6、cisco和華為H3C 交換機(jī) 一般需要關(guān)閉哪些服務(wù)呢！

比如cisco交換機(jī) 一般 vtp設(shè)置我透明 等

我有好多問題呢，先請教您這幾個(gè)！有空幫忙解答一下！謝謝！

A：第1個(gè)問題目前最有效的方法就這樣了，在交換機(jī)上對客戶端與網(wǎng)關(guān)進(jìn)行MAC地址與IP地址綁定（因?yàn)锳RP主要是改變網(wǎng)關(guān)地址，所以通常只需要綁定網(wǎng)關(guān)的MAC地址與IP地址）。

第2個(gè)問題，在交換機(jī)上是很難發(fā)現(xiàn)攻擊源的，這需要借助局域網(wǎng)管理軟件來查看了，如LANSEE，有MAC沖突時(shí)會報(bào)警的。

第3個(gè)問題從日志中不能看出具體的故障原因，只是說相對應(yīng)端口鏈路發(fā)生錯(cuò)誤。但從日志中可以肯定的是不是物理故障，只是軟故障，如接觸不良，或者網(wǎng)線連接性能差。你可以通過排除法來排除這類故障，如重插網(wǎng)線，或者換一條網(wǎng)線。

第4個(gè)問題，首先看輸出狀態(tài)中對應(yīng)端口的線路協(xié)議狀態(tài)是否UP（FastEthernet0/1 is up, line protocol is up），再可以查看輸入/輸出數(shù)據(jù)包數(shù)（Output queue 0/40, 0 drops; input queue 0/75, 0 drops）來查看，還可通過下面的輸出數(shù)據(jù)包錯(cuò)誤統(tǒng)計(jì)來查看。

第5個(gè)問題指出VLAN1中MAC地址為0201.0000.0000 主機(jī)在Gi0/15 和Gi0/1端口上發(fā)生了遷移。

第6問題沒有硬性規(guī)定，要視具體需求而定。如多數(shù)情況下要關(guān)閉telnet服務(wù)，但有時(shí)又需要，還有DHCP、DNS服務(wù)等也有需要的時(shí)候。

Q：王老師你好！我想問一下在cisco路由器上面我配置了telnet以后，telnet默認(rèn)的端口號是21，我現(xiàn)在想把它改成新端口如：2121，這種在cisco的路由器上面有沒有辦法實(shí)現(xiàn)，在Juniper上面就能夠?qū)崿F(xiàn)將自己的21端口改成2121端口，就不知道在路由器上面行不？

A：可以的，在線路配置模式下使用rotary命令即可，如Router1(config-line)#rotary 25，把TELNET端口改為25。但更改了新端口號，要在全局配置模式下用ACL禁止原來的默認(rèn)23號端口，如Router(config)#access-list 101 deny tcp any any eq 23。

Q：王老師，您好！從上交換開始就覺得理論多，可實(shí)際需要配置的確很少。所以個(gè)人感覺不深刻掌握交換的原理，遇到復(fù)雜的情況就搞不定。一個(gè)問題我想王老師給我講解下，我的思路不是很清晰，就是關(guān)于CEF技術(shù)的應(yīng)用！

A：你所說的CEF技術(shù)應(yīng)該是指思科的Cisco Express Forwarding（Cisco特快轉(zhuǎn)發(fā)）技術(shù)吧。CEF其實(shí)是傳統(tǒng)路由轉(zhuǎn)發(fā)技術(shù)的一種改進(jìn)。以前的路由轉(zhuǎn)發(fā)技術(shù)是通過建立數(shù)據(jù)包目的地址的IP路由緩存來實(shí)現(xiàn)的。也就是下次同樣目的地址的數(shù)據(jù)包可以直接從緩存中快速地找到對應(yīng)目的地址的路由路徑。這對于路由不是很復(fù)雜，路由表項(xiàng)不是很多，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不頻繁發(fā)生改變的情況下是很有用的，所以傳統(tǒng)的路由轉(zhuǎn)發(fā)技術(shù)仍是應(yīng)用于的主流。但對于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)比較復(fù)雜，路由表項(xiàng)比較多，拓?fù)浣Y(jié)構(gòu)可能會頻繁發(fā)生變化的情況下，傳統(tǒng)路由轉(zhuǎn)發(fā)所依賴的緩存，就顯得有些力不從心了。這也就是CEF技術(shù)出現(xiàn)的背景。

     CEF路由轉(zhuǎn)發(fā)技術(shù)是通過建立一個(gè)存儲量，檢索更優(yōu)勢的目的地址路由轉(zhuǎn)發(fā)信息庫（Forwarding Information base，F(xiàn)IB）和鄰接表（Adjacency Table，存儲的是鄰接交換機(jī)端口的MAC地址）這兩種方法來提高路由表項(xiàng)的存儲量，查找數(shù)據(jù)包轉(zhuǎn)發(fā)到下一交換機(jī)和遠(yuǎn)程目的地址的效率，以實(shí)現(xiàn)在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)包的快速路由轉(zhuǎn)發(fā)。

Q：我一臺H3C的三層交換機(jī)不能在接口配置IP地址，與一臺CISCO的3750交換機(jī)連接，這樣是不是只能跑靜態(tài)路由？

A： 3750支持動態(tài)路由的，只要是你所說的兩臺交換機(jī)在一個(gè)子網(wǎng)中，就可以通過3750交換機(jī)實(shí)現(xiàn)動態(tài)路由功能。只需要在3750交換機(jī)上連接H3C交換機(jī)的相應(yīng)端口配置動態(tài)路由就可以實(shí)現(xiàn)。

Q：你好,王老師,很早以前就聽過您寫的系列書，對您很敬仰。我個(gè)人對無線網(wǎng)絡(luò)比較感興趣，現(xiàn)正在學(xué)習(xí)CCNA，自己學(xué)習(xí)路由和交換的知識和配置。我有個(gè)問題一直沒懂：一個(gè)24口交換機(jī)，每個(gè)口都有獨(dú)立的IP和MAC，比如E0 IP 192.168.0.5此口相聯(lián)的主機(jī)的IP為 192.168.0.8，中間只用一根網(wǎng)線相聯(lián)，此時(shí)交換機(jī)的IP 和MAC有什么作用，通訊時(shí)兩者獨(dú)立的IP和MAC是否會沖突？

A： 不會沖突，如果僅是二層交換，則是通過MAC地址來識別的，如果要進(jìn)行三層交換，則此時(shí)的IP地址與MAC就形成了一個(gè)映射表，網(wǎng)絡(luò)間的通信是通過IP地址進(jìn)行的，而到了同一子網(wǎng)內(nèi)部，則可僅由MAC地址進(jìn)行通信。

Q：我想問一下，為什么現(xiàn)在好多公司直接用三層交換代替路由，除了成本方面的考慮，還有其他原因嗎？

A：另一個(gè)原因是三交換機(jī)的路由功能在局域網(wǎng)，甚至一般的IP類型廣域網(wǎng)都可以足夠應(yīng)付，所以無需另外配置專門的企業(yè)級路由器了。

