网络割接实施过程中如何“坑死”你的队友
本文作为承上启下的一篇文章。说的是一个结构很简单的建网案例,但是其中也涉及到改网的实施过程中的一些技术细节问题。很多时候,做网络割接并不是“一个人在战斗”,在网络并没有交付使用的时候,在设备中写入其中一些看似很符合安全规范的操作,其实会坑死你的队友。
本文核心知识点:
· OSPF接口认证
· 交换路由AAA配置
· 接入层交换机上配置802.1x协议
一、给你一次小试牛刀的机会
还记得那个年轻人刘程吗?
之前吴雄飞和紫竹去武汉做了一次Cisco ASA换DPTech-FW1000的支援项目时,就从李鸿伟手里将刘程这个四川小伙子给挖到了成都。当时吴雄飞是看中了刘程这个小伙子在防火墙变更的过程中做事认真,细致,而且长得也很帅,形象很好。紫竹也比较欣赏这个小伙子,更多的也是因为刘程是她小堂妹林紫苑的男朋友。
之前好几次网络改造吴雄飞和紫竹都亲自带着刘程参与,而且刘程的表现确实不错。加上这小伙子对人又有礼貌又贴心,紫苑也不断在姐姐面前疯狂的夸奖刘程。于是嘛,刘程这次真的成了技术总监面前的“小红人”了。
不过呢,年轻人啊,一旦前期的路走得太顺就真的容易飘飘然,刘程有时候也仗着自己受到吴雄飞和紫竹的特别照顾,自己又是武汉大学重点本科毕业,所以时间一长就有点拿鼻孔看人了。特别是对周正东,何书明这俩大专学历的前辈十分看不上。前不久刘程去了一趟重庆,配合何书明晚上的变更工作,结果当天晚上何书明就找了吴雄飞,说:“刘程这小屁孩,有时候也太把自己当回事了吧!有时候都对我们几个颐指气使了。”
“哎,没错,这小子最近风头有点正盛,是得考虑磨练磨练他了。”
几百万,几千万的大项目肯定不能让刘程去负责,因为他毕竟没那个经验,搞砸了肯定损失惨重。一些小小的划几个VLAN,调几个IP这种体毛级别操作的又难不住他。维保类巡检,配合打杂等事情刘程心高气傲不愿意去做。要是逼着刘程去做他不愿意做的事情,把他逼急了,那边来自紫竹和紫苑的压力也不小。
正好机会就来了,在老客户杨万青那里,有一个附带的网络建设工作被提上了日程:
客户准备在成都龙泉驿地区新增一个办事处,用两台旧的但没过保的Cisco 3850作为网段汇聚设备,和省中心的同城汇聚设备做对接。办事处有4层楼,用三台Cisco 3750和一台华为S5700做楼层接入。
客户的要求:
· 所有设备都不具备堆叠的条件,所以为了防止环路,要求汇聚层和接入层之前都跑三层链路。因为这里设备厂商混杂,所以都是OSPF路由协议。
· 所有的设备均使用SSH登录,登录的用户名和密码,源地址登录限制由省中心的AAA服务器统一控制。
· 根据省中心的安全规范,所有OSPF必须开启邻居认证,所有终端在接入交换机时,必须通过802.1x认证以后均可接入到网络中。
顺便,客户也发过来了一张办事网点的网络规划结构图:
这个地址规划的需求比较简单,网络规模也比较小,加上客户那边也不是那么急着交付。而且对于这种网点的建设,客户那里自己也有一套完整的方案和配置模板,正好,这个事情既有技术含量风险又小,而且小细节特别多。经验不足的人去做虽然也会吃不少亏,但是不会对客户和公司造成大的损失,正好适合刘程去做。
没想到刘程居然主动站出来揽了这个活,还拍着胸脯说:“飞哥,这个事情包我身上!”
