本期特邀工信部全国网管技能水平考试专家委成员、金牌网管师王达先生 ,针对网络设备配置与管理学习方法的问题给予解答，欢迎网友积极提问，与专家一起讨论！

王达的博客：

查看本期门诊精彩实录：

参与最新技术门诊：

精选本期网友提问与专家解答，以供网友学习参考。

Q：王老师，你好！我主要维护的是本单位专网内的网络设备（主要是华为系列），路由器<30台，主要用到的是静态路由，开启了SNMP（仅仅只读模式），主要确保的是设备的联通性（路由可达）、可靠性、稳定性，目前很少做有关安全方面配置，目前没有出现安全事件，所以我想问一下老师如果做安全策略我应该做哪些呢？

A：网络设备的安全策略主要包括以下几个方面，你可以选择地性使用： （1）用户接入和访问控制：可通过像MAC地址认证、IP地址/MAC和端口绑定、802.1x认证、AAA策略等来保障； （2）内容或访问过滤：可通过各种ACL来实现； （3）ARP欺骗或***预防：可通过设备上的***检测系统，或者内容审核系统来预防； （4）广播风暴抑制：可通过设置广播包比例，或者通过QoS策略降低广播包的优先级； （5）内容欺骗保护：可通过QoS策略进行内容审核，确保只有符合特定优先级的包才可通过。 以上这些方面，我在的四本网络设备图书中均有详细的介绍。

Q：我的工作大部分是跟华为、h3c设备打交道，cisco少量，还有其他的一些，ipsec的***也比较多。就工作中遇到的一些疑问想请教您。

1、voip方面，对h323和sip协议架构的网络电话，如何统计语音网关上的通话量？对sip电话机的统计可以做到。

2、以前华为2403h和部分2000系列的交换机配置生成树协议的时候，show stp 后面没有brief选项，我想了解，可以通过升级bin文件实现这些功能吗？3、在多级互联的网络中，一个完整的配置快速生成树协议，考虑收敛和安全性情况下，需要配置哪些东西？

4、网络安全方面，目前我使用的nmap比较多进行端口扫描，类似其他的注入之类等没有深入学习，有开源的工具推荐？

5、配置asa5500防火墙的时候，配置ipsec***如何与华为的路由器进行兼容？能有案例，最好两端都有不能汇聚的网络段划分？

6、无线方面分享，华三的icg2000无线设备，无线客户端经常掉线，后经过升级bin后，解决这个问题。我想问的问题是，这个设备默认是30个客户端（说明性能有限），可以通过配置修改增加客户端，为保证客户上网的质量，那我想控制无线客户端的带宽和会话数，这个如何配置？

A：谢谢你的信任与关注！谈一下自己的一些观点。

第一个问题，因为我对语音这方面还没有太多研究，所以不能给你明确的解答，不好意思。

第二个问题，你可能打错了，应该是display stp，而不是show stp，华为的不是很清楚，H3C的自comware 5.0版本开始都有 brief这个关键字的。 可以通过升级bin文件来实现。

第三个问题，生成树方面主要需要配置的是生成树模式、根交换机和从根交换机，端口优先级和端口开销、hello包发送时间间隔、转发延时、MST区域，以及利用生成树进行负载均衡等方面，具体在我的《Cisco/H3C交换机配置与管理完全手册》（第二版）中有详细介绍。

第四个问题。注入方面我没还没有深入研究，所以不好意思，不能给你相应的工具推荐，但网上肯定有的，搜索一下应该就可以找到。

第五个问题。不好意思，在这里不可能提供这方面的大型配置案例。

第六个问题。我没用过你所用的这款华为无线设备。