Q：王老師你好，我想問下。以前我維護(hù)過思科的交換機(jī)3550. 在沒有IOS的情況下，且重新開機(jī)3550。發(fā)現(xiàn)只能從Xmodem進(jìn)行灌IOS了，要灌好久。TFTP不能使用。 那在我上面描述的這情況中，有沒有另外的灌IOS的方法，比Xmodem會更快呢？

A： 不知你試過RoMmon恢復(fù)模式?jīng)]有，在這種模式下，你就可以使用TFTP協(xié)議從TFTP服務(wù)器中下載IOS映像。還可以在ROMmon模式下使用copy命令從TFTP服務(wù)器上復(fù)制IOS映象。這方面，在我的這本書中有非常詳細(xì)的介紹。

Q：王老師你好，特別欣賞你對各類產(chǎn)品的參數(shù)，報(bào)價(jià)了如指掌，我想知道是h3c各類交換機(jī)的具體含義，比如si，ei，他們之間有什么差別？

A： SI是指只具備標(biāo)準(zhǔn)接口功能（如基本的二層交換，或者基本的三層路由功能，如RIP路由）的型號或者系列，而EI則是指含有擴(kuò)展接口功能（主要是指具有復(fù)雜三層路由功能，如OSPF、BGP）的型號或者系列。HEC交換機(jī)名稱后面的P是指端口的，如S3600-28P-EI，代表具有28個(gè)端口，擴(kuò)展接口功能的S3600型號。

Q：請王老師介紹本實(shí)用的易懂的H3C和cisco 教材。謝謝！

A： 個(gè)人認(rèn)為目前來說，國內(nèi)最容易看懂的還是我所編寫的這本《Cisco/H3C交換機(jī)配置與管理完全手冊》，因?yàn)槲揖帉戇@本書時(shí)是把幾乎所涉及到的所有原來比較復(fù)雜的原理和配置思路都轉(zhuǎn)換成了通俗的語言。至少要使我自己能看懂，真正理解。

Q：作為一家制造型企業(yè),大概有500+臺電腦,對于網(wǎng)絡(luò)要求不是很高,有什么合適的Cisco/H3C三層交換機(jī)可以搭建核心層交換?物美價(jià)廉最好.。

A： 建議采用Cisco的4506、4928型號交換機(jī)，或者H3C的5626C號交換機(jī)作為你的三層核心交換機(jī)。成本方面，因?yàn)樗鼈內(nèi)嬷С至畠r(jià)的雙絞線，且光纖SFP和模塊可選，端口適中，是一個(gè)比較理解的中等規(guī)模網(wǎng)絡(luò)的三層交換機(jī)選型方案。

Q：企業(yè)有120臺左右的計(jì)算機(jī)，沒有使用域管理，主路由H3c，交換機(jī)都是雜牌的簡單交換機(jī)，網(wǎng)絡(luò)比較慢，如何能較好的提升網(wǎng)絡(luò)速度？

A： 120臺機(jī)的網(wǎng)絡(luò)不是很大，如果沒有復(fù)雜的網(wǎng)絡(luò)應(yīng)用，要提升網(wǎng)絡(luò)速度的話，則可以通過替換現(xiàn)有的網(wǎng)線，并把以前雜牌的交換機(jī)放置于接入層，最好只跳幾個(gè)性能好一些的，太差了的不要，特別是集線器。最好重新購買新的交換機(jī)，配置拓?fù)浣Y(jié)構(gòu)。既然你的路由都是H3C的，你要吧選購H3C S3610-28TP作為核心交換機(jī)，S3100-52TP-SI作為匯聚層交換機(jī)，你以前的那些好一些的雜牌交換機(jī)。

Q：二層交換機(jī)是如何識別IP地址的？

A： 二層交換機(jī)內(nèi)部的數(shù)據(jù)交換不是以IP地址進(jìn)行的，而是通過MAC地址進(jìn)行的。它識別客戶端IP地址是通過ARP協(xié)議緩存中的MAC地址與IP地址映射表進(jìn)行的。

Q：你好！我想問下關(guān)于管理vlan的問題。它所使用的三層地址究竟是什么原理？通過trunk鏈路的時(shí)候管理配置permit 管理vlan 它是怎么通過的？

A： VLAN的IP地址是在VLAN虛擬接口上配置的，作為整個(gè)VLAN的管理IP地址。trunk技術(shù)可以使得當(dāng)前指定的VLAN信息在trunk鏈路上中繼，在中繼鏈路上的其他交換機(jī)上自動配置相同的VLAN信息信息，這樣就無需在中繼鏈接上的其他交換機(jī)上配置相同的VLAN信息。如果沒有允許trunk中繼，則VLAN就不能在該中繼鏈路交換機(jī)上中繼自己的VLAN信息，就需要手動配置了。

Q：最近在書店看了條命令：spanning-tree說是開啟生成樹協(xié)議的，spanning-tree mode rstp是開啟rstp協(xié)議的，但是回到學(xué)校去做實(shí)驗(yàn)卻行不通，難到是那本書寫錯(cuò)了么，可是我已經(jīng)反復(fù)看過那本書很多遍了沒有抄錯(cuò)啊，但是實(shí)驗(yàn)就是行不通，我用的是小凡模擬器和思科模擬器都不行！還請王老師能幫個(gè)說下是怎么回事，謝謝啊 王老師?。?！

A：STP協(xié)議在每個(gè)VLAN中默認(rèn)是啟用的，如果是在關(guān)閉STP的VLAN中啟用STP協(xié)議，所使用的命令是spanning-tree VLAN VLAN-ID，需要指定具體的VLAN。RSTP協(xié)議通常是通過啟用RSTP-PVST（基于每VLAN來啟用RSTP）協(xié)議進(jìn)行的，所用命令是：spanning-tree mode rstp-pvst。以上兩條命令都是在全局配置模式下進(jìn)行的。

Q：王老師你好：

     我本人在設(shè)備配置這方面就是一個(gè)實(shí)足菜鳥，雖然也用虛擬機(jī)配置過一些案例，但是真實(shí)設(shè)備很難摸到由其在h3c方面更是不太懂請王老師除了命令和cisco有一些區(qū)別之外能不能請您推建一下即能學(xué)cisco又能學(xué)h3c的書。

A：其實(shí)真實(shí)設(shè)備與虛擬機(jī)之間的唯一不同就是真實(shí)機(jī)有一個(gè)可以看得見的外觀樣機(jī)，配置方法與模擬器的是一樣的，只要所采用設(shè)備操作系統(tǒng)版本是一樣的。H3C也有模擬器，如HUAWEISIM。CIsco和H3C設(shè)備的功能有許多相似之處，但具體配置命令和方法區(qū)別是相當(dāng)大的，但總體配置思路還是有許多相似之處的。你可以看一下我的這本《CIsco/H3C交換機(jī)配置與管理完全手冊》一書，通過對比學(xué)習(xí)就可以發(fā)現(xiàn)這些了。

Q：cisco和華為之間怎么樣配置鏈路聚合？要不要注意些什么？

A：要在Cisco和H3C交換機(jī)間配置鏈路聚合就只能通過LACP協(xié)議來進(jìn)行了，且兩端交換機(jī)都必須都支持LACP協(xié)議。在Cisco交換機(jī)這邊不能采用思科專用的PAgP協(xié)議來配置鏈路聚合了。

