冠城大通现网改造

keybird

2008年5月16号，天气晴朗。。起了个大早，今天要跟头点去马尾冠城大通调试两台ASA防火墙。翔哥给我的任务是去现场看看，感受一下。。所以不是很激动。。7：40出门坐车，8：09到达指定指定地点康特大酒楼，8：10接到头点的电话，一会儿看到了头点那熟悉的身影。。不知道过了多久，来了一辆车接我们去现场，发现一直在我们旁边等车的一人居然是我们今天要合作的工程师，他折腾的是H3C的设备。。。到了目的地后，那经理给我们一张具体需求。。


到了机房，有点乱，可能还没整好吧。。三个机柜，有一个是服务器的，上面架两台IBM System x3550 机架式服务器（这个以前没见过），服务器蛮多的。。另外有一台那个UPS挺巨大的，比他们的办公桌大多了。。。旁边的桌子上堆了很多实达PC机，按那种堆法，让人怀疑还能不能用。。看到拓扑，跟先前了解到的一样，只是2台三层交换机下面挂了7台接入层交换机了罢了。。


需求。。其实网管的需求也不是非常复杂，原来网络分为内网（不能访问Internet）和外网（能访问internet）,现在要把内网按部门划分成6个Vlan（最终因为设备连接问题只分成4个Vlan）以实现精确化管理和缩小故障的影响范围。。有点复杂的是，部分Vlan间要实现单向访问，这个在Cisco的设备上，有自反列表，但在H3C设备上没这个名词，但还是可以实现，只是比较少见而已。。还有就是财务部的那个Vlan要求隔绝，并且将来如果部门主管要求财务服务器能够被其他Vlan访问，能够简单实现，这个听起来有点小复杂，其实也很简单，只要那个Vlan不设网关就行了，以后加个网关就能被访问。。最复杂的就是那个华为的CAMS 综合访问管理服务器了，在交换机上配置跟radius和dot1x认证差不多，真要弄起来锁碎的事太多了，还好不是我们的工作。。。


我们的任务：上面讲的那些大部分都在H3C上实现，我们负责的两台ASA防火墙要求就比较少了，大部分都不用改,据说一个地址映射,把一台H3C S7502 的IP映射到防火墙上,应该是为了方便管理吧，改个电信的DNS，还有一些其他改动暂时还不清楚。。期间根据网管要求还挂了一台小路由器，主要做DNS转发，但是那个路由器功能不够强大，延迟太长了，ping 电信DNS时time>>100ms，就撤掉了。。


一个遗憾，我全程参与,但类似全程旁观。。不过还是学到很多东西。。深刻认识到Bootcamp在实战中是很有用的。。


再说说现场沟通。。加上网管现场有4个人，但只有3个人在交流。。我只在旁边默默地听着，点哥和另一位工程师他们反应太快了，我还没看清需求，他们都想到解决方案了。。简单来说我想到了，他们早就想到了，我没想到的，他们也都想到了。。本来沟通能力就不强，再加上反应慢，就只有在旁边看的份了。。。网管是一个比较容易沟通的人，气氛也比较和谐一点。。。还有那工程师，看起来不会觉得很专业，看他敲命令的样子，跟SPOTO的TS比起来，差太远了。。但看到他电脑里的配置文档备份，有四五十个项目，做售后应该有段历史了，经验丰富啊。。


这个网络主要由2台Cisco ASA5500 系列防火墙，2台H3C S7502三层交换机，和7台H3C Ls-3100接入层交换机外加2个Hub构成，没记错的话应该169+个数据结点和81个语音结点构成，除掉完全没概念的语音部分，那部分完全没概念，整个网络并不复杂。。防火墙部分只用到一些静态路由、NAT、ACL（用得比较多）等技术，并没有用到个人觉得比较抽象的VPN那些较为复杂一点的。。交换机部分也只用到Vlan、Trunk、SVI、静态路由、访问列表、radius、dot1x认证、还有那个CAMS 综合访问管理服务器，整个拓扑完全没有冗余设计，当然也用不到HSRP。除了CAMS这些功能我们在实验室里都实现过，只是思科和华为的区别，原理都学过，只要懂得查资料，实在不行给H3C售后支持打电话，CAMS有全中文配置手册。。也就是说只要Bootcamp过的人，要实现这个网络理论上是有要能的。。。简单来说BC是很有用的。。还得继续努力啊。。我一直觉得，我觉得我们所见到的应该只是冠城整个网络的一部分。。一个上市公司，这次向汶川捐了200万人民币（好样的），网络应该不会这么简单吧。。


最后要感谢SPOTO、感谢翔哥我这个机会，感谢头点，一个低调的牛人。。还要感谢SPOTO所有的伙伴们。。。


[ 本帖最后由 keybird 于 2008-5-26 23:03 编辑 ]

飞同寻常20

沙发啊。。项啊。。呵呵。。

Power

IBM System x3550 也碰到。把BC学习的东西都玩了一偏。可以装B

bookpig

放一串鞭炮

zolo1987

楼主还得向各位前辈多多学习呀
能出去跟项目很开心么~

讨厌猪

呵呵李B既然出现了。这个应该是当时做的双ASA的项目，这个文档是你写的。我发给小点子了。什么时候回来SPOTO看看我啊。挺想你的。

Jeff.

头点什么

今天才看到这贴..忘了上图..罪过..

ASA5520


H3C S7502


H3C S3100


IBM X3550


很酷的LZ..


包漆加工厂厂房..


[ 本帖最后由 头点什么 于 2008-5-27 00:05 编辑 ]

zolo1987

各位前辈都很猛呀