**

工作篇-佛山三水恒大-2020.11.14

**TAG:此篇文章估計(jì)會很長,因?yàn)楣ぷ鞯臅r候變數(shù)太多了,預(yù)計(jì)五千字左右,想看的可以耐心看完,均為個人實(shí)戰(zhàn)經(jīng)驗(yàn).===害,其實(shí)是上學(xué)期間請假去做的,還挨批了.

**到了現(xiàn)場tm的那個機(jī)房,小到我哭,站都沒地方站,剛裝修好全tm都是白灰,我穿的一身黑衣服,一蹭到一點(diǎn)點(diǎn)跟個白粉人那樣,有條件的自己帶一個折疊的小凳子去現(xiàn)場**

不要看的工資320很nice的樣子,其實(shí)說多不多說少不少,應(yīng)該算少吧,因?yàn)?成本高

給你們算算吧,在佛山的應(yīng)該知道,我在禪城-三水,直達(dá)車10塊來回-20
中午吃飯-15=35
晚上吃飯-15=50
加上點(diǎn)雜碎的,要喝水吧?買點(diǎn)東西吃很正常吧.-10=60
算上這些到手320-60=260

恒大集團(tuán)啊這個公司,真的是財(cái)大氣粗,至于為什么,往下看你們就都懂的了.這財(cái) 力叫一個羨慕,對比工資確實(shí)有點(diǎn)點(diǎn)可憐的,讓你們知道什么是錢多沒地方花.40多人的地方用8個SW+1個FW+1AC+11個AP+33個監(jiān)控+30個電話+2個公網(wǎng)IP,還不跑BGP.機(jī)房面積比廁所還小.

網(wǎng)絡(luò)設(shè)備以及拓?fù)鋱D

二層交換機(jī):銳捷RG-S1920-24GT4SFP/2GT=6
三層交換機(jī):銳捷RG-S2910-24GT4-XS-E=1
三層交換機(jī):華為S5720-28P-PWR-LI-AC=1(POE供電)
無線AC控制器:華為AC6058=1
防火墻:華為USG6307E=1
兩個公網(wǎng)地址
1.183.239.xx.xx
2.183.238.xx.xx
TAG:隨便來攻擊,先不說違不違法,功破了華為的墻那你絕對是大神,對了還有白名單哈,估計(jì)華為都請你過去,違不違法的,再說叭~
拓?fù)鋱D如下
TAG:別問我為什么不用二層接入一個三層匯聚一個三層核心USG雙出口,我也想,到后面你們就知道為什么了,這里是一個大坑,先記著這個點(diǎn),后面會講.至于詳細(xì)端口和其他的信息就不放出來了,屬于商業(yè)機(jī)密就不透露了.不是不用ENSP,是我這臺電腦沒有,加上PT方便,就用PT弄拓?fù)鋱D了,很高級正式的公司都用Auto-CAD.

現(xiàn)場客戶需求

40+臺電腦正常上網(wǎng)
全部區(qū)域覆蓋wifi
能訪問總公司的數(shù)據(jù)庫
33個監(jiān)控保安要能看到
監(jiān)控的硬盤數(shù)據(jù)庫
視屏解碼器配置

如拓?fù)鋱D所示,因?yàn)槿繖C(jī)器都是新發(fā)貨過來都沒上架的,電都沒通網(wǎng)線都沒插進(jìn)去,所以我的選擇是在一個舒服的地方坐著配置,配完再插進(jìn)去,先做外圍的出口就是配置FW,配置這玩意,放在沙發(fā)上熱的要死.散熱很不咋地.

首先呢兩個公網(wǎng)IP,一開始我以為是要做BGP的,不過后來沒有,只是說雙出口,那第一步就先配IP+NAT+路由啦
第一步先把LLDP開起來,LLDP是啥呢,相當(dāng)于思科的CDP 直接搜就行了
第二步弄個VLAN做下面的接入.和把DHCP做起來

第三步.就把策略和接口加入安全域弄好,寫個默認(rèn)路由和回去的路由然后其實(shí)就下聯(lián)的已經(jīng)可以正常上網(wǎng)了.
第四步搞個賬號密碼(不發(fā)粗來了),和端口映射.
nat server https protocol tcp global 183.238.xx.xx xxxx inside 內(nèi)網(wǎng)IP xxxx no-reverse
第五步 既然都開了web了,怎么可能不開CIL呢,現(xiàn)在主流都是ssh,那直接做一個端口映射也就可以了,因?yàn)橐苿影?0 8443 21 22 反正很多都被封了,端口映射一個自己的就可以了,一般都是這樣干的.

