第一篇:华为USG系列IPSEC VPN实施经验总结
一、网络环境介绍
在清江酒店的USG防火墙调试IPSEC VPN的时候发现官方的配置手册有些问题,所以详细整理下实施过程出现的问题及解决方法。
网络情况简介:清江酒店总部设在武汉,宜昌,海口等地有10个分支机构,只有总部可以确认为固定IP,分支机构无法确认,有的固定,有的用ADSL。本案例用2个分支介绍。
了解了客户的基本网络状况后开始跟客户商量设计调试方案,选用IPSEC野蛮模式组网。在实施过程中发现以下问题:
1、配置手册中IPSEC VPN配置实例不完善,NAT部分没有写(要阻止VPN之间的数据访问做NAT转换),导致配置的时候不知道问题出在哪,在NAT中完善了转换策略后,问题解决。
因为野蛮模式配置是用ike local-name进行验证的,初步在IKE协商参数配置中加入了remote-name这项,配置完成后IPSEC VPN建立成功,分支和总部用内网IP可以直接访问,第二天总部防火墙重启了一次后VPN怎么都建立不起来,打400后发现在IKE协商参数配置中使用了remote-name出现问题,导致VPN连接不上,去掉remote-name后问题解决。
二、配置过程详细介绍
下面详细介绍下配置过程,总部内网用的172.16.1.0/24网段,其它分支采用192.168.X.X/24网段。防火墙的软件版本都是V100R005。
(一)总部配置
1、配置本地IKE本地用户名 ike local-name qndc
2、配置ACL acl number 3001创建序号3001的高级访问控制列表
rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 总部到分支1的内网网段VPN触发策略
2、rule10 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 总部到分支2的内网网段VPN触发策略
3、配置IKE安全提议
ike proposal 10创建名称为10的IKE安全提议
authentication-algorithm md5选择加密的算法为md5
4、配置IKE PEER ike peer a创建名称为a的IKE PEER exchange-mode aggressive模式选择野蛮模式
pre-shared-key 123456IKE协商的密钥为123456 ike-proposal 10绑定IKE安全提议
undo version 2选择V1的版本
local-id-type name使用野蛮模式的IKE local-name验证 nat traversal打开NAT穿越
5、创建IPSEC安全提议
ipsec proposal tran1创建名称为tran1的IPSEC安全提议
esp authentication-algorithm sha1选择安全算法为哈希算法sha1
6、配置IPSEC安全策略模板
ipsec policy-template map 1创建名称为map的策略模板
security acl 3001绑定触发ACL ike-peer a选择前面创建的ike-peer a proposal tran1选择前面创建的IPSEC安全提议tran1
7、创建IPSEC安全策略
ipsec policy map1 1 isakmp template map创建名称为map1的IPSEC安全策略绑定map
策略模板
8、在外网接口上应用IPSEC安全策略 interface Ethernet0/0/0 ip address 119.97.240.106 255.255.255.248 ipsec policy map1应用map1的IPSEC VPN策略
9、配置目的地址为192.168.X.X/16网段不做NAT转换;这步不配的话内网数据直接做NAT转换了,不会通过VPN隧道,那么前面的配置就白做了。nat-policy interzone trust untrust outbound进入NAT配置视图
policy 1
策略1(这是优先级,数字越小越优先)
action no-nat不做NAT转换
policy destination 192.168.0.0 0.0.255.255目的地址为192.168.0.0/16不做NAT转换
policy 2策略2
action source-nat基于源地址的转换
policy source 172.16.1.0 0.0.0.255源地址为172.16.1.0/24做NAT转换
easy-ip Ethernet0/0/0转换的外网地址为Ethernet0/0/0的接口地址 # 一定要注意策略的优先级,反了就没有作用了。
(二)分之机构配置 分之机构1的配置详解
1、配置本地IKE本地用户名
ike local-name fenzhi1
2、配置ACL acl number 3001创建序号3001的高级访问控制列表
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 分之1到总部内网网段的VPN触发策略
3、配置IKE安全提议
ike proposal 10创建名称为10的IKE安全提议 authentication-algorithm md5选择加密的算法为md5
4、配置IKE PEER ike peer a创建名称为a的IKE PEER exchange-mode aggressive模式选择野蛮模式
pre-shared-key 123456
IKE协商的密钥为123456 ike-proposal 10绑定IKE安全提议
undo version 2选择V1的版本
local-id-type name使用野蛮模式的IKE local-name验证 remote-address 119.97.240.106总部的外网地址 nat traversal打开NAT穿越
5、创建IPSEC安全提议
ipsec proposal tran1创建名称为tran1的IPSEC安全提议
esp authentication-algorithm sha1选择安全算法为哈希算法sha1
6、配置IPSEC安全策略
ipsec policy map1 10 isakmp创建名称为map1的策略
security acl 3001绑定触发ACL ike-peer a选择前面创建的ike-peer a proposal tran1选择前面创建的IPSEC安全提议tran1
7、在外网接口上应用IPSEC安全策略 interface Ethernet0/0/0 ip address 59.175.185.126 255.255.255.0 ipsec policy map1应用map1的IPSEC VPN策略
8、NAT策略配置。
nat-policy interzone trust untrust outbound进入NAT配置视图
policy 1
策略1(这是优先级,数字越小越优先)
action no-nat不做NAT转换
policy destination 172.16.0.0 0.0.255.255目的地址为172.16.0.0/16不做NAT转换
policy 2策略2
action source-nat基于源地址的转换
policy source 192.168.1.0 0.0.0.255源地址为192.168.1.0/24做NAT转换
easy-ip Ethernet0/0/0转换的外网地址为Ethernet0/0/0的接口地址 # 分之2的配置参照分之1,ACL源地址改成本地内网网段,IKE本地名称重新命名;其它主要VPN主要配置都一样
(三)配置总结
总部和分之的配置区别在于,总部采用IPSEC安全策略模板绑定到外网接口,分之机构使用安全策略。
完成所有配置后使用可以display ikesa、display ipsecsa查看ike安全联盟状态和ipsec安全联盟状态;
有这些信息就代表ipsecvpn连接成功。
三、详细配置文档(现网成功稳定运行配置文档)
1、总部的配置文档 # ike local-name qndc # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzonedmzuntrust direction inbound firewall packet-filter default permit interzonedmzuntrust direction outbound # acl number 3001 rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 # ike proposal 10 authentication-algorithm md5 # ike peer a exchange-mode aggressive pre-shared-key 123456 ike-proposal 10 undo version 2 local-id-type name nat traversal # ipsec proposal tran1 esp authentication-algorithm sha1 # ipsec policy-template map 1 securityacl 3001 ike-peer a proposal tran1 # ipsec policy map1 1 isakmp template map #