吴雄飞想想,这个网络建设难度也不大,加上刘程做事确实是非常细致,所以他点点头答应了,然后他说道:“这个事情你主要负责,我在把周正东,梁国武两个人派给你,让他们协助你完成这次网络建设。”
于是,这个事情就这么安排下来了,吴雄飞以总监的名义发了邮件:
刘程负责整体技术规划,包括脚本的编写和方案的编写;
周正东,梁国武做一次方案检查,实施当晚到现场配合刘程,听候刘程的安排和调遣。
刘程接了这个项目倒是很高兴,回家以后还拿去和紫苑炫耀呢……不过紫苑倒是很冷静,她对刘程说:“小猪姐和姐夫可都算是久经沙场了,他们这么安排100%有坑等着你,劝你最好小心着点!”
不管刘程有没有把这句话放在心上,但是技术方案和配置脚本要编写出来。
我们先看看这个案例里面的核心技术点吧。
二、核心技术点
这个案例里面,核心技术点就是:OSPF多区域配置和特殊区域,这个在上一篇文章已经说过了。这一篇文章再简单回顾一下。还有就是OSPF接口认证,交换路由去AAA服务器做Radius和Tacacs的联动,还有就是在交换机接口上启802.1x认证。
关于AAA服务器是怎么配置的,该内容不在本专栏讨论范围内,不过有兴趣的朋友,可以去了解了解Cisco ACS的相关知识。
2.1、OSPF多区域和特殊区域
关于OSPF多区域,从宏观上记住一个目的,一个概念,两个规范。
一个目的:OSPF划分多区域的目的就是减小SPF算法的范围,提高收敛效率;
一个概念:Area 0是骨干区域,Area ID >=1是标准区域。没必要去记Area ID的最大值是多少,因为你就算把全世界的区域都算上也用不了那么多。
两个规范:
如果网络中只有一个OSPF区域,则这个Area ID请你设置为Area 0;
多区域网络环境下,要求骨干区域在中间,非骨干区域对骨干区域成“包围”状。
OSPF特殊区域
四种类型:末梢(Stub),完全末梢(Totall-Stub),NSSA,完全NSSA
Stub和NSSA的区别在于,Stub内不能有ASBR,也就是说Stub内不允许出现路由重分发,而NSSA内可以有ASBR,允许重分发。所以NSSA的适用范围更广一些。
末梢区域:外部路由进入末梢区域会成为默认路由;
完全末梢区域:只有本区域的路由是明细路由,外部路由和其他区域的路由进入完全末梢区域会成为默认路由。
NSSA继承末梢区域的性质,完全NSSA继承完全末梢区域的性质。
任何末梢区域都不能成为虚链路的穿越区域。
2.2、OSPF接口认证的配置
OSPF接口认证是一种安全加固的措施,通常采用MD5加密。
如果设备A在接口上配置了OSPF接口认证(使用一段字符串,类似于密码),则对端的设备B也需要配置接口认证,并且要和设备A的加密字符串相同,否则A和B就无法达到Full了。不过给我的感觉,这种安全机制纯属心灵上的安慰。你在A上不去network或者配个静默接口,B接上去也一样没法达到Full啊。
既然说到这个问题了,那么我们就来看看OSPF接口认证怎么配吧。
微信公众号:网络民工
Cisco设备的配置
interface
ip ospf authentication message-digest
ip ospf message-digest-key <id> md5 0 <明文的字符串>
ip ospf message-digest-key <id> md5 7 <密文的字符串>
第一条命令:ip ospf authentication message-digest表示在这个接口下启用OSPF邻居认证,认证方式为message-digest,其实就是MD5认证。
第二条,第三条命令都是配置认证的字符串的,简单理解,就是拿来配置密码的。不过这里有个问题:
如果md5后的关键字为0,则配置的加密字符串可以被show run看见,这肯定不行
但是如果,你MD5后面使用参数7,又会出现这个结果:
这表示,如果MD5后的参数用7,则必须使用一个密文字符串,这个密文字符串只能从别的设备生成的MD5摘要值去拷贝,而且,拷贝来了还不一定能用!
那么,如何在本设备上,加密这段字符串呢?
比如,我就在R1上配置ip ospf message-digest-key md5 0 ILoveZiyuan,但是要求在show run的时候,看见“ILoveZiyuan”被加密,怎么办?