Q：王老師您好：我想請問您，關(guān)于災(zāi)難恢復(fù)一般思路是什么？我只有些理論知識，沒有實(shí)踐過，思路并不是很清晰，還望王老師能指點(diǎn)指點(diǎn)。謝謝！

A： 災(zāi)難恢復(fù)就是要根據(jù)自己企業(yè)的實(shí)際數(shù)據(jù)安全需求制訂一個(gè)容災(zāi)方案，包括數(shù)據(jù)備份媒體選擇（如磁帶備份、光盤備份，或者磁盤備份），各級別（如周備份、月備份、季備份、年備份）備份類型所采用的備份類型（如正常備份、增量備份、差異備份等），數(shù)據(jù)還原方式（如GHOST還原、磁帶/磁盤文件還原），備份媒體的存放方案（不能級別的備份媒體存放位置要所有區(qū)別，以便可以抵御不同級別的安全災(zāi)難），不同級別備份媒體的備份數(shù)量配置方案，備份媒體的存放環(huán)境和安全要求等方面。

Q：王老師好！目前這里有十臺左右的華為S2403接一臺3528，有沒有方法鑒定下面有沒有用戶私自安裝無線路由器？

A：用sniffer監(jiān)控就可以。通過查看網(wǎng)絡(luò)中各用戶的出口通信就知道了

Q：您好，王老師！我想問一下H3C三層交換機(jī)如何實(shí)現(xiàn)VLAN間的互訪呢！我試過給vlan分配過IP，但那樣全部的vlan都可以互訪，而我只想讓兩個(gè)vlan間可以互訪，其它vlan不可以訪問這兩個(gè)vlan。

A：H3C的VLAN間路由配置比起CISCO的來說，配置更復(fù)雜一些，而且效果也沒有CISCO的好。通常是采用的port trunk permit命令來允許或者禁止trunk中繼（這里的端口是指VLAN虛擬端口），通過QOS策略可以更有效地控制VLAN間的數(shù)據(jù)流通信。

Q：王老師，您好！學(xué)習(xí)思科已經(jīng)有一段時(shí)間了，有個(gè)問題請教你，現(xiàn)在三層交換機(jī)應(yīng)用很多，會不會有一天三層的交換機(jī)能完全替代路由器？還有很多核心的交換機(jī)，他們有沒有可能完全兼容路由器的功能？謝謝！

A：這一天我想肯定會有的，因?yàn)楝F(xiàn)在許多設(shè)備的功能都開始集成了。就目前來說，在企業(yè)級核心交換機(jī)中的路由功能已非常強(qiáng)大，在一些不是很復(fù)雜路由環(huán)境和網(wǎng)絡(luò)通信地址協(xié)議類型的網(wǎng)絡(luò)應(yīng)用中，絕大多數(shù)是完全可以通過三層交換機(jī)來替代路由器功能的。

Q：王老師，您好！現(xiàn)在，大部分企業(yè)基礎(chǔ)網(wǎng)絡(luò)(信息化建設(shè))上已經(jīng)搭建好了，簡單的基本交換及路由，已經(jīng)成型了。。簡單的配置工作，基本上沒有更多的改動。我想問的就是：如何這些設(shè)備中，安全、集中管理、備份、容錯(cuò)、維護(hù)等方面？有沒有好的建議？cisco\h3c設(shè)備都基本上，我都用過。。感覺cisco比較好。謝謝了。

A：是的，總體上CISCO的功能和配置都相對H3C的要好些。要實(shí)現(xiàn)對這些設(shè)備的集中管理，則需要使用專門的設(shè)備管理軟件了。如果網(wǎng)絡(luò)中所采用的是單一品牌的，則可以使用對應(yīng)品牌的網(wǎng)絡(luò)管理軟件，如思科的CiscoWorks，H3C的H3C設(shè)備管理系統(tǒng)；如果是混用的，則可以用以上軟件進(jìn)行分別管理，也可以用像SiteView（游龍）這樣的第三方網(wǎng)絡(luò)管理軟件進(jìn)行統(tǒng)一、集中管理。至于你所說的備份、容錯(cuò)方面，你可以采用冗余鏈接，甚至雙機(jī)容錯(cuò)方案。這些在我的這本書中都有介紹的。

Q：您好！我想問幾個(gè)關(guān)于路由器的問題。在配置路由器是經(jīng)常出現(xiàn)一些接口的問題如AUX LAN SE  eth  還有一些模塊的接口，很難去區(qū)分它們的區(qū)別可以問下專家可以幫我解釋下嗎？還有就是在公司時(shí)經(jīng)理要我配反向nat，可以請教下反向nat的配置嗎？

A： AUX接口通常是用來進(jìn)行路由器配置的，也是一種Console接口，LAN接口是指用來連接局域網(wǎng)的接口，通常是RJ-45接口類型的，ETH則是指以太網(wǎng)接口，通常是RJ-45接口類型的。還有像SFP和GBIC這兩種模塊接口，都是一種可以同時(shí)支持雙絞線電接口和光纖的光接口的接口模塊，但SFP接口體積比GBIC更小，這樣就可以在同樣體積的模塊中提供更多的端口數(shù)。另外，要注意的是，因?yàn)橛行╇娊涌诤凸饨涌谑桥c交換機(jī)一個(gè)子端口對應(yīng)的，所以不能同時(shí)使用連接到同一子接口電接口和光接口。反向NAT就是把內(nèi)部IP地址映射成外部IP地址，讓外部用戶能訪問位于內(nèi)網(wǎng)的服務(wù)器。配置命令就是ip nat inside source static tcp 內(nèi)網(wǎng)ip   端口號 外網(wǎng)ip  端口號

Q：請問王老師，現(xiàn)在互聯(lián)網(wǎng)寬帶很多都用fttp+lan高速接入了，那帶路由和vpn功能的防火墻是不是可以代替路由器直接作為internet接入了？我看實(shí)際很多中小企業(yè)都是這樣用的。另外我看您比較忙，您的博客更新沒以前多了！

A： 如果是僅接入互聯(lián)網(wǎng)，且防火墻有支持你所用的互聯(lián)網(wǎng)接方式，那就可以直接用它接入互聯(lián)網(wǎng)了。

謝謝你的關(guān)注！近期書稿和全國網(wǎng)管技能水平考試的指導(dǎo)工作比較多，所以更新博客頻率低了。我目前還在北京進(jìn)行新聞發(fā)布會、專場講座和接受專訪。所以本次技術(shù)門診的全面解答也要等到我回到家里后才能進(jìn)行，敬請大家諒解！

Q：Cisco和H3C交換機(jī)在二層網(wǎng)絡(luò)中，配置生成樹應(yīng)注意什么問題？（ STP與PVST+協(xié)議對接， RSTP與Rapid-PVST+協(xié)議對接， MSTP 與MST協(xié)議對接 ）

