【51CTO.com原創(chuàng)稿件】我今天想給大家分享一下怎樣成為一個優(yōu)秀的網(wǎng)絡(luò)工程師。整體有這樣幾個步驟：第一，良好的技術(shù)水平，也就是硬實(shí)力，這是一切的基礎(chǔ)。第二，規(guī)范的設(shè)計意識，硬實(shí)力有了之后就是規(guī)范性的問題，技術(shù)不僅要學(xué)會，而且還得會用在一個合理的位置。第三，認(rèn)真細(xì)致的思考，細(xì)致是一個網(wǎng)絡(luò)工程師必備的素質(zhì)。第四，靈活的應(yīng)變頭腦，這主要考驗(yàn)經(jīng)驗(yàn)的積累和心理素質(zhì)。到了客戶現(xiàn)場之后，作為一個網(wǎng)絡(luò)工程師，面對任何突發(fā)狀況都都需要冷靜判斷、靈活應(yīng)變。

　　一. 良好的技術(shù)水平。

　　1. 技術(shù)水平體現(xiàn)在哪里？

　　技術(shù)水平主要體現(xiàn)在兩個方面，一是你對這些理論夠不夠熟悉，知不知道它的原理，二是在設(shè)備上邊能不能夠把它實(shí)現(xiàn)出來。首先對于傳統(tǒng)網(wǎng)絡(luò)里的常用技術(shù)，你一定要知道其原理和應(yīng)用場景，然后對于不同廠商的設(shè)備，你也要熟練各自的配置。

　　你能不能在思科的設(shè)備上知道VLAN怎么配，Trunk怎么配，你能不能在華為的設(shè)備上知道OSPF怎么配，BGP怎么配、MPLSVPN怎么實(shí)現(xiàn)。你的技術(shù)水平是由這兩方面構(gòu)成的。

　　2.網(wǎng)絡(luò)工程師如何獲取知識？

　　對于學(xué)生群體和職場群體我給出兩種建議。

　　參加工作之前：作為學(xué)生，最主要的就是教材。傳統(tǒng)網(wǎng)絡(luò)教材有很多，我主推思科，思科在講課方面最棒的就是明教教主秦科。把教材上所講的理論都記熟，然后再通過模擬器做實(shí)驗(yàn)來驗(yàn)證這個理論，達(dá)到相互鞏固的效果。此外，還可以看一些技術(shù)博客，同學(xué)之間也可以進(jìn)行良性交流。

　　參加工作之后：你可能沒有太多空余時間，那么我在這里提供4點(diǎn)建議。

　　（1）巡檢。不管你是做實(shí)施還是做運(yùn)維，必須要重視巡檢。巡檢是你提升技術(shù)最好的一種方式，參與割接的機(jī)會也最多。從巡檢中抓出來的東西都是正兒八經(jīng)的模板，可以套用。另外在巡檢之中發(fā)現(xiàn)不懂的問題也可以及時去解決。

　　（2）重視官方提供的手冊案例。因?yàn)橐话銇碚f，官方的文檔都具有一定的權(quán)威性。舉個例子，你接觸了新華三的10512這個交換產(chǎn)品，可以通過百度找到新華三官網(wǎng)鏈接，點(diǎn)擊進(jìn)入就能找到“相關(guān)手冊”，可以查看其中的典型配置舉例，通過這些案例你能同時熟悉它的場景和命令。

　　（3）積累項(xiàng)目實(shí)戰(zhàn)經(jīng)驗(yàn)。有機(jī)會就多參與實(shí)戰(zhàn)，多進(jìn)幾回機(jī)房，多熬幾次夜，多參加幾次割接，這樣也能夠得到一個更好的提升。

　　（4）請大佬指點(diǎn)迷津。真正進(jìn)過機(jī)房、上過戰(zhàn)場的大佬跟你說的話，還是得仔細(xì)聽。

　　tip：學(xué)習(xí)思科最好的方式是看教材，而且思科的模擬器多且功能強(qiáng)大，BUG少，把思科學(xué)會了，理論學(xué)懂了，實(shí)驗(yàn)做會了，再通過手冊去看華為跟華三就簡單了。掌握這個思路以后，不管任何廠商的設(shè)備你都可以信手拈來，這是第一步——打好基本功。