如果你要是觉得启了OSPF的接口太多,一个接口一个接口的配置太麻烦,Cisco也提供了针对全局的配置:
华为设备的配置命令:
如果是H3C Comware v7的设备,配置命令和华为是一样的,但是关键字只能用“plain”而不能用“cipher”。因为cipher后只能够跟已经被加密后的字符串,这里和Cisco有点像。但是呢,你命令中用plain 跟了明文的字符串,把命令敲进去再display cu查看,它会被自动转换成cipher跟一段加密的字符串。这里和H3C Comware v7设备配置用户名密码时,效果是一样的。
2.3、交换路由与AAA
AAA是一种技术,这三个“A”分别代表认证(Authentication)、授权(Authorization)和计费(Accounting)。其实我们在使用电脑上网的时候,AAA用得非常多。比如你登录百度贴吧,让你输入用户名和密码,就是认证(Authentication)过程,你登上去以后,能发帖,能回帖,但是不一定能删帖,因为给你的授权(Authorization)就是发帖,回帖,但不一定能删帖。最后,你在贴吧里发表了N多篇帖子,就是计费(Accounting)。
所以,简单理解这个AAA认证,就是让你同时输入账号和密码才能登陆,就是一个AAA认证。
网络层面的AAA也很多,而AAA认证总是和密码认证是相对的两个概念。
比如你蹭人家的WIFI,别人只需要告诉你WIFI密码就可以了,这就是密码认证。
还有,Telnet有时候也只需要密码就能登陆,这也是密码认证。如果让你同时输入用户名和密码才能登陆,这就是AAA认证了。
AAA认证有两个基本的协议:
TACACS:全称终端访问控制器访问控制系统(Terminal Access Controller Access-Control System),一般用于控制网络设备(交换机,路由器,防火墙等)的SSH或Telnet的控制协议。Cisco设备使用TACACS+,华为系列的设备使用HWTACACS。端口号:TCP 49。
RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。RADIUS的认证端口是UDP 1812,记账端口是UDP 1813。RADIUS一般用于用户接入网络,或者远程访问V(P)N的用户身份验证。
简单总结一下:TACACS用于设备网管,RADIUS用于用户接入。
一般来说,一台AAA服务器可以同时实现TACACS和RADIUS这两种协议的功能。常见的AAA服务器有Cisco ISE、Cisco ACS、华为Esight、H3C IMC,还有微软的Active Diretory活动目录域功能也可以实现。但不管是哪一种服务器,都需要服务器和被管设备在网络上可以通信。
TACACS和RADIUS需要用服务器来实现,服务器怎么搭的不在本专栏的讨论范围之内。
但是,一台网络设备上配置它与AAA服务器联动,这个知识点我们得讲。
比如本案例内的两个需求:
所有的设备均使用SSH登录,登录的用户名和密码,源地址登录限制由省中心的AAA服务器统一控制。
根据省中心的安全规范,所有OSPF必须开启邻居认证,所有终端在接入交换机时,必须通过802.1x认证以后均可接入到网络中。
第一个需求,是针对设备管理层面的,需要配置设备与AAA服务器的TACACS协议联动;
第二个需求,是针对用户接入网络的,需要配置设备与AAA服务器的RADIUS协议联动。
我们先看一下,配置被管设备与AAA服务器联动,需要哪些要素,如下图所示:
Cisco设备配置TACACS和RADIUS与AAA联动,让自身的SSH或Telnet的用户名和密码由AAA集中管理,配置命令如下:
华为设备配置TACACS和RADIUS与AAA联动,让自身的SSH或Telnet的用户名和密码由AAA集中管理,配置命令如下:
2.4、配置802.1x
普通的IEEE 802局域网没有提供任何认证的功能,只要把电脑用网线接入交换机,电脑就可以接入到网络中。
而802.1x提供了基于二层的访问控制方法,同时提供了集中管理的功能。
在交换机的端口上开启802.1x功能,则计算机上需要安装相应的iNode软件,使用RADIUS服务器上的用户名和密码登录,才能接入到网络中。
不止是以太网,无线网络也可以使用802.1x认证。
Cisco交换机接口上启用802.1x认证的命令
interface FastEthernet0/2
switchport mode access
dot1x pae authenticator
dot1x port-control auto
dot1x violation-mode protect
华为交换机上启用802.1x认证的命令
interface GigabitEthernet 1/0/1
port link-type access
dot1x
三、方案设计和脚本编写
说完了核心知识点以后,咱们再来说说这个案例的方案设计和配置脚本的编写。
这一次的建设不同以往,以前说的三个案例,建立新网的时候用的都是新设备,但这次却是用旧设备来建新网络。旧设备需要测试吗?
