网络管理师实习报告总结

网络管理师实习报告总结第一章实习背景与组织环境1.1实习单位本次实习单位为“北京云脉智联科技有限公司”，隶属集团网络与信息安全事业部，常驻办公地点位于北京市海淀区中关村软件园二期。事业部下设网络运维中心、安全运营中心、云网融合实验室三个二级部门，合计在编员工127人。本人被编入网络运维中心“骨干网运维二组”，直接向高级网络管理师刘洋汇报。1.2业务范畴公司对外主要提供三类服务：（1）政企专网MPLSVPN运营，覆盖18省156个地市；（2）混合云托管，客户侧接入线路2.3万条，峰值流量4.8Tbps；（3）安全托管服务（SOC），为312家金融、能源、医疗客户提供7×24小时监测。1.3实习周期与目标2023年7月3日至2023年9月22日，共12周。目标：①独立完成3个城域网节点割接；②输出1份可落地的《IPv6平滑演进作业指导书》；③参与1次重大安全事件应急响应，撰写复盘报告；④通过公司“网络管理师（中级）”认证考核。第二章网络管理师岗位职责与能力模型2.1岗位边界网络管理师在云脉智联内部定义为“对网络生命周期7×24负责的第一责任人”，覆盖规划、建设、运维、优化、退役五阶段。与系统管理员最大差异：网络管理师对路由可达性、SLA、流量调度、安全策略负最终责任。2.2能力模型公司采用“T型”能力矩阵：横向通用能力5项（沟通协调、文档写作、项目管理、风险意识、自动化思维），纵向专业能力7项（路由交换、MPLS、VXLAN/EVPN、QoS、IPv6、自动化、安全）。实习期要求纵向达到L2（能在监督下完成复杂操作），横向达到L1（能在指导下完成）。2.3考核方式每周五下午“站会”汇报，使用Jira看板量化：•任务完成率≥90%；•回退率≤1%；•文档一次性评审通过率≥80%；•客户侧投诉0起。第三章实习期间核心任务与实施细节3.1任务一：石家庄城域网节点割接3.1.1项目目标将原Cisco7609核心替换为华为CE12800，割接过程业务丢包≤0.01%，回退窗口≤30分钟。3.1.2前置条件（1）已完成新核心上线测试，BGP会话、IS-IS、LDP、VRRP、BFD全部收敛；（2）客户侧47条重要电路已双挂，具备冗余；（3）已获取集团割接授权编号：GCO-2023-07-089；（4）割接当晚00:00-06:00为正式窗口，客户书面确认。3.1.3实施步骤①23:30召开“战前”会议，使用WebEx录制，确认18人参会；②23:50在Grafana上标记“维护模式”，暂停告警自动派单；③00:00关闭老旧设备BGP会话，使用“bgpshutdown”温和退服；④00:03在CE12800上激活import策略，使用route-map逐条前缀检查；⑤00:10使用Python脚本（paramiko+textfsm）批量ping376个SVI网关，丢包率0%；⑥00:20让现场外包工程师拔纤，旧7609关机；⑦00:25在LibreNMS观察流量曲线，确认40G上行负载均衡；⑧00:30发布“维护完成”公告，关闭维护模式；⑨01:00输出《割接完成报告》PDF，上传Confluence；⑩次日09:00进行24小时稳定性回访，无异常。3.1.4风险点与对策•旧设备VSS链路异常重启：提前48小时禁用VSS，改为单机模式；•新板卡微码缺陷：已升级V200R022C10SPC100，并在测试床压测72小时；•客户侧静态路由未删除：割接前使用Netmiko脚本自动对比，发现3条残留，已通知客户经理。3.2任务二：IPv6平滑演进作业指导书3.2.1研究背景公司2025年需完成“IPv6单栈”验收，涉及612台PE、83台数据中心Spine。现有网络为IPv4/IPv6双栈，但IPv6流量仅占7%。3.2.2方法论采用“4×3模型”：•4个维度：路由、安全、监控、应用；•3个阶段：评估、试点、全网。3.2.3评估阶段①使用Nmap脚本ipv6-route-calc扫描全网/48前缀，发现37%地址为链路本地，无法聚合；②编写AnsiblePlaybook，调用SNMPv3采集ifIndex、ifDescr，生成Excel《IPv6地址浪费清单》；③与安全运营中心对接，发现4条防火墙策略未对IPv6生效，立即整改。3.2.4试点阶段选取“天津空港数据中心”作为试点，使用“IPv6+EVPN+VXLAN”方案：•出口配置BGP-IPv6-LU(LabelUnicast)实现100G骨干调度；•内部VXLANVNI与IPv6地址实现1:1映射，便于追踪；•部署DHCPv6-PD，给租户自动下发/56前缀；•使用Grafana+Prometheus监控NDP表项，告警阈值80%。3.2.5全网阶段制定5条刚性制度：1.所有新购设备必须在出厂基线开启IPv6功能，否则不予入库；2.每季度对IPv6流量占比低于15%的节点，由网络管理师进行根因分析，输出PPT向事业部总经理汇报；3.2024年6月30日前，所有省公司完成IPv6单栈演练，回退方案≤15分钟；4.安全组策略必须与IPv41:1对应，缺失即视为高危漏洞；5.应用系统上线评审增加“IPv6可达性”检查项，由网络运维中心一票否决。3.3任务三：重大安全事件应急响应3.3.1事件概述2023年8月14日02:47，SOC监测到某省政务云出口183.203.x.x出现14.7Gbps的UDP/443反射攻击，导致省医保系统30%业务掉线。