A： 首先要確保整個(gè)生成樹，或者多個(gè)生成樹中的交換機(jī)上支持了你所要啟用的生成樹協(xié)議版本，如PVST、PVST+、Rapid-PVST+ 和MST。其實(shí)也就是考慮各交換機(jī)所支持的協(xié)議生成樹類型。在同一生成樹，或者在多生成樹中的某一個(gè)區(qū)域中，必須按最低協(xié)議版本來配置。

另外，不要在同一生成村或者多生成樹區(qū)域中啟用、配置多種生成樹協(xié)議，否則會造成配置沖突。

最后，在確定了要采用的生成樹協(xié)議類型后，你需要使整個(gè)生成樹，或者多生成樹域的每個(gè)交換機(jī)的端口角色和狀態(tài)都按同一生成樹協(xié)議進(jìn)行部署，而不要有一統(tǒng)一的現(xiàn)象。

Q：我司購買了一臺華為的S3328TP-EI，用console進(jìn)行了簡單的配置，設(shè)置了vlan1和IP地址，當(dāng)時(shí)可以使用ping命令ping通縮設(shè)置的IP地址。但接到網(wǎng)絡(luò)上后，就發(fā)現(xiàn)不能ping通了。我這臺交換機(jī)上接了4臺路由器、12臺服務(wù)器、一個(gè)24口的D-link普通交換機(jī)，而我的本機(jī)就是接在這臺D-link上的。請問，這個(gè)會是什么問題？謝謝！

A： 那要看你的D-LINK交換機(jī)是否是接在VLAN1所包括的端口了。

Q：老師你好。目前學(xué)校里在每層都放置了樓層交換機(jī)，每個(gè)宿舍分配四個(gè)接口。如果把其中兩個(gè)端口用網(wǎng)線連起來會造成什么情況？為什么會被封端口號？

A： 我沒試過你所說的這種情況，但我想從原理上來分析的話，如果這樣做的話就會形成環(huán)路，造成網(wǎng)絡(luò)性能下降，甚至死循環(huán)。數(shù)據(jù)無法達(dá)到目的地址。封端口號的目的我想就是為了避免你這種環(huán)路的出現(xiàn)。

Q：王老師好：公司現(xiàn)在是用的普通的交換機(jī)和路由器，想改造網(wǎng)絡(luò)，并且要做vpn連接，因?yàn)橛泻枚喾值暌B接，請問用Cisco的好還是華為的？

A： 從性價(jià)比方面來說,還是建議采用H3C的路由器設(shè)備來部署VPN應(yīng)用

Q：王老師好，我想問問設(shè)備配置界面的問題，我們現(xiàn)在學(xué)的都是CLI的，GUI的模式會不會取代CLI？ 如果會最終取代的話，現(xiàn)在學(xué)CLI是不是將來有點(diǎn)無用武之地？

A：GUI模式我想很難全面取代CLI，一是因?yàn)镚UI模式要消耗大量的資源，設(shè)備中的網(wǎng)絡(luò)操作系統(tǒng)和內(nèi)存都難以支持，二是GUI模式對于有些命令可能無法實(shí)現(xiàn)，就像Windows系統(tǒng)中有些功能（如FSMO角色搶占）都不能在界面中配置，只能在命令模式配置一樣。

#p#

Q：你好,我想請問下如果要學(xué)習(xí)交換機(jī)集線器路由器等網(wǎng)絡(luò)設(shè)備,應(yīng)該如何學(xué)習(xí)呢?應(yīng)該哪方面入手呢?還有思科和華為王先生你會選擇哪個(gè)品牌的呢?

A： 集線器現(xiàn)在就不用學(xué)了.設(shè)備配置學(xué)習(xí)方面,在你還不具備實(shí)際配置能力前,一般來說你是沒有機(jī)會接觸真正的設(shè)備配置的,所以這時(shí)你就得先通過看書學(xué)習(xí),然后利用對應(yīng)的模擬器進(jìn)行練習(xí).首先要學(xué)的你還是Cisco的交換機(jī)設(shè)備配置。

Q：王老師好！首先我想聲明下觀點(diǎn)，我認(rèn)為目前企業(yè)網(wǎng)絡(luò)內(nèi)部的信息交換包括路由全都應(yīng)該用交換機(jī)及3層交換去實(shí)現(xiàn)，不用路由器。只有當(dāng)需要遠(yuǎn)距離傳輸時(shí)才用路由器去解決。這種觀點(diǎn)正確嗎？其次我想問在內(nèi)部全由交換機(jī)實(shí)現(xiàn)的企業(yè)內(nèi)部網(wǎng)絡(luò)中使用哪些技術(shù)來實(shí)現(xiàn)流量管理？使用哪些技術(shù)實(shí)現(xiàn)對交換網(wǎng)絡(luò)的管理？配置方法是什么？

A： 首先你的觀點(diǎn)是正確的，在大多數(shù)企業(yè)網(wǎng)絡(luò)中，三層交換機(jī)基本上可以全面取代路由器。至于全交換機(jī)網(wǎng)絡(luò)環(huán)境中可以通過配置端口速率限制、QOS，以及VLAN間路由等技術(shù)來實(shí)現(xiàn)流量管理。這些功能的具體配置方法就涉及到比較多的內(nèi)容了，在此沒時(shí)間為你一一列出。你可以看我的這本《CIsco/H3C交換機(jī)配置與管理完全手冊》。要實(shí)現(xiàn)對整個(gè)交換網(wǎng)絡(luò)的管理就需要用到專門的網(wǎng)絡(luò)設(shè)備管理軟件進(jìn)行了，如思科CiscoWorks 和華為網(wǎng)絡(luò)管理軟件，第三方像游龍科技的SiteView網(wǎng)絡(luò)管理軟件等。

Q："用sniffer監(jiān)控就可以。通過查看網(wǎng)絡(luò)中各用戶的出口通信就知道了。"能夠更詳細(xì)點(diǎn)說明如何通過網(wǎng)絡(luò)監(jiān)控軟件查看下掛用戶私接無線路由嗎？

A：可以的,你只需要查看到可疑用戶與外網(wǎng)的通信數(shù)據(jù)包就可以發(fā)現(xiàn)他們所用的路由器了.有關(guān)具體使用sniffer查看數(shù)據(jù)包的方法參見我的<網(wǎng)管員必讀_網(wǎng)絡(luò)測試\監(jiān)控和實(shí)驗(yàn)>一書.

Q：王老師，您好！我非常喜歡您寫的《網(wǎng)管員必讀》和《網(wǎng)絡(luò)工程師必讀》系列；特別是您的《Cisco/H3C交換機(jī)配置與管理完全手冊》我正在學(xué)習(xí)。我現(xiàn)在正在培訓(xùn)期間想考取思科的認(rèn)證，可是試卷全是英文的，我正在努力的看題庫；我感覺這樣學(xué)習(xí)真累，您有什么好的方法嗎？

A：學(xué)習(xí)時(shí)可通過模擬器多訓(xùn)練,但考試還是英文的啊.建議只學(xué)知識,不要考這個(gè)認(rèn)證.也沒什么意義的.