当然需要测试啦,而且旧设备在测试的时候,也要按照刚拆包的新设备的步骤来进行测试。这一次的案例涉及到Cisco 3750这种低端设备,配置三层接口还要跑OSPF,所以在Cisco 3750上也要测试一下,它是否支持OSPF。
3.1、方案总体设计
对于刘程来说,他拿到这个网络建设项目算是够甜蜜的了。因为这个网络建设,客户已经有了一套成熟网络建设套路,就连互联接口,互联IP地址都已经规划好了的,都不用刘程去绞尽脑汁去想那些技术难题的解决方案了。
这个项目的总体方案设计如下:
两台Cisco 3850与省中心的同城汇聚设备做对接,跑OSPF路由协议。Cisco 3850上连接省中心一侧的区域为Area 0,连接楼层交换机一侧的区域为Area 126,并把Area 126设置成末梢区域。
Cisco3850与楼层交换机(一台华为S5700,三台Cisco 3750)之间用三层链路连接,跑OSPF,区域为Area 126。所有OSPF的接口均要开启MD5认证。
每个楼层的业务网关都做在对应的楼层交换机上。楼层交换机的1—16号接口划入等保A的业务VLAN,17—46号接口划入等保B的业务VLAN。等保A的主机要求通过802.1x认证通过后才能接入网络。
所有的设备均使用SSH登录,登录的用户名和密码,源地址登录限制由省中心的AAA服务器统一控制。
不仅方案是固定的,就是客户杨万青那里也有好几个网点,采用的是和这次需要网络建设的龙泉驿网点是相同的结构,而且思科和华为的配置都有,给杨万青打个电话,让她把相关的配置发过来就是100%的配置模板!
所以啊,周正东和梁国武得知刘程拿到的是这么一个纯粹是“抄袭”就能搞定的项目,心里面都一直在犯嘀咕呢,周正东甚至还说:“吴雄飞这个人啊,平时照顾紫竹也就算了,毕竟他照顾自己老婆嘛。但是去照顾自己未来那个,还是堂妹那边的连襟兄弟,是不是有些过分了?想让刘程这小屁孩出成绩,这也太赤裸裸的了吧!”