　　二. 規(guī)范的設(shè)計意識

　　規(guī)范的設(shè)計意識，意味著能讓每一個技術(shù)都用到合理的位置，作為網(wǎng)絡(luò)工程師在設(shè)計網(wǎng)絡(luò)的時候，永遠(yuǎn)要抓住整個網(wǎng)絡(luò)設(shè)計里的重點(diǎn)。

　　1.引子。首先請觀察一下圖中的這張網(wǎng)絡(luò)。這個是一個學(xué)生的畢業(yè)設(shè)計，在核心層做dhcp服務(wù)，但是下面的PC機(jī)不能獲取到正確的動態(tài)地址，相當(dāng)于dhcp弄到核心上了，他想通過核心上的dhcp功能給下面這些主機(jī)分配這些IP地址，但是分配不到。我先給大家說幾個通用的規(guī)范之后，我們結(jié)合看一下這個設(shè)計：它的可取之處和不足之處都在哪兒？它哪些重點(diǎn)沒抓住，哪些地方又是亮點(diǎn)？

　　2.幾個通用規(guī)則。

　　(1) 二層連接要設(shè)計成三角形。這是我個人總結(jié)出來的，可能大家不一定認(rèn)同。在我多年的實(shí)踐經(jīng)驗(yàn)中，如果把二層結(jié)構(gòu)設(shè)計得太復(fù)雜，很有可能造成生成樹無法收斂。

　　(2) 如果核心不做網(wǎng)關(guān)，則盡量在核心上少配置其他的功能。基本上核心層的設(shè)計要點(diǎn)都是高效、穩(wěn)定，所以說核心層通常都只會針對路由、選路等進(jìn)行配置，除此之外我建議別在核心上弄一些花哨的功能。以上圖為例，在核心層做DHCP實(shí)際就不太可取。別看它是一個很簡單的分配IP的功能，實(shí)際上DHCP很占資源。盡量讓核心少去接受這些效率又低、功能又不是核心應(yīng)該承擔(dān)的東西。

　　tip：如果實(shí)際需要你用網(wǎng)絡(luò)設(shè)備來實(shí)現(xiàn)一些雜七雜八的功能，你可以把它移到匯聚上。匯聚層設(shè)備兼?zhèn)浜狭骱途W(wǎng)關(guān)功能，我建議諸如生成樹、基礎(chǔ)的ACL、DHCP等都可以給它配置在匯聚上面。另外，接入層是直面終端的，所以像生成樹、端口安全、MAC過濾、802.1X認(rèn)證，這些都是配置到接入層上的。

　?。?）交換路由、防火墻各有職責(zé)，不要替用。以上是關(guān)于層次的問題，這一條則與設(shè)備相關(guān)。交換路由主要是針對數(shù)據(jù)轉(zhuǎn)發(fā)，適合交互路由，所以像OSPF、BGP這些路由一般情況下都會把它只放在交換機(jī)或者路由器上。而防火墻是安全設(shè)備，通常適合配置ACL、安全策略或者NAT，它不太適合交互路由。一般在網(wǎng)絡(luò)設(shè)計過程中，過墻流量遇到防火墻的時候基本上用的是靜態(tài)路由，也就是說防火墻通常都配置靜態(tài)路由。所以交換路由和防火墻是各司其職的。

　?。?）IP地址使用規(guī)則。盡量不要使用192.168開頭的地址；三層接口互連使用/30的地址；熱備互連對接用/29；必須要注意規(guī)劃Loopback地址，因?yàn)镽outer-id很重要。

　?。?）路由協(xié)議使用規(guī)則。OSPF的網(wǎng)絡(luò)類型一般為P2P；配置IGP鄰居最好用接口地址；兩臺設(shè)備之間一般來說只建議用一個IGP鄰居（活用靜默接口）；iBGP一般使用Loopback接口作為更新源，而eBGP一般使用物理接口作為更新源，并開啟BFD；養(yǎng)成在接口上配置描述的習(xí)慣。