Q：王老師您好，我是高校的網(wǎng)絡(luò)維護(hù)人員，我們用的都是H3C的設(shè)備，現(xiàn)在有個(gè)問題就是學(xué)生宿舍上網(wǎng)，我們用的是3600下面配合傻瓜交換機(jī)管理的，有什么好的辦法解決宿舍ARP嚴(yán)重的問題，比如配置管理交換機(jī)或者升級設(shè)備等。謝謝。

A：ARP病毒通過設(shè)備是難以有效果的,只能通過專業(yè)的殺軟來監(jiān)控和查殺.如卡巴，360也可以。

Q：請問王老師， 我單位有移動和網(wǎng)通兩條光纖接入互聯(lián)網(wǎng)，路由器都在運(yùn)營商那里，現(xiàn)在想統(tǒng)一管理，仍用兩條線，一部分用戶用網(wǎng)通，一部分用戶用移動，應(yīng)配置哪些設(shè)備，如何實(shí)現(xiàn)這樣的功能？ 謝謝！

A：用網(wǎng)吧寬帶路由器就行了,同時(shí)支持像電信和聯(lián)通的寬帶接入的多WAN端口寬帶路由器.具體配置方法你可以看我的<金牌網(wǎng)管師_網(wǎng)吧網(wǎng)管>一書.

Q：王達(dá)老師，h3c的二層交換機(jī)3100雖然提供網(wǎng)管ip但是沒提供該ip的網(wǎng)關(guān)ip，這樣通過遠(yuǎn)程配置都要先通過三層交換來進(jìn)行配置，難道廠家在二層交換機(jī)上加這個(gè)功能很難嗎？

A：可為通過配置默認(rèn)靜態(tài)路由來實(shí)現(xiàn)啊，命令為：ip route-static

Q：王老師您好!請教您一下，

（1）企業(yè)網(wǎng)中Ciso2950交換機(jī)出現(xiàn)ARP風(fēng)暴時(shí)該如何解決

（2）交換機(jī)在配置方面有沒有什么通用的配置方法

A： 你確認(rèn)為ARP風(fēng)暴？不是廣播風(fēng)暴？如果是廣播風(fēng)暴，建議你重新設(shè)計(jì)或者配置一下你網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，盡可能不要有冗余鏈路，可以開啟STP，或者RSTP之類的協(xié)議來消除。ARP病毒的話，可以在交換機(jī)上做端口綁定即可。同一品牌中同一系列的交換機(jī)有基本一致的配置思路和方法，但也不是絕對。不同系列的相同功能配置命令都可能不一樣，所以你需要具體學(xué)習(xí)。這些在我的這本《Cisco/H3C交換機(jī)配置與管理完全手冊》書中就對這些不同之處進(jìn)行了綜合比較。以上其他的也都有詳細(xì)介紹。

Q：王老師，您好。感謝本站的介紹，9月份我已買了您的這本新書。借此機(jī)會，請教個(gè)問題。

有一臺Quidway F1800-a 布置在H3C SR8805的前面，網(wǎng)橋模式，配置它的管理地址（內(nèi)部）一直沒有實(shí)現(xiàn)與內(nèi)網(wǎng)連通。謝謝。

A：是不是配置在同一VLAN中了？如果不是，是不是在兩臺交換機(jī)上配置了VLAN中繼？否則是Ping不通的。

Q：老師您好！還想問您個(gè)問題。就是有的公司使用路由器直接連公網(wǎng)而有的卻是在路由器前面還加個(gè)modem?？梢灾更c(diǎn)下兩者的優(yōu)劣嗎？

A： 直接連接公網(wǎng)是采用的專線連接方式，通常分配一個(gè)固定IP地址，是其優(yōu)點(diǎn)業(yè)般表現(xiàn)為穩(wěn)定好，可用性較好，但價(jià)格較貴，加個(gè)MODEM的是要撥號上網(wǎng)的，通常是動態(tài)分配IP地址，其優(yōu)點(diǎn)就是價(jià)格便宜，但不穩(wěn)定，可用性也不是很好。

Q：最簡單的路由器配置為啥丟包。

--------------------------------------------------------------------------------

Router#show runn

Building configuration...

Current configuration:

!

version 12.0

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Router

!

enable secret 5 $1$msL5$VPGEFhW1Dfk8blIoiqtOt0

!

ip subnet-zero

!

!

!

interface Ethernet0/0

ip address 192.168.159.14 255.255.255.0

no ip directed-broadcast

ip nat inside

!

interface Ethernet0/1

ip address 58.240.239.118 255.255.255.252

no ip directed-broadcast

ip nat outside

!

ip nat inside source list 1 interface Ethernet0/1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 58.240.239.117

!

access-list 1 permit 192.168.159.0 0.0.0.255

!

line con 0

transport input none

line aux 0

line vty 0 4

password admin

login

!

end

配置允許192.168.159.*這個(gè)網(wǎng)段的機(jī)器允許上網(wǎng)，發(fā)現(xiàn)在PING www.163.com時(shí)延時(shí)150ms以上。而且丟包。直接用pc連外網(wǎng)ping 則正常。各位高手幫忙看下可能那里出了問題？補(bǔ)充下Cisco 2600路由器。

A： 你的路由器配置并沒有影響網(wǎng)絡(luò)連接性能的設(shè)置，估計(jì)還是交換機(jī)配置（如存在環(huán)路），或者交換機(jī)性能不行，還可能是網(wǎng)絡(luò)中存在太多廣播包引起的。你用PC直接連接外網(wǎng)是不經(jīng)過交換網(wǎng)絡(luò)的，所以上面這些因素不會影響你的外網(wǎng)連接。

Q：王老師，我是 紫軒￡狂楓。我們公司100來臺電腦，用的是3com  4250t交換機(jī)，其余的都是一般都是用TP-LINK,但是好像網(wǎng)速比較慢，而且有人偶爾網(wǎng)頁都打不開，可能是有人下載，我想問問有什么辦法可以知道誰在下載或者限制下載，

A：許多網(wǎng)管工具軟件都可以實(shí)現(xiàn)限制下載的,如網(wǎng)路崗、聚生網(wǎng)管、超級網(wǎng)管等。至于如何發(fā)現(xiàn)，則可以通過像sniffer這類監(jiān)控軟件來進(jìn)行了，通過它的通信流量視圖就可以很容易地發(fā)現(xiàn)哪臺機(jī)的通信流量太大，不正常。

Q：王老師，既然您把思科與華三的交換機(jī)放在一起作個(gè)手冊，我想問下，書中有沒有相關(guān)的思科交換機(jī)與華為交換機(jī)的性能對比，做系統(tǒng)集成時(shí)的交換設(shè)備采購建議。

 茶鄉(xiāng)浪子 在《Cisco/H3C交換機(jī)配置與管理完全手冊》一書中沒有對兩品牌交換機(jī)進(jìn)行專門的對比，因?yàn)檫@兩個(gè)品牌各自有太多的系列和型號了，綜合對比沒有多大意義，一個(gè)個(gè)對應(yīng)層次系列進(jìn)行對比，又很難進(jìn)行，因?yàn)檫@樣一來，篇幅就會大大增加。但從兩個(gè)品牌的交換機(jī)功能配置介紹可以看出，Cisco的無論從功能上，還是性能上都較H3C的要好許多。H3C基本上都是采用通用的協(xié)議，盡管具有較廣泛的通用性，但通用協(xié)議的功能和性能都不如Cisco專用的。

