思科網(wǎng)絡(luò )系列考試技巧及經(jīng)驗談

　　1、區分硬故障和軟故障

　　網(wǎng)絡(luò )故障分硬故障和軟故障，有時(shí)是軟硬件相結合的故障，網(wǎng)絡(luò )工程師要能夠根據故障表現敏銳準確地判斷是哪類(lèi)故障。所謂硬故障就是由硬件引起的網(wǎng)絡(luò )故障，比如接觸不良，插口、元件損壞等。硬故障具有立竿見(jiàn)影的效果，如果發(fā)生硬故障其所在的這段網(wǎng)絡(luò )馬上崩潰。我特別提醒大家，所謂軟故障并不僅僅是軟件故障。這種故障時(shí)隱時(shí)現，可以由軟件故障引起，也可以是硬件故障引起，是難度比較高的一類(lèi)故障。這除了需要網(wǎng)絡(luò )維護和管理人員具備一定的軟硬件故障診斷知識外，對診斷經(jīng)驗的積累也有一定的要求。

　　通常情況下，借用適當的網(wǎng)絡(luò )檢測工具可以使我們的工作事半功倍。如何選擇合適的檢測工具對故障監測點(diǎn)進(jìn)行測試是很有講究的。許多故障需要進(jìn)行多點(diǎn)測試才能定位，這時(shí)非常需要的是便攜式的測試工具。網(wǎng)絡(luò )故障的診斷發(fā)展方向是測試工具的網(wǎng)絡(luò )化和故障診斷的網(wǎng)絡(luò )化。一般的網(wǎng)絡(luò )設備和網(wǎng)上設備只支持有限的網(wǎng)管功能，所以監測網(wǎng)絡(luò )性能和快速定位網(wǎng)絡(luò )故障需要一些必要的固定測試工具(如固定探頭、網(wǎng)管系統等)和移動(dòng)測試工具(如網(wǎng)絡(luò )測試儀、流量分析儀等)。對重要的網(wǎng)絡(luò )設備要準備適當的備用設備，至少要留足備用通道。網(wǎng)絡(luò )關(guān)鍵設備不一定要選用最昂貴和功能最齊全的設備，但一定要選用應用比較成熟，可靠性高、用戶(hù)數量大的設備，這樣技術(shù)支持的難度就會(huì )降低。如果將關(guān)鍵網(wǎng)絡(luò )設備的維護工作交給集成商或廠(chǎng)商來(lái)做，那用戶(hù)就得準備將網(wǎng)絡(luò )的命運完全交給集成商或廠(chǎng)商來(lái)控制，而這是非常危險的。因此對人員進(jìn)行適當的培訓并配備合適的、易懂易用的工具是做好網(wǎng)絡(luò )維護工作的必要條件之一。

　　2、掌握故障隔離技巧

　　網(wǎng)絡(luò )故障不可避免，如何才能快速定位并排除故障呢?以我的經(jīng)驗，依據經(jīng)驗并借用第三方工具分析就可以逐漸縮小范圍，直至定位到故障源。在這個(gè)過(guò)程中，需要借助網(wǎng)絡(luò )隔離技術(shù)。這樣不僅可以簡(jiǎn)化網(wǎng)絡(luò )快速定位故障源，同時(shí)也可以減少網(wǎng)絡(luò )故障給整個(gè)網(wǎng)絡(luò )帶來(lái)的損失。

　　其中，用交換機來(lái)隔離網(wǎng)段和網(wǎng)絡(luò )故障有較好的作用。主服務(wù)器、網(wǎng)管機等重要網(wǎng)絡(luò )設備應以獨享交換機端口為佳，不宜再用共享式集線(xiàn)器連接上其它設備，這樣可以迅速孤立出故障設備，減少因網(wǎng)絡(luò )停運造成的損失。如果恰好遇到交換器故障，那么根據網(wǎng)絡(luò )拓撲結構圖就可以迅速定位交換機的問(wèn)題，提高維護工作的時(shí)效性。另外，Mac地址是文檔備案的最重要內容之一，除了用于排除網(wǎng)絡(luò )設備故障有極大方便外，對于迅速查找我們稱(chēng)之為“惡意用戶(hù)”的非合法上網(wǎng)成員也有很大幫助。

