我的Cisco工作体会

文章出处:linux宝库,设计前沿收集 作者:未知 发布时间:2006-09-21
  我的技术水平不够高,没法深入浅出地讲解技术。但一些工作学习方法,可能对朋友有帮助。
  
  人说上大学,是学习“学习的方法”,那从事网络工作(特别是Cisco),就是要磨练“找信息的方法”。
  
  举一个自己的例子。前一段时遇到一个新课题,“让Multicast穿越VPN”,以实现VoIP电话的“hold", "conference"等功能。这里面,Multicast和VPN以及VoIP对我都是新课题,虽然知道Multicast和VPN都是怎么回事,但他们有什么特点,分别如何配置,怎么合到一起,怎么最后让我们的VoIP系统工作,就完全不知该怎么做,而对那套VoIP系统(非Cisco)更一无所知。那好,有挑战才有意思,让我们开始。
  
  首先,我们进入网络世界,第一个学到的是网络7层。为什么要分层,就是为了简化模型。对一个复杂课题也一样,首先先进行模块分割。分别进行Multicast, VPN的单独实验,成功后再合并。
  
  二。Multicast。
  大家看过504的书,都知道什么是Multicast,为什么用它。但如何配置我是忘了(没做过嘛),还有那个PIM是啥来着也想不起来了。没关系,www.cisco.com。找技术栏的Multicast,有详细的解释和例子。
  
  我做一个最简单的实验,用一台路由器连接VoIP Server和Phone,按例子上说的enable multicast-routing, 并在端口配上ip pim dense-mode。咦?为什么不工作?例子不就是怎么写的嘛!郁闷。
  
  郁闷不是办法,Cisco例子后面有debug的命令,于是做debug ip pim,观察输出结果。结果显示,router看到并转发了Phone的multicast请求,但没有Server端的回应。于是我对Telephone Guy说,这是这台VoIP Server的问题,它根本不发Multicast包。果然,Telephone Guy检查,是软件版本不够,另外没有license。(没有足够的证据,可不敢指责一个我根本不懂的东西的)。
  
  好。但路由Multicast做通了,命令也会了,书上的东西也想起来点了,对于多路由情况是一样的,只要每个端口都做了ip pim,Multicast就能被转发。用两台路由做验证,通过。Multicast单独实验完成。
  
  三。VPN。
  VPN是个难点,涉及的基础理论和操作比较多。我虽然从没做过Cisco VPN的实验,但我有CheckPoint的理论和实践,所以对Cisco的VPN可以说触类旁通,不是很陌生。
  
  一样道理,到Cisco网页,技术栏的IPSec。这里有无数的例子,挑一个双路由构建IPSec VPN的例子,确认能为我用,就照着例子拍命令,对照着学各命令的功能,参数的设置,并读一些相关的文章,理解命令和调试方法。大概用了两天的世界,基本掌握了配置方法,可以按自己喜欢的参数配置了,就用第三个路由器模拟Internet,连接两路由器,确认远端的LAN可以互通,单独VPN实验做完。
  
  提一句,VPN确实比较难,需要花较多时间看书,明白基本理论,对操作很有意义。
  
  四。合成实验。
  
  满怀信心把VoIP Server和Phone分别放在VPN的两边,应该工作了吧?不!答案是明确的不。极度郁闷。查资料,在Cisco.com上搜索Multicast IPSec,一篇文章明确指出,IPSec不支持Multicast和Broadcast! “... ...IPSec does not natively support multicast traffic...."
  晕倒!”
  
  苏醒过后,自己分析,确实,IPSec不会支持Multicast的,因为VPN激活的条件,是从本地LAN IP到远端LAN IP,router看到这样的数据包,就加密并传送到对方路由。而Multicast是使用D类地址,当然不属于激活范围。
  
  那该怎么办?!
  
  继续搜索呀,Multicast和IPSec,可以找到"...but not for multicast traffic. Multicast IPSec traffic requires a GRE tunnel..." 好,有希望,看看GRE是啥,技术栏,IPSec,有几个GRE的例子,一读,哈,就是我要的!
  
  五。GRE。
  
  相比IPSec,GRE太简单了。基本概念是IP over IP,具体方法是创建tunnel interface,命令是在tunnel interface上跑ip pim sparse-dense-mode,很重要的一点是运行OSPF或EIGRP。(这里留个作业,请问为什么要跑EIGRP?)
  
  命令一拍,立刻就好!欢呼声震动天地。呵呵,因为我一个多星期埋头实验室,茶饭不思的努力没有白费,三个我不熟悉的课题被攻克!
  
  六。后续。
  
  别高兴的太早,我告诫自己,还有很多工作要做。
  
  熟悉命令,反复测试,理解原理,建立文档,为客户做实施规划,远程实施,测试,文档。向技术老板汇报要点,向公司销售解释技术概要。该成果解决了急等着的客户的需要,并确实能转化为生产力,为销售扫除一大障碍。这就是我加盟公司2个多星期所做的事情。
  
  七。小结。
  
  大家一直在讨论paper,如何去掉paper。我觉得paper是相对的。我玩网络6年,部份知识依旧是paper,比如上面提到的Multicast和IPSec VPN。但我又绝不是paper,因为我知道如何找资料,设计实验,解决问题,并把知识融入我的经验库里,还能做培训。
  
  我的技术水平离CCIE至少有两三年的差距,而且短时间内,没有机会专心攻CCIE考试。但没关系,我试着用CCIE的标准要求自己,培养在有限时间内,独立发现/解决问题的能力。照这样下去,两三年后,或许考试相对轻松,或许就根本不需要那证书来证明自己了。大家觉得呢?