中間以及下聯(lián)部分

TAG:FW基本上就這么多配置了.上午十二點(diǎn)多就搞完了,然后因?yàn)槲乙ネ饷媾渎?機(jī)房沒地方站和坐,所以我弄了一條五十多米的網(wǎng)線出來外面舒服的坐著配置.現(xiàn)在FW搞完了,就到POE那臺華為的SW了.
TAG:因?yàn)槭亲龊盟薪尤牖氐郊以賹戇@篇文章的,所以使用telnet管理下面的華為交換機(jī),可以回去上面看拓?fù)鋱D是怎么樣的.因?yàn)樗麄冇蠥P的存在,但是沒有單獨(dú)的POE供電,所以必須所有AP(11個)都插到這臺SW上,而且還需要連接USG+下面的二層交換機(jī)和連接AC,還有些其他的東西,所以這臺機(jī)都沒剩下多少端口.

步驟也是差不多
第一步,配置IP先,和創(chuàng)用戶賬號密碼和打開遠(yuǎn)程接入.
第二步,做DHCP中繼和DHCP Snopping (防止有人私接),本來想搞端口安全和MAC綁定的,后來沒時間了,趕著回家,不然車都沒了.
第三步,為管理AP和AP客戶端單獨(dú)創(chuàng)造VLAN,并把AP所屬端口做成Acess然后劃入VLAN,連接AC的端口做trunk.如圖所示如下.
第四步 寫個默認(rèn)路由給USG,然后把AP接口加入AP組.
然后到了這其實(shí)都配置完了可以,二層都不用配置當(dāng)傻瓜用插進(jìn)去都能自動獲取地址上網(wǎng)了,但是出于方便和專業(yè)考慮,在每臺接入交換機(jī)上做了點(diǎn)配置,有啥呢?
1.配IP 和VLAN并且上聯(lián)接口做個dhcp snooping
2.寫一條默認(rèn)路由指向華為的POE交換機(jī)
3.創(chuàng)造用戶和配enable密碼并打開telent
一共有六臺二層交換機(jī)我就不寫配置了,配置都一樣,刷進(jìn)去就行了,換個IP.

重頭戲無線AC控制器

為什么說這貨是重頭戲呢
我配置了他三個小時,最終還是沒搞好,問題是什么呢,我給你一一道來.
一開始呢,我還以為看錯了,因?yàn)楦鶩W長得一樣,然后呢,他這個供電線是有點(diǎn)問題的,兩次做好配置他就松了,結(jié)果我沒保存…這可是真機(jī)…知道那感受了吧…

然后呢,配置什么都做對了,也嘗試過了,能ping通AP,就是無法管理.

搞了好久都搞不定,因?yàn)樯弦淮问且驗(yàn)槟Ｊ降膯栴},FAT和FIT,也檢查過了沒問題,看過上一篇的朋友就知道上次是模式的問題,這次又是什么問題呢.讓我告訴你!
TNND TMD
是授權(quán)
是授權(quán)
是授權(quán)
是授權(quán)
是授權(quán)
是授權(quán)
是授權(quán)
是授權(quán)
是授權(quán)