这话传到吴雄飞耳朵里,他说:“别看这次项目简单而且是抄袭式的,我敢说让刘程去负责,他没经验,做这个肯定会各种各样的问题。所以让你和梁国武去配合他,实际上是一种监督和一种保障。”
不管这句话到底是真心话,还是吴雄飞在给周正东说好听的,灌他鸡汤,这都是后话。实际上就是,刘程在杨万青那里,要来了至少4个网点的设备配置,又有思科又有华为的,他就拿去 把配置改改,就准备交差了。
3.2、通用服务的配置脚本
在这个案例里,通用服务包含以下几个地方:
本地用户和密码,防止设备在断网的时候,和AAA无法通信,没有本地用户和密码就无法登陆到设备上了;
与AAA服务器联动的配置,包括RADIUS和TACACS的联动;
Cisco设备配置脚本如下:
华为设备配置脚本如下
3.3、Cisco 3850的接口地址和OSPF配置
按照互联地址规划表,上表的A端设备代表3850-1,主机名为LongQuanYi-HuiJu-1;下表的A端设备代表3850-2,主机名为LongQuanYi-HuiJu-2。
配置脚本公众号后台回复领取
四、果然还是坑了队友
回到故事中来。
刘程这小伙子,虽说做事确实细致,但这并不代表他有多么勤快。因为有了现成的配置模板,他就专找Cisco 3850、Cisco 3750、华为S5700的设备,然后拿着现成的配置就开始修改。按照他的说法是:“现网设备上面扒下来的配置,关键字100%不会错,只要保证配置的参数不错就可以了。”
有现成的配置模板,照着模板改配置确实没问题,但是他忘了这么几个问题。
微信公众号:网络民工
其实在上一节就说过,对于这种既有让网络通畅的配置,又有可能阻碍网络通畅的安全相关的配置,写脚本的时候应该做成“步骤脚本”,即第一步应该先把接口IP地址,OSPF这些配置好,待到OSPF邻居全部建立,网络全部都通了,第二步才写安全相关的配置。而且,关于什么登陆源地址限制,什么取消本地用户登陆,什么使用复杂密码这些,都是要等到网络交付以后,才去设置的。
如果是直接从现网环境中把配置扒下来,改改几个IP地址参数再原封不动刷回去,就相当于是提前把这些安全相关的配置写进去了。到时候发现网络不通,或者是邻居建立不起来的时候,那么到底是网络层面没配对,还是安全相关的配置有参数写错呢?这会给排错带来一定的麻烦。哦?不对,或许还有更麻烦的事情呢?
4.1、发现了问题
实施那天晚上7点,当刘程和周正东、梁国武赶到现场的时候,这6台交换机已经提前上架好了,网线也连好了。两台Cisco 3850上架在4楼的大设备间里面。设备间里面网线,配件,散落得乱七八糟,地上满是灰尘。两台Cisco 3850所在的机柜,那个网线也是乱得和方便面没啥区别了。刘程在从设备间外面的破沙发上拉了几个垫子,然后把电脑放在机柜旁边的一个废弃的电脑主机箱上,插上console线,就准备往Cisco 3850里面刷配置。
在刷配置之前,刘程还是仔细地把配置检查了一遍,他自己觉得没问题了,然后把配置一股脑就复制粘贴在Cisco 3850的命令行里面了。不过不得不说刘程还是有优点的,他从现网上扒下来并修改的配置,刷到Cisco 3850里面,居然一个报错信息都没有。
不出几分钟,两台Cisco 3850的配置就全部刷进去了。这个时候刘程请周正东帮忙,把连接到同城汇聚设备的单模光纤插上,再把连接两个Cisco 3850的多模光纤也插上。
经过一番摆弄,光纤接口下方的指示灯开始闪烁,命令行界面里也出现了“接口UP”的提示信息:
2y12w: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to up2y12w: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changport-control auto2y12w : %LINK-3-UPDOWN: Interface GigabitEthernet0/2, changed state to up2y12w: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changport-control auto2y12w: %LINK-3-UPDOWN: Interface GigabitEthernet0/3, changed state to up2y12w: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/3, changport-control auto
此时,接口UP了,但是OSPF达到Full状态的提示,却迟迟未出。
刘程仔细地用show run | s router ospf检查了两遍OSPF的配置,又检查了Gi 0/3接口和VLAN 851接口的配置,发现都没问题。正当他抓耳挠腮的时候,梁国武在旁边说了一句:“把接口认证删了,重新用明文配上去!”