　　3、網(wǎng)絡(luò )診斷中的社會(huì )工程學(xué)

　　社會(huì )工程學(xué)通俗地說(shuō)就是使人們順從你的意愿、滿(mǎn)足你的欲望的一門(mén)藝術(shù)與學(xué)問(wèn)，在黑客技術(shù)中比較常用。其中不少網(wǎng)絡(luò )故障是有網(wǎng)絡(luò )內部的人員有意或者無(wú)意造成的，一個(gè)對公司不滿(mǎn)的員工就可以在一定程度上損壞企業(yè)的網(wǎng)絡(luò )，至少會(huì )讓網(wǎng)絡(luò )工程師忙得團團轉。有的時(shí)候，進(jìn)行網(wǎng)絡(luò )故障的診斷，了解這方面的信息是非常有用的，很多時(shí)候會(huì )讓我們的工作柳暗花明。

　　說(shuō)一個(gè)簡(jiǎn)單的例子，某公司的網(wǎng)管辭職后，不到一天就出現了網(wǎng)絡(luò )故障。具體癥狀為：公司外網(wǎng)基本上兩小時(shí)自動(dòng)掉一次線(xiàn)，然后過(guò)一分鐘又自動(dòng)連接上。這期間雖然耽誤時(shí)間只有一分鐘，但由于公司很多廣告設計都是多人在線(xiàn)協(xié)作完成。另外，公司的視頻點(diǎn)播系統對網(wǎng)絡(luò )的連通性要求很高。因此，這一分鐘的掉線(xiàn)對公司的影響還是比較大的。在網(wǎng)絡(luò )故障的排查過(guò)程中，排除了硬件連接和病毒等因素，就是找不到原因，網(wǎng)絡(luò )排故陷入困境。最后維護人員了解到，前網(wǎng)管因不滿(mǎn)公司待遇憤然辭職的事實(shí)后，事情才柳暗花明，原來(lái)是前管理員離職前為泄憤修改了路由器的撥號設置才造成了如此蹊蹺的網(wǎng)絡(luò )故障。由上面的這個(gè)案例可以看到，社會(huì )工程學(xué)在網(wǎng)絡(luò )排故中的作用。這個(gè)例子非常簡(jiǎn)單，大家在實(shí)戰中可能遇到更復雜的情況，不管怎樣掌握一定的社會(huì )工程學(xué)知識是必要的，它可是“技術(shù)之外的技術(shù)”。

　　基于長(cháng)期的網(wǎng)絡(luò )支持的經(jīng)驗和相關(guān)的案例，我發(fā)現網(wǎng)絡(luò )管理的漏洞大多數來(lái)自于內部管理人員，因此建立嚴格的內部管理機制是非常必要的。比如將MAC地址的備份列入必備文檔。另外，每日對網(wǎng)絡(luò )進(jìn)行狀態(tài)自動(dòng)搜尋會(huì )有助于很快發(fā)現并清除非法用戶(hù)。健康的網(wǎng)絡(luò )維護方案中必須要有定期測試(包括每日測試和每日循環(huán)測試)的項目，只要堅持每日必要的測試和檢查，就可以保證99.9%的網(wǎng)絡(luò )不會(huì )有超過(guò)2天而解決不了的嚴重網(wǎng)絡(luò )問(wèn)題的存在。

　　4、工程師的秘密武器

　　工欲善其事，必先利其器。因為，通常情況下，網(wǎng)絡(luò )管理系統只能發(fā)現約30%～40%的網(wǎng)絡(luò )故障(這還取決于被管理設備支持網(wǎng)管的能力和分析、記錄網(wǎng)絡(luò )異常流量的能力)，當有故障報警后，多數情況下需要進(jìn)一步迅速確定具體的故障位置和故障屬性。所以，為大型網(wǎng)絡(luò )的管理者配置一些備用網(wǎng)絡(luò )設備是必要的。并且還需要按網(wǎng)絡(luò )規模和使用級別、維護人員的技術(shù)等級配備相應的維護工具，并建立一整套測試維護的方案和規定，這樣才能保證網(wǎng)絡(luò )的可靠性，并保證能及時(shí)處理各種網(wǎng)絡(luò )故障。

