华为数通HCIA ——企业网络架构以及产品线

一.学习目标：精讲网络技术，可以独立搭建和维护中小企业网络！

模拟器（华为方向请安装ENSP，Ensp-Lite已有安装包，号称功能更加完善-这意味着要耗费更多的系统资源但是仅对华为内部伙伴申请后方可使用；思科方向推荐请安装EVE）和课件(qytang)。明天会由IE辅导专家梁老师为大家讲解模拟器的安装、使用和排障。

二.整体规划/要求/学习方法

0）为什么这么喜欢用模拟器呢？

ENSP（ENSP PRO）。请问是否能够完成制冷和供电、噪音问题、维护问题。

首先是否有5-30台设备去完成实验？

请问真机有没有BUG？

请勿把学习和备考混淆！负责的讲以后工作了，公司没有钱和资源让您去一比一的还原项目，这是依旧使用模拟器来仿真现网的生产网络。

1）整个训练营约14-15个作业。能够把分解实验作业(每节课的作业)完成,推荐用有道笔记（包含了拓扑、需求、目的、配置步骤、验证与测试）分享到群里，欢迎大家提问，提问的小技巧：

请有拓扑截图、配置需求、配置截图、验证截图

2）学习P级别的标准：能够把A级别综合实验作业（自我测试，做5、6遍之后学新的高级课程）完成，绝对入门

3）难者不会，会者不难，多做实验、多讨论、多犯错误、多截图、多总结，分解实验+综合实验，在错误中成长；

4）在自我认知和只要要求前提下通过目标性和阶段性（千万不要出现每轮只学前2节课）去完成学习和工作。

三。网络行业发展、职业规划、考取证书导向

考试的目的？升职加薪！
网络框架是相对稳定的，随着经验的增加，自身的价值在增加。
甲方，购买服务或者产品，出钱
乙方,提供服务或者产品，更能提升技术水平
甲方挣得多还是乙方挣得多？推荐乙方工作一段时间，对于日后提升更有帮助
网工≠网管。应用学科。第一份工作大概10K-15K
（原厂的）代理商、服务商、销售合作伙伴：
ASP，授权服务合作伙伴，重点网络，大型项目，代表华为原厂（原厂交付）,专门处理华为网络
CSP，认证服务合作伙伴，一般性网络。搭建项目和维保，处理多厂商的网络
挂靠到以上的这些公司。实名制

四.企业网络架构和产品线

不让资本家剥削大家，不认识硬件设备、不熟悉硬件设备、没有项目经验
软（灵魂~代码~命令~协议）硬（肉身~盒子：交换机、路由器、防火墙、无线AC/AP等）结合的一个行业。初入行业薪资偏低其中一个重要的原因就是不熟悉网络架构，不熟悉产品线(真机)
园区网，Campus Network，大中小型企业网络、医疗、教育、交通、政府机关等的网络。和DC、运营商网络区分开来

路由网络

外联层（出口区域）：防火墙（较丰富的路由功能和丰富的安全功能、VPN功能，华为的USG 6000、思科的ASA系列、深信服的AF系列，NG firewall）或者路由器（华为的接入路由器AR 6000系列、思科的集成服务路由器ISR 4000系列路由器-更新的叫做Catalyst 8000系列路由器。不会查文档的工程师不是合格的工程师）（丰富的路由功能和较全安全、VPN功能），互联网以及广域网。不可以使用交换机（因为它不具备或者只有非常弱的特定功能，诸如接入互联的功能：NAT、PPPoE、VPN等）
NE（云引擎，比如NE40E、NE8000系列、NE5000系列）系列是华为的骨干网、城域网级别路由器，思科对应的系列是ASR、CSR系列路由器
交换机重点是局域网连接，具有路由功能和丰富的交换功能，但是欠缺安全和其他特性
区域间隔离的防火墙算在哪一层（核心汇聚接入）？不能把路由器、防火墙充当汇聚交换机、核心交换机、接入交换机！