　　3.方案分析。

　　【案例】某分支機(jī)構(gòu)計劃建設(shè)一套局域網(wǎng)，要求內(nèi)外網(wǎng)分離?？蛻舨少彽木W(wǎng)絡(luò)設(shè)備為：一臺華為AR3260路由，兩臺華為S5720交換機(jī)，兩臺華為S3700交換機(jī)，一臺華為USG6600防火墻，現(xiàn)在設(shè)備都已經(jīng)上架并連接好了。

　　【需求】請根據(jù)這個結(jié)構(gòu)，滿足下列網(wǎng)絡(luò)建設(shè)需求：

　　1. 華為AR3260作為連接中心機(jī)構(gòu)網(wǎng)絡(luò)（內(nèi)網(wǎng)）的上聯(lián)設(shè)備，與中心結(jié)構(gòu)一側(cè)的網(wǎng)絡(luò)設(shè)備建立了BGP鄰居，用于收取總部內(nèi)網(wǎng)路由。

　　2. 連接外網(wǎng)使用USG6600防火墻直接連接，外網(wǎng)使用PPPoE撥號的方式獲取IP地址。

　　3. 兩臺S5720作為局域網(wǎng)的網(wǎng)關(guān)設(shè)備，兩臺S3700作為局域網(wǎng)的接入層設(shè)備。

　　4. 局域網(wǎng)需要兩個網(wǎng)段，一個只允許訪問外網(wǎng)，另一個只能訪問內(nèi)網(wǎng)。

　　5. 分支機(jī)構(gòu)總共不超過200個主機(jī)。

　　【方案】根據(jù)需求來逐一看一下3套設(shè)計方案。

　　【方案1】

　　l 分配兩個IP網(wǎng)段，VLAN10是10.101.1.0/24，VLAN20是10.102.2.0/24，讓10.101.1.0/24訪問內(nèi)網(wǎng)，讓10.102.2.0/24訪問外網(wǎng)。

　　l 10.101.1.0/24只能訪問內(nèi)網(wǎng)，所以在USG6600上就不能對這個網(wǎng)段做NAT；而10.102.2.0/24 只能訪問外網(wǎng)，所以在AR3260上，用ACL拒絕這個網(wǎng)段訪問內(nèi)網(wǎng)即可。

　　l 兩臺S5700上做MSTP+VRRP ，SS700-1做VLAN10的根橋，并作為VLAN 10 :10.101.1.0/24的根橋和Master設(shè)備，S5700-2 做VLAN 20的根橋，并作為VLAN 20 : 10.102.2.0/24 的根橋和Master設(shè)備。

　　l AR3260和S5700之間跑OSPF ，做OSPF和BGP的雙向重分發(fā)；對USG 6600的方向?qū)懩J(rèn)路由即可。

　　l 可以考慮把USG 6600和AR3260換個位置，這樣AR3260就能支持DMVPN，而防火墻與內(nèi)網(wǎng)互連也能支持一般的路由功能。

　　【問題】：讓USG 6600和AR3260互換位置，其目的只是為了適應(yīng)DMVPN的備用通道，這屬于本末倒置，是方案1的不可取之處。而且華為沒有DMVPN，有的是DSVPN，而且要另外購買授權(quán)才能支持。而且把防火墻跟路由器調(diào)換了位置之后，讓防火墻又跑OSPF又跑BGP，肯定會成為訪問瓶頸。此外，讓路由器直接暴露在防火墻外，安全性也下降了。

　　【方案2】

　　l 分配兩個IP網(wǎng)段，VLAN 11: 192.168.1.0/24，VLAN 12 :192.168.2.0/24。讓 192.168.1.0/24訪問內(nèi)網(wǎng)，192.168.2.0/24訪問外網(wǎng)。

　　l 允許訪問內(nèi)網(wǎng)的主機(jī)，在USG 6600上寫ACL , 拒絕其訪問外網(wǎng)。允許訪問外網(wǎng)的主機(jī)在S5720上寫ACL ,拒絕其訪問內(nèi)網(wǎng)。

　　l 兩臺S5700上，做MSTP+VRRP，根橋和Master都在S5700-l 上。

　　l 讓AR 3260和S5700、 USG 6600之間運(yùn)行OSPF ,再在USG 6600上以 always的方式注入一個默認(rèn)路由到網(wǎng)絡(luò)中。

