[BOOTCAMP实战] 某电信实业集团项目感想

实业, 实战, BOOTCAMP, 感想, 电信

某电信实业集团项目感想~~~~`
5月17号下午一点半左右,我和星星一起去某电信实业集团(以下称集团)踩点~~~一到集团星星就问了有关拓扑的一些信息(当时我脑袋还是很蒙~~~~可能是太兴奋了~~~~),星星和对方网管进行了一些技术上的交流~~~% O2 Q" x4 _! s  _
* {* L; N$ R) V. D% C
  我们主要是在VPN隧道建立的问题上有些问题~~~福建与集团进行vpn连接，福建使用asa5520，集团使用pix535防火墙进行des 的vpn隧道连接。VPN隧道两端地址是福建为10.214.0.0/16，集团为10.192.0.0/16,10.3.38.128/26,10.3.47.0/24,10.3.49.0/26,192.168.10.0/24共5个ip网段。由于集团的ip网段较多，定义了一个地址对象组object-group chinaccs，在组里设定ip地址段。. r& `* n3 p: \8 r

福建与集团ike协商成功后，由集团进行触发ipsec隧道，建立了10.192.0.0/16和192.168.10.0/24两个网段的ipsec隧道，其余三个网段的ipsec隧道无法建立，导致这三个网段无法访问福建实业的服务器。但如果是由福建触发ipsec隧道，则能全部建立隧道，此时集团也能ping及访问福建的服务器资源。

~~~~星哥当时就对这个网络进行了模拟~~大概过了30分钟吧~~~星哥就模拟完成了,一切都很顺利~~~我们还发现了一个“瞬断”的问题,瞬断就是指上网上得好好的忽然就断开连接,VPN的隧道也会断开连接，集团使用的是2800系列的路由器作为VPN LAN-TO-LAN的另一端，经过测试，瞬断后2800不会马上拆除隧道，就是说，28后面的用户如果想通过VPN再访问实业的服务器，其实数据跑的的是空隧道，无法建立连接，当时实业工程师所采用的办法就是在实业的主机房，将隧道强制拆除，重新激活隧道。后经过调试可以在28上面控制，如果线路出现瞬断或者其他方面导致的线路不通，28可以自动检测周期性地发送Keepalive信息，这样以保证即使隧道断开，在28上面也会将隧道拆除，再由内部主机发送数据包重新激活，避免由工程师手工操作。~~~当时测试的时候,星哥还发现了一个新的命令: crypto isakmp Keepalive <time>  ~~~并且给对方的工程师进行了讲解~~当时我心里只有佩服的份了,一个字:强,两个字:很强,三个字:非常强~~~~
   最后星哥进行了外网无法通过ASA5520访问到内部的Mail、FTP等服务器的模拟~~~结果大家也都猜到了,绝对很成功~~~星哥不愧是SPOTO强星~~~~
期间星哥叫我配置CISCOASA5550上的NAT和端口映射~~~我当时脑袋再次一蒙,不知道从何入手~~~导致配错了好几个地方~~那时候觉得真给星个丢面子啊~~~真是觉得没脸见人啊!!

~~~慢慢的在星哥的指导下,写完了~~~~* f* Y' p% c, B: Z: R
这次有机会去见见世面,突然发现自己其实还有很多不懂得~~~平常在实验室能够写出的配置,结果在那种场面就不敌了~~~~这也就衬托出星哥实战经验非常丰富~~我时常在想什么时候才能达到星个那样的水平啊!!!!!虽然这次去我没多大表现,但是我还是学到了很多东西~~~~~1 L* M! t/ g' [: y- x5 q% m( `

这里要和所有BC的学员说大家有机会一定要多出去去看看,外面和实验室很不一样的哦~~~~最好的办法就是~~~嘿嘿~~

~~天天缠着星哥,绝对不能让他轻松咯~~死都要让他答应的那种~~~那就要看大家的运气咯~~~~~2 A* l" s, O6 a2 ]1 B; r% ^
6 Z) o# |' t# v* f3 V

最后在告戒大家:实力决定一切哦~~~~~
|* o4 T( u/ ]5 n
[ 本帖最后由 kinron 于 2008-3-25 10:22 编辑 ]