交换网络

核心交换机（快速路由或者转发、性能优越、高密度、丰富的冗余功能，框式交换机，具备业务IP地址），思科的Catalyst 9600系列核心交换机（VSS），华为S12700智选交换机（CSS，核心交换机集群）。X7系列园区网交换机
Nexus （思科的数据中心级交换机）N9K N7K N5K N3K、N2K，华为的数据中心交换机是CE系列交换机（X8系列，12800、9800、8800、7800、6800、5800）
汇聚层交换机，有些中小型企业网把汇聚和核心合并
承上启下，什么是下联接口，上行链路
华为5700、6700交换机充当中小企业网的汇聚、核心交换机。核心和汇聚交换机都有IP业务，思科对标华为的系列：3650（上一次产品是C3560、3750）、3850、9200、9300等。开始配置IP业务，出现ACL、冗余协议、路由协议等等
接入交换机（2层交换机，直连终端用户，盒式交换机，相对便宜，没有业务IP，只有管理IP），直连终端用户。一般使用2层交换机
常见的设备：华为是5700、3700、2700、1700；思科3650、2960交换机

网络交换机 - Cisco

华为企业产品技术支持网站 - 华为

产品线定位

华为：园区网交换机S系列X7,比如CE S5700（SDN的转发设备），S6700，细分HI（高级版）、EI（增强版）、SI（标准版）、LI（精简版），对标思科的产品Catalyst 3650或者3850交换机，思科的汇聚交换机9300系列（作为SDN的转发设备）
推人专家，现在有个你们的师兄缺3-5个工程师
AP，access point，无线接入点，Fat AP（胖AP，可以独立工作，拥有基本的网络功能，消费级的家用路由器），Fit AP（瘦AP，依赖于无线控制器AC/WLC工作，Capwap协议是基于UDP协议）,企业级瘦AP可以切换为胖AP（也可以切换回瘦AP）
那交换机上接入一个ap到办公室用fit还是fat？都可以，小型办公网络就是用胖AP，大型无线办公网络就是用瘦AP+AC的组合。PoE（power over ethernet,用交换机的PoE接口给AP、摄像头等等供电）

AC/WLC

成功的安装模拟器，建议一个就可以

补充

华为分了很多的产品线
常见的数通网络设备：A、路由器 B、交换机 C、防火墙 D、AC（无线控制）和AP（无线接入点）
得交换机者得天下
认识产品线（https://support.huawei.com/）：园区网交换机X7系列 VS 数据中心级交换机CE（云引擎） X8系列
那华为X7 系列，哪些适合做接入，哪些适合做汇聚，哪些适合做核心啊？依据网络规模来定。通常框式交换机定位于为核心层或者汇聚层（大部分时候是全光交换机，速率高、距离远），盒式交换机作为接入或者汇聚交换机.比如CE S5731
华为X8 CE（云引擎）系列交换机：6800、8800、9800、12800、16800，低时延、高密度、大带宽特性，CE6857E-48S6CQ
企业网络的出口设备可以选择路由器或者防火墙，而不能是交换机，原因是交换机不能提供诸如NAT、VPN等必要的功能
包转发率：交换机每秒可以转发多少百万个数据包（Mpps）
交换容量：交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量，单位为Gbps/Tbps

路由器
1）AR（Access Router）路由器（用于企业网连接运营商的位置）；2）NE（network engine）系列路由器（用于运营商或者IDC的业务骨干路由器，比如NE40E，NE8000、NE5000E等等）。现在园区网设备叫NE AR，同理园区网交换机叫CE S；

防火墙
USG6000系列和12000系列
无线设备
AC无线控制器、无线接入点（胖AP和瘦AP），FAT AP类比消费级的无线路由器（功能齐全，自行工作）；FIT AP，企业级的不能独自工作的无线接入点，被AC统一管控。新的趋势：随板AC（交换机自身代无线控制器功能）