“明文?那不行啊,要密文!”刘程眼睛盯着屏幕说。
那边周正东接着说道:“先删了再说,如果删了认证还是不行,那就是你OSPF的配置问题,如果删了以后邻居起来了,就是你认证的事情。”
“哦!”刘程应了一声,这个时候才想起去删OSPF接口认证的配置。刚刚删除完整,只见OSPF邻居瞬间就达到了FULL的状态了。
刘程这个时候正准备把接口认证的命令再敲回去的时候,梁国武阻止了他,说:“现在先别慌写接口认证!先把脚本里面的接口认证全部删了,然后我们拿去把楼层交换机的配置刷了。”
4.2、队友发现被坑了
周正东和梁国武拿着笔记本电脑就下了楼……
刘程在设备间里面是一直盯着屏幕上,就盼着能早点看见接口UP,OSPF邻居Full的现象出现。但是左等不来,又等不来,都差不多1个小时了。他似乎是有点着急了。给梁国武打电话是没人接,给周正东打电话是根本无法接通,而他又不敢离开设备间,因为他一出去,这个门被关了,可就怕没人来给他开门。
这也真的不能怪梁国武、周正东不靠谱。
先说说梁国武的情况吧,他是先去了一楼,准备先“收拾”那台华为S5700。他跑下去以后,发现华为的S5700上被设置了console密码。这应该是华为最近交换路由上犯的一个“毛病”,就是华为新出厂的设备,都会被强制设置console密码,而且密码长度还必须不少于8位,还的满足大写字母,小写字母,数字,符号这四项元素的三项。梁国武期间打过电话给刘程,问过这个console密码,刘程说:“这密码就是默认值啊!”默认值?没错,就是Admin@123,但梁国武敲了三遍,密码都是错的,结果系统被锁死,得静置15分钟后再登录……
“狗日的!”梁国武恨恨地骂了一句,只能先考虑去做三楼。
梁国武又跑到三楼的电井里面,一看眼前的场景——MLGBD!
都说Cisco 3750和Cisco ASA有“反人类设计”的嫌疑,这下子可真是一点也不假啊。因为它们的Console口设置在设备的背面了!在弱电井里面,机柜的背面又是靠着墙壁的,这意味着,梁国武想把console线插在Cisco 3750的console口上,必须把手从杂乱的线缆之中伸进去,凭着感觉用手摸到console,然后再尝试。
梁国武费了九牛二虎之力,才把console线给插好,这次倒是没有出现console密码,但是这个enable密码又是怎么回事呢?他只能拿起电话再问刘程,刘程说:“这个enable密码是我照着现成的配置直接扒下来,再刷进去的,应该就是和其他网点一样把,‘杨万青’ 三个字的拼音首字母,@一个1991。”
没辙,梁国武只能尝试enable密码,也是试了好几次还是不行,无奈之下,他只能决定,清空了这台交换机的enable密码再说。
是的,梁国武在这边满腔鬼火地破解着交换机的enable密码,那边周正东的情况也和梁国武差不多,也是碰到一个网线乱七八糟的机柜,也是碰到console线插到后面去了,还设置着console密码,最惨的是,二楼的电井里面,手机拿进去就没信号了!周正东也没辙,先把密码破了再说吧。
于是,周正东和梁国武,首先做的就是破密码这样的蛋疼事情,而且还是Cisco 3750这种console长在屁股上的玩意,加上电井里面又脏,网线又乱,所以这俩人憋了一肚子的鬼火。
4.3、这下算是吃教训了
到9点的时候,两台Cisco 3850上连接1楼、2楼、3楼、4楼交换机的指示灯才开始闪烁起来,这足足折腾了一个多小时啊。此时,周正东,梁国武灰头土脸地走到4楼大设备间门口,正准备找刘程骂娘呢,突然间他们愣住了:“额……嫂子!”
“我感觉我要是不来啊,你们俩是不是得把刘程给扒了皮啊!”紫竹也同样灰头土脸地站在设备间门口,里面刘程应该是被训斥过一顿了,坐在那里表情尴尬,紫苑正站在刘程身边,用手搭着他的肩膀,眼圈红红的,呆着一言不发。
紫竹说:“你们飞哥看了刘程写的脚本,而且刘程也没有提前来现场做工勘,他就料到这次割接肯定会不顺利。一看时间都超过8点了还没结束,就喊我赶紧过来了。我看,刘程肯定是提前给设备里面把密码给配进去了吧,还有这个OSPF肯定也是直接就写了接口认证的配置了吧。到现在,还有2楼和3楼的OSPF邻居没起来,但互联地址能ping通,肯定是字符串配置有问题。”
梁国武也说:“是啊,这小刘还早早的就把这些设备的登录源地址限制给做了,要不然,我们直接在3850上面就能远程登录,现在可好,发现下面的设备有问题还得带着电脑下去用console登录,够麻烦的。”
周正东那边也吐槽道:“还有,没事给这些设备配console密码和enable密码干嘛,配了以后自己也记不住到底是多少?”说完,周正东还冲着刘程调侃了一番:“我还怀疑我们这是和竞争对手的公司在合作呢!”