Q：最近公司IT部門打算對現(xiàn)有的網(wǎng)絡(luò)進(jìn)行改造，準(zhǔn)備采購微軟的ISA 2006 ，來配合思科的ASA 防火墻，一起使用， 我們用ISA 主要是靈活控制員工的上網(wǎng)行為，并且統(tǒng)計(jì)員工的上網(wǎng)記錄，ISA 對上網(wǎng)的應(yīng)用控制比較強(qiáng)，那請問我該如何配置ISA 和思科 ASA，該組成什么模式？才能發(fā)揮這兩個(gè)防火墻的功能呢？

A： 你同時(shí)使用ISA和ASA防火墻的話，建議你僅對ISA上配置上網(wǎng)行為管理，當(dāng)作一個(gè)網(wǎng)絡(luò)管理工具軟件來使用；而對于通信流過濾方面，在ISA上不要做任何設(shè)置，這方面可以在ASA上進(jìn)行配置，否則兩者很難達(dá)到完全一致的配置效果，還可以相互沖突。而且在兩個(gè)防火墻上都配置過濾的話，對網(wǎng)絡(luò)連接性能的影響會非常大的，因?yàn)槊總€(gè)數(shù)據(jù)包要經(jīng)過兩個(gè)防火墻的過濾策略分析。建議你不要使用ISA，而采用其他的網(wǎng)絡(luò)管理軟件，如網(wǎng)路崗、聚生網(wǎng)管、網(wǎng)警、超級網(wǎng)管、清楊網(wǎng)管等。因?yàn)镮SA占用的資源比較多，對網(wǎng)絡(luò)通信性能的影響比較大。

Q：王老師，如果交換機(jī)的端口下聯(lián)的是一臺虛擬機(jī)的物理服務(wù)器，里面的虛擬機(jī)處于不同的網(wǎng)段，如果要保證這些虛擬機(jī)互訪和訪問外面都不受限制，這個(gè)接口需要做單獨(dú)的配置嗎？

A：不用在接口為每個(gè)虛擬機(jī)單獨(dú)配置的，你只需要配置物理服務(wù)器，各虛擬機(jī)間的互訪通過虛擬機(jī)軟件的NAT模式來配置與物理服務(wù)器的連接即可實(shí)現(xiàn)互訪。

Q：王老師，我想向您咨一下，Cisco路由器的雙線配置問題，我公司現(xiàn)在有一條10M的網(wǎng)通的光纖，還有一條4M的電信光纖，我在網(wǎng)上查了好多雙線的配置方法。都不理想。我的想法是，最好是能利用現(xiàn)在的Cisco路由器，進(jìn)行雙線負(fù)載的自動平衡。不知道王老師有好的解決辦法沒？

A： 在Cisco路由器做負(fù)載均衡方法倒是很多，如基于策略、基于開銷和基于HSRP協(xié)議，但我認(rèn)為第一種更容易理解，更容易配置。就是為不同線路配置不同的路由表和相匹配的ACL列表，限制某個(gè)地址范圍的用戶使用某個(gè)路由表和ACL列表。所使用的命令包括：Route map（創(chuàng)建路由表）、 Match access-list（匹配ACL列表）、 Set interface（設(shè)置線路連接接口）。要注意的是，你需要在兩個(gè)ISP線路接口上分別配置，但配置項(xiàng)的具體內(nèi)容有所不同。

Q：專家您好，我的網(wǎng)絡(luò)環(huán)境是這樣:有一臺Cisco 3550交換機(jī)作為內(nèi)網(wǎng)核心交換機(jī)，上聯(lián)路由器Cisco2811(線路A接入)和路由器華為R1760(線路B接入),下聯(lián)內(nèi)網(wǎng)2層交換機(jī)。想實(shí)現(xiàn)如下需求：

1. 當(dāng)A或B線路有故障時(shí)，另一條線路能自動切換。

2. 當(dāng)A/B線路正常時(shí)，實(shí)現(xiàn)均衡負(fù)載。

3. 對內(nèi)網(wǎng)數(shù)據(jù)流進(jìn)行QoS策略部署，實(shí)現(xiàn)對重要數(shù)據(jù)的保障。

請問專家，以上需求若能實(shí)現(xiàn)，都需要進(jìn)行哪些方面的數(shù)據(jù)配置？在均衡負(fù)載和線路切換方面，是否是通過C3550來實(shí)現(xiàn)？ 謝謝專家！

A： 不同品牌的路由器比較實(shí)現(xiàn)負(fù)載均衡的，雖然都有一些均衡的配置方法，但可能難以兼容。在C3550交換機(jī)上是不能配置你所需的負(fù)載均衡的。

Q：王老師,你好!現(xiàn)在在一家公司做城域網(wǎng)工程,對下層的DSLAM,與接入?yún)R聚層的設(shè)備有一些認(rèn)識.在配中興9210的設(shè)備時(shí),在加完業(yè)務(wù)VLAN后就要關(guān)閉PVLAN功能,想問一下,PVLAN是做什么用的.為什么華為的5600就不用配?還有一點(diǎn)就是對BAS一直不理解,在接入?yún)R聚后再在各業(yè)務(wù)VLAN外加打統(tǒng)一的一個(gè)標(biāo)簽,說它們是為了到上層BAS中尋求認(rèn)證的.還有人說經(jīng)過華為S3328后就直接到NE40了.在此想問一下,BAS在城域網(wǎng)中主要起到什么作用?

A： PVLAN通常用于企業(yè)內(nèi)部網(wǎng)，用來防止連接到某些接口或接口組的網(wǎng)絡(luò)設(shè)備之間的相互通信，但卻允許與默認(rèn)網(wǎng)關(guān)進(jìn)行通信。盡管各設(shè)備處于不同的pVLAN中，它們可以使用相同的IP子網(wǎng)。PVLAN是用來實(shí)現(xiàn)下層不同用戶的VLAN（輔助VLAN）間的隔離，但上層VLAN（主VLAN）是可以全面管理下面的各用戶VLAN的。主要應(yīng)用于ISP。在中興設(shè)備中，需要完成業(yè)務(wù)后關(guān)閉PVLAN，可能是受該品牌設(shè)備的PVLAN管理局限性限制（本人沒有配置過中興設(shè)備），可能不關(guān)閉就無法對用戶VLAN進(jìn)行管理。CISOC是的是不用關(guān)閉PVLAN，就可對用戶VLAN進(jìn)行管理的。有關(guān)PVLAN方面的知識可以看我的《CIsco/H3C交換機(jī)配置與管理完全手冊》一書的第8章。BAS（寬帶接入服務(wù)器）是用來管理用戶接入的。不知是不是你所說的BAS。