　　【問題】：使用了垃圾IP地址；讓防火墻又跑OSPF，又注入靜態(tài)路由，降低防火墻性能；在S5720上寫ACL，又在防火墻上寫ACL，增加后期運(yùn)維難度，且沒有好好考慮S5720上是否能支持復(fù)雜的ACL。這種方案屬于典型的生搬硬套的教科書，用各種技術(shù)堆砌，而沒有考慮設(shè)備特性。

　　【方案3】（標(biāo)準(zhǔn)設(shè)計）

　　l 分配兩個IP網(wǎng)段，VLAN10：10.101.1.0/24，VLAN20：10.102.2.0/24，讓10.101.1.0/24訪問內(nèi)網(wǎng)，讓10.102.2.0/24訪問外網(wǎng)。

　　l 10.101.1.0/24只能訪問內(nèi)網(wǎng)，所以在USG6600上寫靜態(tài)路由的時候，不寫10.101.1.0/24。而10.102.2.0/24只能訪問外網(wǎng)，所以在AR3260上不把10.102.2.0/24發(fā)到BGP里，讓總部收不到這個路由即可。

　　l 兩臺S5700上，做MSTP+VRRP，SS700-1做VLAN10的根橋，并作為VLAN 10 :10.101.1.0/24的根橋和Master設(shè)備，S5700-2 做VLAN 20的根橋，并作為VLAN 20 : 10.102.2.0/24 的根橋和Master設(shè)備。

　　l AR3260和S5700之間跑OSPF，在AR3260上寫一條大段的Null0靜態(tài)路由，再用network把大段路由注入到BGP內(nèi)。

　　三. 認(rèn)真細(xì)致的思考

　　假如某客戶有兩臺核心設(shè)備Cisco6509現(xiàn)在要換成華為S12708，那么你覺得前期應(yīng)該做哪些考慮？這個問題考驗(yàn)的就是你是否認(rèn)真細(xì)致。

　　如果你只是考慮到：HSRP改為VRRP，PVST改為MSTP，有EIGRP就改成OSPF……是遠(yuǎn)遠(yuǎn)不夠的。首先，HSRP改VRRP，核心如果有的話肯定要改成VRRP，但是HSRP和VRRP有個最重要的區(qū)別就是組播地址，組播地址先要記牢，然后改的過程怎么操作？也要考慮清楚，一般都要執(zhí)行先關(guān)后改的操作步驟；其次，EIGRP改OSPF，兩者有本質(zhì)區(qū)別，而且他們的AD值不一樣，具體怎么改也是有講究的；再者，生成樹的問題。一個正規(guī)的網(wǎng)絡(luò)是不會允許你把生成樹搞到核心上面的。所以考慮問題要全面。

　　除了上述的技術(shù)問題，還要考慮哪些因素？

　　第一，工勘。這包括機(jī)房環(huán)境的調(diào)研、上架位置、空余線纜的長度等等 。比如說Cisco6509和華為S12708都是大型設(shè)備，會很占機(jī)柜的高度，所以在換之前你要先去機(jī)房調(diào)研清楚，原先Cisco6509的位置能不能放進(jìn)S12708，有沒有足夠的空間。

　　第二，測試。新設(shè)備來了之后能不能正常啟動。一般情況下，設(shè)備都是通過物流運(yùn)輸?shù)浆F(xiàn)場的。萬一在運(yùn)輸過程中造成了損壞，萬一板卡壞了，萬一抬到機(jī)架上后發(fā)現(xiàn)不能啟動，就會造成很大麻煩。所以一定要測試設(shè)備能否正常啟動，設(shè)備軟件是否功能正常。