我靠當(dāng)我知道的時候我都快要GG了,本來三點(diǎn)多可以走的,搞到六點(diǎn)多才知道.真的被氣死,然后后來我才知道思科也是這樣,華為跟思科學(xué)的,來自一位IE告訴我的.
FAT:也就是胖AP,是不需要無線控制器(AC)的
FIT:瘦AP,是需要無線控制器(AC)的
Bang.Bnag,Bang.
重頭戲來了
前面有提到,為什么沒有分接入層匯聚層核心層.
現(xiàn)在我來說說原因,一開始去到機(jī)房的時候,全都上架了,我看了一遍,交換機(jī)六臺銳捷+一臺華為,一個華為的USG防火墻,我還特意問了現(xiàn)場做網(wǎng)絡(luò)布線的那個人.是不是都是三層,問了幾次都說是.ok我相信你,信別人沒好結(jié)果.
因?yàn)樵谧龊梅阑饓腿A為的三層交換機(jī)的時候,下面的(三層交換機(jī))插進(jìn)去網(wǎng)線已經(jīng)是可以正常拿到IP上網(wǎng)了,并且沒有配置任何東西.
等查完AC的問題沒授權(quán)之后,打算給接入的設(shè)備配個管理IP,方便遠(yuǎn)程接入的時候管理,結(jié)果.我插進(jìn)去console的時候show ip route 他給我報(bào)錯.
請問意味著什么? 我tm沒打錯 還確定了幾次…
這他媽是臺二層交換機(jī).
這他媽是臺二層交換機(jī).
這他媽是臺二層交換機(jī).
這他媽是臺二層交換機(jī).
這他媽是臺二層交換機(jī).
當(dāng)場我就炸了,雖然不影響正常使用,但是大哥啊,搞了一天了最后我才知道這玩意是個二層,那萬一不是這樣設(shè)計(jì)的,那我豈不是要全部重做???
平復(fù)了一下后我才開始慢慢把dhcp snooping 路由 telnet什么的慢慢加進(jìn)去.
TAG:強(qiáng)烈提醒,去到機(jī)房的時候,最好一臺一臺機(jī)器的插進(jìn)去console看一遍,檢測什么的但凡有點(diǎn)技術(shù)的都知道怎么看,不用教也會,沒有路由表還有問嗎,鐵定二層了.
你就記著,現(xiàn)場除了你都是憨憨,你就是個IE級別的去給他服務(wù),你說是什么就是什么,別讓那些懂一點(diǎn)點(diǎn)的人把你坑了,這是大坑
最后寫完服務(wù)單還要跟智能化+監(jiān)控的人對接.(其實(shí)我已經(jīng)一點(diǎn)都不想理他了,但是出于禮貌還是…)
無線的問題,因?yàn)槲沂巧裰輸?shù)碼(真機(jī))+思科(EVE)出身,神州數(shù)碼的AC和AP是不需要授權(quán)的,所以這點(diǎn)我沒有想到但是學(xué)到了…
一次模式
一次授權(quán)
下次是什么我就不知道了mmp

總結(jié):1.做無線的時候,先查看版本是否兼容和AC,AP是否授權(quán),無論任何品牌都進(jìn)去console看看,有些新設(shè)備是有可能會console口壞了進(jìn)不去的,到時候說你弄壞的你就等著背鍋吧,做技術(shù)的最容易背鍋,他叫我?guī)退惚O(jiān)控我鳥都不鳥他.
2.不要輕易相信別人說的話,你自己看到的才是真實(shí)的.
3.有條件的盡量帶一個可以折疊的小凳子,不然就在機(jī)房蹲著或者站著做配置吧.
4.去之前最好問清楚拓?fù)鋱D和公網(wǎng)IP之類的信息,等到了現(xiàn)場再弄就很煩了.,
5.有條件的可以多帶一條console線,還有進(jìn)入設(shè)備的時候波特率要自己靈活點(diǎn),一般都是9600或者115200,但是很多品牌不一樣.
6.安全起見所有遠(yuǎn)程接入不要使用默認(rèn)端口,雖然說一般都會封殺掉,讓安全更上一層樓就做白名單,網(wǎng)絡(luò)設(shè)備上系統(tǒng)加固MD5加密密碼.
7.每個項(xiàng)目的難點(diǎn),奇葩點(diǎn),最好自己存一份配置和文檔記錄,但是注意不要泄露,因?yàn)檫@些是可以屬于商業(yè)機(jī)密的,如果因?yàn)槟阈孤抖鴮?dǎo)致?lián)p失是可以追究你的責(zé)任的.

好的本次到這里就結(jié)束了，歡迎觀看我的文章。我是CCIE-Yasuo，喜歡就關(guān)注我吧，下一期見。
歡迎新盟教育的同學(xué)一起來交流，我是41期的疾風(fēng)劍豪
同時我也是一名17歲來自中專的學(xué)生在學(xué)校寫的，如有寫的不對或侵權(quán)請及時聯(lián)系刪除。

總結(jié)

以上是生活随笔為你收集整理的工作篇-佛山三水恒大-2020.11.13的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。