Q：Cisco和H3C在命令上有哪些區(qū)別，希望那個(gè)能夠提供相關(guān)的較為詳細(xì)和分類的資料？

A：對比一下兩者相同功能的配置命令要吧發(fā)現(xiàn)，它們的許多功能配置思路是基本一樣的，只是具體的命令名稱，或者參加不完全一樣（但也有相似的地方）。具體要說到有哪些區(qū)別，我想在這里也沒法給你列出，你可以在看我的這本書時(shí)對比一下相應(yīng)章節(jié)介紹的相同功能配置命令就知道了。

Q：首先 謝謝您的指點(diǎn)！我想再請教一下，關(guān)于深入學(xué)習(xí)的問題！我是一個(gè)網(wǎng)絡(luò)設(shè)備的初學(xué)者，重點(diǎn)學(xué)習(xí)了思科設(shè)備，只過了NA！簡單學(xué)習(xí)過 華為和銳捷設(shè)備！我想問，我該如何更深入的學(xué)習(xí)呢！我現(xiàn)在已經(jīng)畢業(yè)，從事IDC 網(wǎng)絡(luò)運(yùn)維！想更加深入的學(xué)習(xí)！我覺得證書不重要，關(guān)鍵是真正掌握的技能？ 這樣想對嗎？

我覺得自己該系統(tǒng)的從頭學(xué)一下！學(xué)校學(xué)習(xí)的東西 工作后感覺還是不夠，不夠具體和深入！只是不知道 該如何系統(tǒng)學(xué)習(xí)?。?還有是先學(xué)路由呢 還是交換？ 我們公司基本沒有路由器 都是交換機(jī)?。?這樣感覺很迷茫！我們在學(xué)校主要就學(xué)習(xí)的路由 ，交換的相對較少？ 請您指點(diǎn)一下！

A： 你的觀點(diǎn)為是正確的，證書只是在找工作時(shí)有些參考作用，對于實(shí)際工作沒有任何幫助。在實(shí)際工作中還需要真正過硬的技能，不是靠證能解決得了的。你現(xiàn)在從事的是IDC運(yùn)維，如果你覺得可以長久發(fā)展的話，則建議從基礎(chǔ)開始，系統(tǒng)地學(xué)習(xí)一下網(wǎng)絡(luò)設(shè)備的配置思路和方法，特別是思科和H3C的。而且建議從交換機(jī)配置開始，因?yàn)榻粨Q機(jī)的應(yīng)用遠(yuǎn)比路由器的要常見。如果你不確定能否長久在IDC公司工作，則建議系統(tǒng)地學(xué)習(xí)一下網(wǎng)絡(luò)管理知識和技能，網(wǎng)絡(luò)管理不僅是網(wǎng)絡(luò)設(shè)備。相反網(wǎng)絡(luò)設(shè)備的配置只占極少部分，更多的是應(yīng)用服務(wù)器和網(wǎng)絡(luò)服務(wù)器的配置與管理。

Q：我使用的H3C路由和交換機(jī)，路由：MSR 20-21，我想進(jìn)行IP和MAC的綁定，請問老師可以嗎？

A：MSR 20-21路由器沒有IP地址與MAC地址綁定功能，但有MAC地址攻擊檢測功能，使用的命令是：arp anti-attack source-mac { filter | monitor }

Q：你好,王老師.很高興你能抽出時(shí)間,為我們解答,非常感謝.我想知道如何在交換機(jī)實(shí)現(xiàn)對VLAN的安全控制和訪問,還有在三層交換機(jī)上才能哪種方法對避免廣播風(fēng)暴起到立桿見影的效果??謝謝！

A： 對VLAN訪問的控制是通過ACL進(jìn)行的。在交換機(jī)上最有效的避免廣播風(fēng)暴的方法就是啟用STP，或者RSTP協(xié)議。

Q：對于五十人左右的..公司有必要使用三層交換機(jī)嗎?  在結(jié)構(gòu) 上..怎么規(guī)化.像文件服務(wù)之類 服務(wù)器如何配置.

A： 具體是否要使用三層交換機(jī)要看你的網(wǎng)絡(luò)應(yīng)用需求而定。如果你想要對部分用戶的訪問采用基于協(xié)議（如IP地址，或者通信協(xié)議類型）的過濾，還要看你們公司的發(fā)展速度。如果發(fā)展速度比較快，在近期內(nèi)可能要用到三層過濾，或者三層交換（三層交換比二層交換的性能要好許多），就建議采用三層交換機(jī)。否則沒有必要。

Q：華為2層設(shè)備，管理vlan可否和業(yè)務(wù)vlan同時(shí)使用？怎么實(shí)現(xiàn)？

A： 我不太清楚你所說的"同時(shí)使用"是什么意思。是要同時(shí)把管理VLAN用于業(yè)務(wù)，還是指同時(shí)啟用管理VLAN與業(yè)務(wù)VLAN呢？如果要把管理VLAN用于業(yè)務(wù)當(dāng)然不行，但如果只是要同時(shí)啟用，當(dāng)然可以，不用額外配置的。

Q：王老師好，我有個(gè)技術(shù)問題想咨詢一下！具體情況是這樣的，兩臺hp的380g6的服務(wù)器，都是雙網(wǎng)卡的，兩臺cisco的3750-24的交換機(jī)，兩臺cisco asa5500的防火墻，我現(xiàn)在想實(shí)現(xiàn)服務(wù)器、交換機(jī)、防火墻都做冗余（兩臺服務(wù)器是做的集群），請問交換機(jī)和防火墻怎么配置冗余呢？就是說服務(wù)器的兩塊網(wǎng)卡分別連到兩臺交換機(jī)上，任何一臺交換機(jī)down掉都不影響服務(wù)器的訪問，（防火墻的配置與交換機(jī)類似）請王老師幫助解決一下！

A： 你問的問題比較大，你可以在連接服務(wù)器的兩個(gè)交換機(jī)的其中一個(gè)端口上啟用RSTP協(xié)議，并把該端口配置為"備份端口"，這樣就可以確保在正常情況下只啟用另一個(gè)交換機(jī)的端口鏈路，當(dāng)正常鏈路換效時(shí)，備份端口所對應(yīng)的鏈接會自動接替失效的鏈路。至于cisco asa5500方面的冗余配置目前我還不知道，不好意思。因?yàn)橥ǔ７阑饓Σ粫扇膳_防火墻這樣冗余的。

Q：王老師好，我是一個(gè)新手，剛開始接觸可網(wǎng)管交換機(jī)和路由器，想問一下，怎么能夠快速入門和提高？補(bǔ)充一下，我這里只能用模擬器的，單位的h3c是不敢亂動的！

A： 新手學(xué)習(xí)設(shè)備配置基本上都是通過模擬器軟件進(jìn)行的?，F(xiàn)在網(wǎng)友學(xué)設(shè)備配置普遍存在一個(gè)誤區(qū)，那就是認(rèn)為只有看純大型案例的書才能學(xué)到知識。這是非常錯(cuò)誤的，因?yàn)閷τ谛率謥碚f，連基本的功能配置都不會，你如何學(xué)到通用的功能配置？如何理解書中那些大型案例的配置語句？看完后可能連個(gè)基本的配置思路和方法都不知道，又有什么用。大型案例的書只適合于有比較豐富的經(jīng)驗(yàn)的讀者閱讀，作為拓展學(xué)習(xí)應(yīng)用方案配置的。H3C設(shè)備網(wǎng)上有專門的"H3C模擬器"下載的。

