**

工作篇-佛山三水恒大-2020.10.23

**人生第一次工作啊啊啊啊啊
其实按道理来说，第一次应该会很很紧张吧，不过我倒没有。
也不知道是我不怕还是什么，一切进行的挺顺利的。

前言：讲真那句，第一次做的话，其实钱不钱问题不大，主要是工作经验和临场适应能力，一般来说都会慌的，在家练的，学校练的，到了真正岗位上完全不一样，我就是在学校里面出来的。因为在虚拟+内部VS真岗位的时候，你就会知道，那种感觉是完全不一样的，能不说话就不说话，少说话多做事。第一次不要想着有很高工资，当然越高越好。没有那么大的头就不要戴那么大的帽子。不熟悉的就提前做做模拟器或者想好怎么搞。
TAG:现场卡住是非常尴尬的，因为别人看到你断了是非常尴尬的，真正的牛逼的技术员是很少说话的。你跟他们说他也不懂还浪费口水何必呢，不要多管闲事，做好自己本分就可以了，别人叫你帮忙换硬盘换数据，万一丢失或者损坏了怎么办？你赔吗？

• 当我到了目的地后，发现并没有我想的那么美好，机房在一个弱电井里面，环境很差，全tm都是灰尘又脏。
• 然后我看过所有环境后我感觉是3小时可以完工的，但是出现了这个情况。我感觉以后会经常碰到。
  - TAG:我第一次搞华为，思科出身慌的一批
  他他妈的账号密码自己忘记了，进都进不去，说到就气，账号密码不知道，enable都出不了，什么操作都做不了。
  此时我的内心是小崩溃的，第一次搞你给我弄这东西，六七台机器一台都进不去。后来，在Baidu+CSDN+华为客服的帮助下成功破解并重置设备。（华为客服人挺好的，挺耐心的）
  经历了差不多一个半小时终于弄好了，边吃饭边弄。
  
  做思科的我去敲华为，没做过的人不知道，做过的才知道难受，一个一个命令那样去找，不行就打问号，那个手速啊，差不多赶得上刚学的时候了。
  
  拓扑图大概是这样子的，还有一些其他业务（监控啊，内网电话啊等等。。。） 有些他是写错的，大概这个样子。

---

我配置防火墙有什么呢？DHCP,NAT,静态，安全策略，做VLAN做Trunk，端口映射，白名单，IPsec。
- 做DHCP的时候没多大问题，配置也就都那样做，打打问号你想要的都出来了，然后华为的DHCP是要在SVI下搞的，思科是在全局下配置的，一直问号就出来了，就是麻烦一点点.
- NAT,做习惯了路由器是在接口下inside和ouside的，在这里什么都没有，接口打了NAT之后问号也不正常的命令，最终在CSDN上找到的，他是当成策略那样弄的。还有最后的端口映射呢是这样的：
- Cisco：ip nat outside list 公网IP 端口 内部 端口 （总不能把端口告诉你们，会的人入侵咋办列）
- Huawei:nat server web protocol tcp global 公网IP 端口 inside 内网IP 端口 no-reverse 华为是这样的
----------------------------------------------------------------------------------------

• 静态路由：跟思科一样，直接ip route就可以了 不过他这里后面多一条static 照着打就行 目的地 掩码 下一条

• 安全策略：他们那边要求自己做，让我放空就可以了，我就做了透明模式，但是一开始我不想做那么随便。
  就做了Turst to untrust untrust to Trunst 的双向放行策略。
  但是给我的结果是不通，为什么呢？我也想不通，按照正常的思路，这里防空应该就可以了呀，你们说呢。然后，我在查CSDN与华为客服电话的帮助下，才知道华为的防火墙有一个Loacl域，是一定要做策略放行的，否则是肯定不能通的，就是本地认证吧。
  
  还有就是，我们在安全域中，一般加入端口就可以了，比如Trust存在G0/1和G0/2口，就可以了对吧？
  但是，在华为中，要把端口所属的VLAN-IF接口加入进去。否则不通，我也不知道为什么，华为就是这样设计的。
  

• VLAN，这个最简单的东东，思科华为是一样的，直接打就可以

• Trunk：在思科中，我们是端口下打switch more trunk

• 但是在华为中，是这样的：port link-type trunk

• 我们知道，在思科体系中，trunk设置完毕后是默认允许所有VLAN通过的，但是：在华为中恰恰相反。

• interface GigabitEthernet0/0/5
  portswitch
  description xialian-sw
  undo shutdown
  port link-type trunk
  port trunk allow-pass vlan 2 to 4094

  在华为中同样需要打no shudown 只不过华为是undo
  而且trunk需要自己去放行所有，默认拒绝所有。
  -----------FW就差不多这么多了，还有ipsec那些很简单就没写。
  Switch：前面说了，很气人的忘记密码被我遇上了，所以就慢慢搞了。也是浪费了好多时间，终于搞好了就，第一步肯定是叭PC的线一条一条插进去SW里面了。
  弄好一切之后，也没什么配置，就是做了一个互联的trunk口然后划分VLAN指一条静态路由上去给FW就可以了(FW是出口设备）然后说到这个划分VLAN啊，就挺气人的。

• Cisco中，如果说很多端口一次性进入VLAN，不同版本有不同的做饭，有Range，逗号，或者是直接f0/1-10口这样的

• Huawei中，因为他那个版本太低还是什么，我无法找到一次性批量进入端口，CSDN给我的做法是用一个聚合组全部搞完之后再把聚合组删掉，但是我感觉不太行吧。。。。。

• 就。。。一个口一个口那样把端口划分入VLAN里面，都快吐了
  -最后测试的时候，因为配置是没有任何问题的，这个结构是不需要做DHCP的中继的，但是呢我测试的时候死活拿不到地址。一直是169，然后我去了个厕所回来他就好了。。。。。，这DHCP服务器响应是不是慢了点，好歹是一台5720，应该不错吧

---

然后到了最后，他们那边远程检查过说没问题了，准备走的时候跟我说。。。。突然多了个无线的出来。我表示很懵逼好吧

好吧，谁让我是驻场工程师呢，那边开口了我还能不干嘛？
其实按道理应该要加钱，你们看最开始哪里，是没有说AC的

• 不做都还好，一做啊，配置做完了又是拿不到地址。就是AP死活拿不到管理地址，我以为是那个毛病，但是他给我的反馈是等了10几分钟AP都拿不到地址。

• 到后来，他们负责的人远程过来，检查过也没问题，排错了好久，打电话问才知道，工程方把模式弄成fat模式了。。。。。

此时真的想说一句FACK
fit
fat
如果是一边trunk一边hybrid那tm的肯定不通啊，就这样浪费时间到了五点多才走，一共也就那多了。

TAG:其他一些设备差点装上去按照他们给的指示点点点就行了。

- 一开始我看他要求和那些东西，我很自信的说3小时绝对给你搞完了，去到才知道要搞那么久，那么多的意想不到的情况（我第一次干）也算学到啦，最后，第一次开工圆满结束。