首页 > 代码库 > 网络工程师成长经验漫谈(上)
网络工程师成长经验漫谈(上)
一、网络工程师职业
说起网络职业,职业名称繁多,现在许多职业新人真摸不清头脑,分不清方向,也经常在读者QQ群中见到有朋友问职业选择方面的问题。其实最初通常是把从事网络职业的人员分成两大类:初级的称之为网络管理员,中/高级的称为网络工程师,因为那时计算机网络在国内还刚刚兴起。后来随着计算机网络技术和应用的发展,网络工程师职业又进行了细分,如网络工程师、网络安全工程师,网络存储工程师,网络规划/设计工程师等。
前些年又多出个新名词叫“运维”,把所有从事网络或网络服务器运行维护的工作人员统称之为IT运维工程师。其中负责服务器运行维护的称之为服务器运维工程师,负责网络运行维护的称之为网络运维工程师,(简称网络工程师)。在此我仅针对网络工程师这个职业来谈谈有关职业成长方面的经验。
学过计算机网络体系架构的朋友都知道,计算机网络最基本的层次划分就是分为“通信子网”和“资源子网”,而上面所提到的服务器运维工程师负责的就是“资源子网”部分的运行维护(当然不包括用户主机),而网络运维工程师负责的就是“通信子网”的运行维护。
计算机网络的最基本作用就是使位于不同位置,甚至不同计算机网络的计算机或设备之间能够实现资源共享,或者进行其它方面的网络通信应用。而其中的关键是就是通过“通信子网”把位于不同计算机网络中的主机或设备进行逻辑的网络连接。我们网络工程师就是负责通信子网中各种网络设备(如交换机、路由器、防火墙等)的配置与管理,在网络中各部分设备间建立起网络连接,以确保通过通信子网的各种网络应用通信的畅通和高效。由此可见,我们网络工程师所维护的网络基础架构是一切IT应用、管理和发展之根。如果网络都不通,各种网络应用也就无从谈起,只能进行独立的主机应用了。就像现实生活中所见的各种交通道路设施一样,路都不通,再多再好的物资也运不出去,销售不了,还谈什么发展经济。这也可用一句俗语来比喻,那就是“皮之不存,毛之焉附?”。
二、网络运维之道
说到网络运维,许多人把它看得很容易,总在一些QQ群中看到一些人发表类似于“我们公司的交换机上不用做任何复杂配置一直运行良好,满足了要求”之类的言论。其实那纯粹是因为这些中小企业的计算机网络拓扑结构非常简单,基本上是几台二层交换机+一台用于连接互联网的宽带路由器的。其网络应用也非常简单,对网络设备的配置主要仅体现在简单的基于端口的VLAN划分和宽带路由器的设置。其实从事这种工作的根本称不上网络运维工程师,最多也就是一个初级的网络管理员的工作。
在一些较大型的企业集团,或者ISP网络中,其网络拓扑结构和网络应用往往都比较复杂,这时我们网络工程师要做的工作就多了,难度也大许多了。因为这时企业用户的需求就不再仅是网络连通的问题了,更多的是要实现各种特定的用户应用需求,还要保证网络通信的高效、可靠。就像修路一样,不仅要把复杂的各条路修通,还要保证各种交通工具在这些路上能快速、可靠、高效通行。下面从以下几个方面谈谈网络运维之道。
- 全局设计是关键
从事网络运维,很多情况下是在你进入某公司工作时就会要求你为公司设计一整套网络系统方案。这时其实考验的是你对计算机网络体系架构的理解,因为只有深入地理解了计算机网络通信原理才能设计出一个合理、最优的网络拓扑结构。一个好的网络系统设计方案是以后一切网络运维的基础和前提,否则以后再怎么修修补补都很难达到理想的效果。就像一个国家、一个城市在修路、建桥前都必须由市政规划部分设计一个好的全局交通网一样,规划不好,不仅达不到理想的交通效果,还可能浪费大量的人力、物力和财力。
在网络系统设计上也一定要全局规划,不仅要通盘考虑用户的各方面网络应用需求,还要从计算机网络通信原理上充分考虑,尽可能使各设备之间的通信效率最优、各条通信路径的负载均衡。就像在市政交通网既要尽可能使各区域之间都有快速到达的路径,而且又要尽可能避免有的道路出现大堵塞,有的道路又很空闲的现象。
在通信原理方面,关键是要理解第二层(数据链路层)和第三层(网络层)的通信原理,特别是计算机网络体系结构中各层的报文封装和解封装原理。同一IP网段的设备之间是通过计算机网络体系架构中的第二层进行网络连接的,所以它们中间就不能存在三层配置(包括IP地址配置)或纯三层设备;而不同IP网段的设备之间必须通过第三层进行网络连接,必须要配置路由功能。
在通信效率方面考虑的因素就比较多了,一方面,各设备间通信路径上各段链路的带宽,以及上下游设备性能要与它们所承载或处理的流量负荷匹配,否则会出现流量溢出或网络拥塞现象,造成数据丢失;另一方面,设备间的通信路径尽可能短,这在二层网络中主要体现在拓扑结构设计,以及VLAN配置上:在拓扑结构设计上,相邻设施间能直接通信的尽可能让它们能直接通信,当然这是在不影响整体网络通信效率,不生成二层环路的前提下,在VLAN配置方面要注意一个原则,那就是在设备间的通信路径的所有设备上必须配置有对应VLAN,否则无法实现同一VLAN内用户的间的通信。在三层网络中,主要考虑的是路由路径上,建议尽可能采用OSPF、IS-IS这样的无环路动态路由协议,一则它们可以自动计算各设备间的最优路由路径,再则它们不会形成路由环路。