Q：王老師你好：想問下堆疊是不是只有高端產(chǎn)品才支持呀？端口密度大的情況下，是做堆疊好，還是直接采用高背板模塊化的三層好呀？

A： 相反，堆疊是低檔設(shè)備才支持，中高檔設(shè)備不支持。因?yàn)槎询B主要用于接入層，最多是匯聚層。從成本上來考慮，當(dāng)然是選擇堆疊好些，畢竟低檔設(shè)備比較便宜。模塊化設(shè)備一般是中高檔的才有，價(jià)格比較貴。而且還沒有堆疊的端口擴(kuò)展能力那么強(qiáng)。

Q：王老師，您好！我配置過一個(gè)Cisco3800的路由器，增加了兩個(gè)模塊，每個(gè)模塊上有兩個(gè)以太口，同一個(gè)模塊內(nèi)的兩個(gè)以太口可以互相通信，不同模塊之間無法通行，最后在兩個(gè)模塊之間用一根網(wǎng)線直連，兩個(gè)模塊就可以通信啦，中間試過兩個(gè)模塊之間配置路由等方法都沒有解決。王老師，如果不用這根網(wǎng)線能不能讓這兩個(gè)模塊之間可以通信，因?yàn)橛镁W(wǎng)線后占用了兩個(gè)端口？

A： 這兩個(gè)模塊是用來連接不同網(wǎng)絡(luò)的，這些端口默認(rèn)是可路由（routed）模式，當(dāng)然不能直接相通，需要配置路由。如果兩個(gè)模塊連接的是同一個(gè)網(wǎng)絡(luò)，可以把這兩個(gè)模塊的端口都配置成ACCESS模式。

Q：我用的是神舟數(shù)碼的CR3360的,我的路由下面接CISCO的交換機(jī)二層的,我路由的密碼不記的了,想問一下,這個(gè)破路由的密碼是乍搞的呀,和CISCO的一樣不？

A：沒用過這款路由器。你看一下有沒有復(fù)位孔，或者按鍵。如果有的話，先關(guān)機(jī)，按住這個(gè)孔，或者鍵再開機(jī)，一直到啟動成功再松開，試一下。這時(shí)就會是默認(rèn)的密碼了。

Q：老師好！我想知道H3C3526C的設(shè)備如何實(shí)現(xiàn)ACL在某個(gè)具體端口上的應(yīng)用策略？

A：這方面你可以看我的《Cisco/H3C交換機(jī)配置與管理完全手冊》的第19章。

Q：王老師你好，我想問一下如果是兩個(gè)交換機(jī)相連，每個(gè)橋的priority均為默認(rèn)，鏈路開銷相同，都是fastethernet,從mac地址的大小已經(jīng)可以確定誰是根橋，誰是非根橋，那么在這個(gè)非根橋上如何判斷哪個(gè)端口為根端口。在非根橋上判斷根端口的依據(jù)則為哪個(gè)端口跟根橋最近。交換機(jī)上兩端口為f0/23與f0/24,線路連接情況為f0/23<----->f0/24,f0/24<-------->f0/23.。一般的連接情況都是f0/23<----->f0/23，f0/24<----->f0/24，這個(gè)情況我知道如何判斷，因?yàn)樵趐riority相同，mac地址相同（同一個(gè)交換機(jī)上），鏈路開銷相同的情況下則比較端口ID,肯定是端口ID小的為根端口。那如果線路連接情況為f0/23<----->f0/24,f0/24<-------->f0/23.在判斷端口ID大小時(shí)是應(yīng)該判斷本地端口，還是與之相連的端口ID大小呢？謝謝，非常感謝王達(dá)老師！

A： 根端口是在非根橋上的，所以只能在非根橋上的端口進(jìn)行比較。在所有與根橋連接的端口呂，端口ID最小的就成為根端口。你所說的這種情況，當(dāng)然就是非根橋上的f0/23端口為根端口了。

Q：在Cicso設(shè)備環(huán)境下，一個(gè)園區(qū)網(wǎng)使用OSPF作為其路由協(xié)議。該園區(qū)網(wǎng)使用了OSPF多區(qū)域設(shè)置，在AREA1中的網(wǎng)絡(luò)設(shè)備通過O的路由可以去往1.1.1.0/24網(wǎng)段，但是現(xiàn)在要求該區(qū)域內(nèi)的網(wǎng)絡(luò)設(shè)備也要使用穿越AREA0的路由去往1.1.1.0/24網(wǎng)段.在不使用靜態(tài)路由、默認(rèn)路由和策略路由的情況下只在OSPF協(xié)議內(nèi)做設(shè)置能否完成改要求？【最好還可以提供路由的冗余】

A： 為什么不使用簡單的靜態(tài)路由，或者其他路由方式呢？其他方案我沒有想到，不好意思。因?yàn)槲抑挥型砩嫌袝r(shí)間，今天晚上也累了，一下子解答了幾十個(gè)讀者的提問。要休息了，以后有問題，可以在我的讀者群中提。謝謝大家的信任與支持！

Q：我想問一下 ： VRRP協(xié)議和HSRP協(xié)議的差別，那個(gè)效率更高。

A： VRRP協(xié)議是確保在主路由器不可用時(shí)能夠提供動態(tài)的故障轉(zhuǎn)移機(jī)制，允許虛擬路由器的 IP 地址可以作為終端主機(jī)的默認(rèn)第一跳路由器。使用 VRRP 的好處是有更高的默認(rèn)路徑的可用性而無需在每個(gè)終端主機(jī)上配置動態(tài)路由或路由發(fā)現(xiàn)協(xié)議。

HSRP協(xié)議是思科專用的，它可以在終端主機(jī)不能動態(tài)知道第一跳路由器的IP 地址時(shí)，提供一個(gè)虛擬路由器。這樣做的目的就可以實(shí)現(xiàn)即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。從以上簡單介紹可以知道，兩者實(shí)現(xiàn)的功能其實(shí)是差不多的，甚至可以說是一樣的。但VRRP協(xié)議允許參與VRRP組的設(shè)備間建立認(rèn)證機(jī)制，安全性更高。而且VRRP的實(shí)現(xiàn)路由備份的機(jī)制比HSRP的簡單，因它只有三種狀態(tài)和5個(gè)事件，而HSRP協(xié)議需要用到5個(gè)狀態(tài)和8個(gè)事件。VRRP協(xié)議工作在TCP傳輸協(xié)議基礎(chǔ)上，而HSRP協(xié)議工作在UDP協(xié)議上，則此可見，VRRP協(xié)議更加可靠，但需要占用更多的資源。

更多精彩技術(shù)門診請?jiān)L問：http://doctor.51cto.com/

【編輯推薦】

1. [134期]VSFTP服務(wù)的日常應(yīng)用及疑難問題解析
2. [133期] 保障企業(yè)核心機(jī)密——與專家對話內(nèi)網(wǎng)安全
3. [132期] 實(shí)戰(zhàn)乃王道：C/C++開發(fā)常見bug解析