　　第三，采集。這個采集主要是針對更換之前的設(shè)備。一方面你要把之前設(shè)備上面的show run采集出來，在這個例子中就是在換設(shè)備前把配置寫下來，按照原來Cisco6509的配置來配，當(dāng)然還要進(jìn)行配置的翻譯，就是說要把思科的命令翻譯成華為S12708的命令，這就是采集出來進(jìn)行配置翻譯的過程。另一方面還要采集一下原先的路由信息，也就是show ip route，把路由表給抓取下來，用作設(shè)備更換前后的對比。此外，老設(shè)備的運(yùn)行狀況，比如CPU、內(nèi)存利用率、板卡工作是否正常這些信息都需要采集。因此在割接之前一定要把設(shè)備巡檢一遍，以防你把老設(shè)備關(guān)機(jī)后發(fā)現(xiàn)網(wǎng)絡(luò)要回退，結(jié)果回退后設(shè)備起不來了。準(zhǔn)備工作做得越仔細(xì)，后續(xù)就用得越輕松。

　　Tip：采集結(jié)束，割接之前還要進(jìn)行測試。這包括：新設(shè)備硬件功能測試，新設(shè)備軟件功能升級，思科和華為對同一種設(shè)備的協(xié)議解釋差異。有條件的話可以做一次模擬實(shí)驗(yàn)。

　　最后需要細(xì)致考慮的是，一定要注意配置順序。永遠(yuǎn)記住網(wǎng)絡(luò)在交付之前不要鎖設(shè)備，就是說阻礙你通信或者說阻礙你登錄到設(shè)備這些東西，一定要最后再配置。與接口認(rèn)證、AAA、登錄源地址限制等操作，一定要等到網(wǎng)絡(luò)業(yè)務(wù)正常后再配置。還有一點(diǎn)，如果說有防火墻在里邊割接的話，防火墻先全部放通策略，一定要保證網(wǎng)絡(luò)在暢通無阻的情況下測試通信之后再去增加防火墻的策略。

　　四. 靈活的應(yīng)變頭腦

　　如何去做到靈活？這與網(wǎng)工的心理素質(zhì)有一定關(guān)系。首先看一個例子。

　　某客戶的思科ASA防火墻配置了A/S模式的Failover，有一天客戶說防火墻的Failover突然裂開了而導(dǎo)致斷網(wǎng)，經(jīng)檢查，是因?yàn)閮膳_Cisco ASA的軟件版本不一致導(dǎo)致的Failover裂開。

　　面對這一問題，首先你要做的不是去分析什么原因?qū)е翪isco ASA的軟件版本不一致，因?yàn)榫W(wǎng)絡(luò)斷了，當(dāng)務(wù)之急是搶通網(wǎng)絡(luò)。任何情況，都是先考慮解決斷網(wǎng)問題，再進(jìn)行后續(xù)優(yōu)化。很多時候處理網(wǎng)絡(luò)故障都可以“就地取材”。在這個例子中，冷靜分析如何靈活處理呢？首先，斷開版本較低的那臺Cisco ASA上的所有連接，解決IP沖突的情況，把網(wǎng)絡(luò)搶通。然后，把高版本的IOS拷到你的電腦上，然后再灌入到低版本的設(shè)備中，問題就解決了。

　　要保持靈活的頭腦，就必須養(yǎng)成良好的工作習(xí)慣和良好的心理素質(zhì)。收集好正版的 IOS (.bin)、VRP (.CC)、Comware（.ipe）文件，隨時帶在U盤內(nèi)便于使用；設(shè)備的操作系統(tǒng)

　　要經(jīng)常備份或提示客戶備份；收集各種型號設(shè)備的配置命令，針對通用配置和模板化的配置最好是抓出來，形成自己的配置思路；任何情況下都要保持冷靜；重啟設(shè)備或斷電時要得到客戶負(fù)責(zé)人的提示。

　　更多精彩內(nèi)容請關(guān)注51CTO《大咖來了》欄目http://aix.51cto.com/activity/index.html

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】