3.3.2应急流程①02:48自动创建War-Room钉钉群，拉通11人；②02:50使用StellarCyber平台将攻击流量镜像至Aegis清洗中心；③02:55在CR路由器应用ACL：ipaccess-listextendedanti-udp443denyudpanyeq443anypermitipanyany应用接口：Ten-GigabitEthernet0/1/0.④03:10清洗后流量降至1.2Gbps，业务恢复；⑤03:30使用FastNetMon回溯，定位6个反射源均为境外CDN；⑥04:00在省级边界RT配置BGPFlowspec：matchdestination183.203.x.x/32protocoludpdestination-port443thendiscard⑦04:30输出《事件报告》初稿，包含5W2H；⑧08:30召开复盘会，使用5Why法，发现NTP服务器未做源验证，导致被利用；⑨后续加固：关闭NTP公网服务、升级CDN回源白名单、增加2台400G清洗节点。3.3.3经验教训•反射攻击利用UDP/443新端口，传统80/53清洗策略失效；•清洗中心与骨干网之间TE隧道未开启“快重路由”，导致1.2秒瞬断；•应急手册缺少“境外CDN白名单”章节，已补充。第四章工具链与自动化实践4.1统一网络版本库使用GitLab+NetBox，所有设备配置通过Git管理，分支策略：•master：生产配置；•dev：变更前临时分支；•hotfix：紧急修复分支。合并请求必须经两人CodeReview，CI阶段调用Ansible-lint、Capirca检查语法与策略一致性。4.2配置标准化采用Jinja2模板+YAML变量，模板文件312个，变量文件按机房、角色、品牌三维索引。实习期间新增27个模板，覆盖华为CE、H3CS12500、锐捷RG-N18000。4.3零接触部署（ZTP）编写基于Python的Flask服务，设备上线自动：①DHCP获得IP；②通过HTTPS拉取Python脚本，计算SN与AssetTag；③调用NetBoxAPI创建设备、接口、IP；④推送最小化配置，启用NETCONF；⑤发送企业微信通知。平均上线时间由45分钟缩短至9分钟。4.4故障自愈使用StackStorm规则引擎，对接GrafanaAlert：•BGP会话Down≥3分钟→自动执行“clearipbgp*soft”；•CPU≥85%且持续5分钟→自动收集“displaycpu-usage”并创建Jira工单；•端口光功率<-18dBm→自动下发“shutdown”+“description光功率低已关断”。实习期间触发46次，成功自愈38次，成功率82.6%。第五章规章制度与合规要求5.1变更管理依据《网络变更管理办法（2023修订）》执行：•所有变更必须提前3个工作日提交RFC；•P1级业务回退窗口≤30分钟，P2≤60分钟；•变更失败率纳入年度绩效，占比20%。5.2账号与授权遵循《网络设备账号安全管理规定》：•所有账号统一在LDAP管理，设备本地仅留admin与audit两个本地账号；•权限分级：L1只读、L2配置、L3隐藏命令；•每季度强制改密，长度≥16位，含4类字符；•离职人员账号30分钟内冻结，由值班经理二次确认。5.3日志留存依据《网络安全法》第21条与等保2.0要求：•设备日志、操作日志、告警日志分别保存6个月、3年、1年；•使用Syslog-NG集中收集，写入只读Ceph集群；•每月由合规组抽查10%日志，缺失率>1%视为不合格。5.4应急演练每年至少4次实战演练，包含：•DDoS演练：流量≥机房带宽30%；•链路中断演练：随机拔掉2条100G；•电源失效演练：关闭1路PDU，验证ATS切换。演练不通过标准：业务不可用时间>3分钟或KPI劣化>5%。第六章个人能力提升与反思6.1技术收获（1）深入理解BGPEVPN控制面与VXLAN数据面耦合细节，能独立排障NVE无法UP问题；（2）掌握使用PyATS进行差异配置比对，比传统diff命令准确率提升37%；（3）熟悉400G相干光模块规格（400G-ZR&OpenZR+），能根据链路预算选择合适光模块。6.2软技能（1）编写技术文档11篇，被事业部评为“最佳文档新人”；（2）跨部门沟通：与SOC、云平台、外包施工队召开9次现场会，推动IPv6地址规划落地；（3）时间管理：使用番茄工作法，每天完成3个番茄以上的深度工作，效率提升25%。6.3不足与改进•对SegmentRoutingPolicy理解仅停留在理论，未能在生产部署；•英语技术文档阅读速度280词/分钟，低于团队平均350词/分钟；•公众场合发言紧张，导致8月复盘会超时5分钟。改进计划：①报名CiscoDevNetSR课程，11月前通过考试；②每周阅读2篇RFC，使用Anki记忆专业词汇；③参加Toastmasters演讲俱乐部，每周一次。第七章后续工作规划7.1短期（3个月）（1）完成剩余2个城域网IPv6单栈试点，输出可复制的《IPv6割接一键脚本》；（2）推动网络运维中心引入Batfish开源工具，实现变更前网络可达性仿真；（3）通过公司中级认证，拿到“网络管