在通信效率方面还有一个要注意的地方,那就是各种服务器安放的位置。因为服务器是供多用户共享的,所以它们所连接的设备必定要承载较大的流量。正因如此,服务器通常不安放在接入层,至少应安放在汇聚层,因为汇聚层和核心层设备不仅可提供较高带宽的端口,而且设备性能也比较强,可以满足服务器的大吞吐量的需求。
负载均衡方面也是在较大型计算机网络系统设计的一个重要考虑方面,这里面主要涉及到计算机网络的各个层次。在接入层和汇聚层可以采用交换机堆叠这样的技术来缓解单交换机端口和性能的不足,利用以太网链路聚合技术来提高链路带宽,同时提供链路间的备份;在汇聚层和核心层还可以采用交换机集群、接口备份技术来解决单交换机或单链路性能的不足;在网关位置还可采用VRRP、HRSP这样的冗余网关技术来实现多网关备份和负载均衡。在路由方面,可通过各种路由协议的等价路由功能实现路由路径的备份和负载均衡。
- 区分服务是精髓
在较大型的网络中,区分服务的体现可以说是随处可见,而且非常重要,是检验一个网络工程师技能水平的最重要方面。它不仅涉及到用户对设备访问权限方面还涉及到用户对资源的访问控制,以及设备对信息接收和发送方面的控制等等。
在设备访问方面,需要为不同用户配置不同的访问级别,配置不同的认证方式(包括无认证、密码认证和AAA认证等),还可通过ACL过滤不允许访问设备的用户。在H3C的V7平台上还可配置详细的用户规则和资源控制策略,更加精细化地控制用户的访问权限。
在用户分类上我们通常是采用划分VLAN方式进行,同类用户划分到同一VLAN中,而如果既要实现用户类别区分,又要实现业务类别区分,这时就要用到QinQ了,当然这主要应用于集团分支机构,或者ISP网络中。另外还有诸如端口隔离、IP+MAC地址绑定、ARP映射表配置、SuperVLAN、端口安全、802.1X认证、MAC认证、Portal认证等功能都可以实现对应的用户访问权限控制功能。
另外,在用户服务级别上,还可以通过QoS功能进行精确控制,包括用户连接的交换机端口限速、用户可使用的上、下行链路速率,以及通过各种优先级映射,使对应的用户具备相应的服务级别、实现报文过滤、流量监管和流量整形等。QoS策略还可应用于策略路由中。
在区分服务的另一方面就是体现在路由信息过滤和用户数据报文的路由控制上,对应的功能就是路由策略和策略路由。路由策略是用于控制设备对路由信息的发送和控制、路由的引入和路由属性的设置,而策略路由则是控制用户数据报文转发路径的选择。
在较大型网络中,路由信息会非常多,但有时有些网段并不需要求到达网络中各个网段,这时就可以通过路由策略来控制本地设备向某网段邻居设备发送路由信息,或者控制接受来自某邻居网段的路由信息。而策略路由则可以使符合某个特定特征的用户数据报文按照策略指定的路径进行路由、转发,而不是按照路由表项进行转发,这主要应用于路由路径负载分担的应用场景下,如内网中不同IP网段的用户走不同的WAN转发路径。
- 技术融合是本色
许多朋友学了好久,也学了好多,但总不见有多少技能提升,最关键的原因是不能学以致用。而不能学以致用的原因就是没有把所学的知识有机串联起来,最终的结果就是只见树木,不见森林,自然就不能把所学的知识应用到实现的功能实现上。真正的高手,不在于他学了多少,也不在于他做了多少工程项目,而在于他对所学知识的理解和融合应用能力上。套用一句俗语,那就是“融合方显英雄本色”。
在实际的应用部署中,往往不是单一设备功能就可以达到目的的,这时就得充分融合多项设备功能了。如VLAN的配置中,不仅要灵活掌握不同VLAN划分方式的配置方法,还要掌握ACL、三层子接口上的VLAN终结、VLAN接口、QinQ,以及SuperVLAN、MUXVLAN等功能配置及应用方法。
在动态路由方面 ,我们不仅要掌握各种动态路由协议的配置和管理方法,还要掌握不同路由协议的相互引入的方法,以及路由策略和策略路由在这些动态路由中的配置方法。因为在一个较大型网络中,往往会存在多种路由协议,只有这样才能把整个网络的路由做通,并且是最优的通信路径。
另外,有些功能的实现可以通过多种方案来实现,如多VLAN共享服务器的情形,在华为、华三设备上可以通过Hybrid类型端口的灵活应用来实现,还可以通过VLAN映射,以及华为设备MUXVLAN来实现(Cisco和H3C中可通过PrivateVLAN来实现)。再如要防止IP、MAC地址欺骗,或者要实现用户主机与交换机端口的绑定,可以通过IP+MAC+端口绑定方式来实现,也可以通过配置静态ARP映射表项来实现,端口安全功能也可实现类似的效果。
<未完,待续>
【说明】笔者2017年两本新作:《深入理解计算机网络-新版》和《Cisco/H3C交换机配置与管理完全手册》(第三版)已可在京东网、当当网、互动出版网等正式购买啦!购新书可享最低2折购买图书配套视频课程!? ?可加入专门新建的读者QQ群:516844263 下载课程
网络工程师成长经验漫谈(上)