　　另外，人們往往有這樣的錯覺(jué)：只要具備網(wǎng)管功能，就能發(fā)現網(wǎng)絡(luò )的一切故障。其實(shí)，進(jìn)一步的性能測試需要專(zhuān)用工具，要求這類(lèi)工具不光能識別各種正常的工作協(xié)議，還要能識別形形色色的“網(wǎng)上垃圾”。網(wǎng)絡(luò )工程師除了配備相應的LAN測試工具外，由于WAN鏈路的測試維護由WAN鏈路運營(yíng)商(比如電信公司)負責，但網(wǎng)絡(luò )用戶(hù)和系統集成商也需要配備一定數量的WAN測試工具以備性能評測、故障救急以及定期測試的需要。

　　5、黑客技術(shù)是高級工程師應備的技能

　　網(wǎng)絡(luò )工程師掌握黑客技術(shù)并不是為了攻擊，考試,大提示而是為了防御——知己知彼積極主動(dòng)有效地防御。我的理解，工程師不僅僅是網(wǎng)絡(luò )的維護者(維護網(wǎng)絡(luò )正常運行)，而且還應該是網(wǎng)絡(luò )的保護者。不說(shuō)WAN，就LAN也面臨者來(lái)自外部和內部的攻擊，可以說(shuō)在夾縫中求生存。攻擊者攻擊一個(gè)企業(yè)的網(wǎng)絡(luò )，其最終目標的取得企業(yè)服務(wù)器、核心網(wǎng)絡(luò )設備(路由器/交換機)的控制權。從而進(jìn)一步控制整個(gè)網(wǎng)絡(luò )或者獲取重要數據。作為網(wǎng)絡(luò )工程師，應該特別對這些核心設備重點(diǎn)保護，那就需要有一定的黑客(安全)技術(shù)了。

　　一名高級工程師必須掌握以下安全技能：

　　(1).入侵檢測技術(shù)。對于安全要求比較的企業(yè)網(wǎng)絡(luò )一般都部署了IDS(入侵檢測系統)，它能夠監控并幫助檢測網(wǎng)絡(luò )系統是否發(fā)生了攻擊行為，它擴展了管理員的安全管理能力。但是，設備部署萬(wàn)能的(往往被突破)，工程師自身掌握一定的入侵檢測技術(shù)這樣互相配合才能把安全做得更好。

　　(2).入侵測試技術(shù)。網(wǎng)絡(luò )部署完成后，或者添加了新的服務(wù)器、網(wǎng)絡(luò )設備后工程師最好自己進(jìn)行入侵測試，看看是否足夠安全。當然，工程師的入侵測試技術(shù)越高，網(wǎng)絡(luò )安全就更有保障。

　　(3).入侵跟蹤技術(shù)。如果網(wǎng)絡(luò )屢遭攻擊入侵，工程師除了能夠分析找到安全漏洞進(jìn)行修復外，還要能夠進(jìn)行入侵跟蹤。入侵跟蹤除了進(jìn)行入侵習慣的分析，最終目標是定位入侵者。不管是內網(wǎng)還是外網(wǎng)的入侵者，如果領(lǐng)教了該網(wǎng)絡(luò )后面的工程師的厲害后，也許它就會(huì )就此停止對該網(wǎng)絡(luò )的入侵。入侵跟蹤不僅是網(wǎng)絡(luò )保護，更是對入侵者的震懾。

【思科網(wǎng)絡(luò )系列考試技巧及經(jīng)驗談】相關(guān)文章：

思科CCNA考試實(shí)戰技巧08-26

思科網(wǎng)絡(luò )安全運營(yíng)考試要點(diǎn)09-07

思科網(wǎng)絡(luò )設備互聯(lián)CCNAX考試大綱06-01

思科網(wǎng)絡(luò )工程師認證考試09-03

思科網(wǎng)絡(luò )工程師認證考試方法07-22

實(shí)施思科IOS網(wǎng)絡(luò )安全考試（IINS）09-20

思科認證網(wǎng)絡(luò )工程師考試體系10-10

思科認證網(wǎng)絡(luò )工程師考試費用09-02

思科網(wǎng)絡(luò )工程師認證考試試題06-25

思科認證考試介紹07-17