五. 初步认识操作网络设备和理解网络的层次

整个课程综合拓扑图

1.课前测试

1.如果让你来设计网络以及设备选型，你会把华为S7700放在什么位置(选2项)？

A.接入层

B.汇聚层

C.核心层

D.企业网关

2.如果让你来设计网络以及设备选型，你会把思科ASA/华为USG放在什么位置？

A.接入层

B.汇聚层

C.核心层

D.企业网关

3.企业交换网络架构可以分成哪3个层次？

4.通常情况下企业无线网络的架构是哪种？

A.全部胖AP

B.全部瘦AP

C.AC+瘦AP模式

D.全部云管AP

5.防火墙是否具备2层交换功能？

A.有

B.没有

6认识网络设备和设备初始化

路由器定位在企业网关。

华为的AR（接入路由器）系列，企业级，AR6140等，NE系列路由器（数据中心、城域网）
思科的ISR（集成服务路由器）系列，企业级，ISR4000系列，ASR系列路由器！
防火墙定位于企业网关或者企业内部（路由或者交换功能）
华为的USG系列防火墙，USG6000（企业或者DC边缘）、USG9000（DC、运营商级别）
思科的ASA/Firepower，55XX系列。重点安全部署在哪里？出口、终端接入

无线产品

无线控制器（AC）、接入点（access point，瘦AP~不可以独立工作，被AC同一管控，胖AP~自身独立工作~家庭级路由器），用企业级AC来统一管理大量的AP
arista，低时延交换机，金融行业
POE（power over ethernet），PoE

7.设备初始化

网络拓扑图：1）物理拓扑图 2）逻辑拓扑图（业务流量的走向）；学习网络，在网络操作系统上执行多种多样的网络协议
网络是把代码或者命令应用到硬件上，所以依托于硬件设备，24T，24个电口，F光口
网络设备操作系统：
思科-IOS（互联网操作系统）
华为-VRP（通用路由平台）
系统文件，华为~.cc，思科~.bin
如何管理网络设备：
1）Web界面（不关心），因为很多细节、特定功能web都不具备，没有太好的逻辑性不利于学习
2）Cli，命令行、代码，给管理员来使用的，给设备下发指令，有很好的逻辑性，便于学习
3）其他，比如当下流行的SDN网络
本地管理（面对面）:
Console管理，级别最高，权限最大的管理方式，开局时最常用的方式。console口（管理口）长得和常规的网口（业务接口）一样
本地管理需要的材料：1）设备 2）Console线缆/USB（驱动），从任务管理器找到Com接口 3）管理软件putty（免费）、SecureCRT来连接

如何用SecurtCrt管理模拟器

无法补全命令的解决方案：

1）协议 2）主机名即IP 3）端口

远程管理（通过网络管理设备）协议：
Telnet（实现比较简单的明文管理协议）、SSH（实现比较复杂但是相对安全的密文管理协议）
带内管理，可以用于业务数据传输也可以作为管理地址
带外管理（接口），只有管理数据流量，没有业务数据，中高端设备会有专门的一个Eth（MGMT接口），用于远程管理
补充设备的命名规则（接口数、光口、电口组成有关系）

8.项目实验1 登录设备和控制台、Console认证（CLI）

同时使用真机和模拟器
如何使用Console：需要准备的材料（Console线缆~及其驱动、实体机、电脑、终端管理软件SecureCRT）
默认要求开启认证
查看设备版本；使用tab全部命令
R1>show version //命令注解，查看设备型号、版本等 <ISP>display version

设备的模式：
1）华为：用户视图（查看命令，不能配置设备）；系统视图（system-view，可以查看，可以配置命令）
2）思科: 用户模式（基本的查看命令，不能配置设备）；过渡的特权模式（可以进行查看，做少量的配置命令）；配置模式（conf ter）
类比：客厅、卧室、厨房
完成网络的实验：0）需求 1）配置和拓扑 2）重点命令注解 3）测试和验证
可以使用tab健来补全命令（学会使用补全命令是合格的必经之路），用?帮助
实验目的：熟悉命令行和系统的模式，增强设备的安全性，即配置Console（控制台）的认证
补全命令是TAB键

华为，进入系统后默认是用户视图
<ISP>system-view //进入系统视图
[ISP]user-interface console 0 //进入用户接口，console 0authentication-mode password //设置认证模式是密码认证，注意模拟器的路由器会提示输入密码set authentication password cipher qytang//设置认证的密码是qytang，真机有密码长度要求，要求键入旧密码[SW2-ui-console0]idle-timeout 2quit到console外验证或测试：Login authenticationPassword:<ISP>display users //查看登录的方式和用户User-Intf    Delay    Type   Network Address     AuthenStatus    + 0   CON 0   00:00:00                                   pass