容和AC,AP是否授权,无论任何品牌都进去console看看,有些新设备是有可能会console口坏了进不去的,到时候说你弄坏的你就等着背锅吧,做技术的最容易背锅,他叫我帮他搞监控我鸟都不鸟他.
2.不要轻易相信别人说的话,你自己看到的才是真实的.
3.有条件的尽量带一个可以折叠的小凳子,不然就在机房蹲着或者站着做配置吧.
4.去之前最好问清楚拓扑图和公网IP之类的信息,等到了现场再弄就很烦了.,
5.有条件的可以多带一条console线,还有进入设备的时候波特率要自己灵活点,一般都是9600或者115200,但是很多品牌不一样.
6.安全起见所有远程接入不要使用默认端口,虽然说一般都会封杀掉,让安全更上一层楼就做白名单,网络设备上系统加固MD5加密密码.
7.每个项目的难点,奇葩点,最好自己存一份配置和文档记录,但是注意不要泄露,因为这些是可以属于商业机密的,如果因为你泄露而导致损失是可以追究你的责任的.