大概是见到刘程被“群起而攻之”的缘故,紫苑那边急得眼泪都出来了,她扯了一下紫竹的衣角,然后说:“拜托各位哥哥姐姐了,刘程已经知道自己错了,你们也就别再说他了。我敢说下次他肯定不会再犯了。”
“没事,没事,是我年轻经验不足,给各位前辈惹了麻烦……”刘程还是轻轻地摸了摸紫苑的头,安慰着……
紫竹笑笑,她说:“这样吧,我们还是先把网络给配通,争取12点之前把这次建网给做完,我是开车来的,我们正好5个人能坐得下,做完以后就送你们大家回家吧。”
4.4、推翻重来
刘程根据紫竹的要求,很快就把配置脚本,按照需要配置的步骤全部改了一遍。
第一步,只配置二层接口,三层接口和路由协议,先把网络打通。在这里,主要测试任务是查看OSPF邻居建立的情况,还有就是路由收发的情况。
在OSPF邻居全部起来以后,再在每个接口下添加OSPF邻居认证的相关配置。这样的话,如果添加邻居认证前OSPF邻居起来了,添加邻居认证后OSPF邻居起不来,这就肯定是邻居认证配置有问题。
暂时不对所有设备配置与Tacacs的联动,让设备用本地用户名和密码登录,协议可以使用SSH,但是密码要设置稍微简单一点。这样,就可以在4楼设备间,只用Console线插一台设备,就能用SSH远程管理所有的设备了。接下来,就是在4台楼层交换机上,使用业务网关作为源地址,ping相关的业务主机,能ping通说明网络已经打通了。
然后再配置交换机与TACACS和RADIUS的联动,测试TACACS也不难。登录的时候,输入AAA服务器上的用户名和密码,能登录进设备即表示和TACACS联动成功;再在每个楼层各找一台等保A的主机,能通过801.1x登录到网络中,即为与RADIUS联动成功。
修改本地用户名的密码为复杂密码,设置登录源地址限制,在第二天确认网络工作完全正常,客户同意交付以后再进行设置。
五、总结
本案例所讲的网络建设案例,结构比较简单,所使用的技术也不难。从技术层面来说,就是几个很单纯的技术:
业务VLAN配置;
OSPF多区域配置;
OSPF邻居认证;
网络设备与AAA服务器联动的配置。
接口上启用802.1x的配置。
其中,业务VLAN,OSPF这些配置都属于基础级别的,也没有牵涉到路由重分发和路由过滤操作,仅仅一个启OSPF邻居的配置。而与AAA服务器联动呢,虽然命令看起来很多,但也是一个固定的模板,抓下来就可以通用。不过这里面的细节确实值得大家玩味一番。
刘程所犯的错误,并不是他的技术问题,因为他写的配置脚本在刷入设备的时候,一点错都没报。他犯的错误是经验问题,这个经验问题就体现在没考虑到现场是多个设备,如何快速登录设备,如何减少console线在设备之间来回插的次数和可能造成的“背着电脑跑楼层”的问题。还有就是提前配置了对OSPF邻居建立产生阻碍的邻居认证,发现OSPF邻居起不来以后,光想着去找认证的问题了,而没想过是不是其他因素造成的。
还有,最值得说一说的就是,一开始就用console密码,enable密码,super密码把设备锁住了,而且这些密码还设置得相当复杂,甚至连他自己都记不住,这就相当不可取了。
虽然说,配置邻居认证,登录源地址限制,各种各样高强度密码,确实是一种安全举措。但是在建网的时候,提前把这些限制动作给做了,导致工程师在工作的时候各种不变,确实是“坑队友”了。