interface Vlanif1 ip address 172.16.1.1 255.255.255.0 # interface Cellular5/0/0 link-protocolppp # interface Ethernet0/0/0 ip address 119.97.240.106 255.255.255.248 ipsec policy map1 # interface Ethernet1/0/0 portswitch port link-type access # interface Ethernet1/0/1 portswitch port link-type access # interface Ethernet1/0/2 portswitch port link-type access # interface Ethernet1/0/3
portswitch port link-type access # interface Ethernet1/0/4 portswitch port link-type access # interface Ethernet1/0/5 portswitch port link-type access # interface Ethernet1/0/6 portswitch port link-type access # interface Ethernet1/0/7 portswitch port link-type access # interface NULL0
# firewall zone local set priority 100 # firewall zone trust set priority 85 add interface Ethernet1/0/0 add interface Ethernet1/0/1 add interface Ethernet1/0/2 add interface Ethernet1/0/3 add interface Ethernet1/0/4 add interface Ethernet1/0/5 add interface Ethernet1/0/6 add interface Ethernet1/0/7 add interface Vlanif1 # firewall zone untrust set priority 5 add interface Ethernet0/0/0 # ip route-static 0.0.0.0 0.0.0.0 119.97.240.105 #
nat-policyinterzone trust untrust outbound policy 1
action no-nat policy destination 182.168.0.0 0.0.255.255
policy 2 action source-nat policy source 172.16.1.0 0.0.0.255 easy-ip Ethernet0/0/0 #
2、分之1的配置 # ike local-name fenzhi-1 # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzonedmzuntrust direction inbound firewall packet-filter default permit interzonedmzuntrust direction outbound # l2fwdfast enable # acl number 3001 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 # ike proposal 10 authentication-algorithm md5 # ike peer a exchange-mode aggressive pre-shared-key 123456 ike-proposal 10 undo version 2 local-id-type name remote-address 119.97.240.106 nat traversal # ipsec proposal tran1 esp authentication-algorithm sha1 # ipsec policy map1 10 isakmp securityacl 3001 ike-peer a proposal tran1
# interface Vlanif1 ip address 192.168.1.1 255.255.255.0 # interface Cellular5/0/0 link-protocolppp # interface Ethernet0/0/0 ip address 59.175.185.126 255.255.255.0 ipsec policy map1 # interface Ethernet1/0/0 portswitch port link-type access # interface Ethernet1/0/1 portswitch port link-type access
# interface Ethernet1/0/2 portswitch port link-type access # interface Ethernet1/0/3 portswitch port link-type access # interface Ethernet1/0/4 portswitch port link-type access # interface Ethernet1/0/5 portswitch port link-type access # interface Ethernet1/0/6 portswitch port link-type access # interface Ethernet1/0/7 portswitch port link-type access # interface Ethernet2/0/0 # interface NULL0 # firewall zone local set priority 100 # firewall zone trust set priority 85 detect ftp add interface Ethernet1/0/0 add interface Ethernet1/0/1 add interface Ethernet1/0/2 add interface Ethernet1/0/3 add interface Ethernet1/0/4 add interface Ethernet1/0/5 add interface Ethernet1/0/6 add interface Ethernet1/0/7 add interface Vlanif1 # firewall zone untrust set priority 5 detect ftp add interface Ethernet0/0/0 add interface Ethernet2/0/0 # ip route-static 0.0.0.0 0.0.0.0 59.175.185.1 # nat-policyinterzone trust untrust outbound policy 1
action no-nat policy destination 172.16.0.0 0.0.255.255
policy 2 action source-nat policy source 192.168.1.0 0.0.0.255 easy-ip Ethernet0/0/0 #
3、分之2的配置文档 # ike local-name fenzhi-2 # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzonedmzuntrust direction inbound firewall packet-filter default permit interzonedmzuntrust direction outbound # l2fwdfast enable # acl number 3001 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 # ike proposal 10 authentication-algorithm md5 # ike peer a exchange-mode aggressive pre-shared-key 123456 ike-proposal 10 undo version 2 local-id-type name remote-address 119.97.240.106 nat traversal # ipsec proposal tran1 esp authentication-algorithm sha1 # ipsec policy map1 10 isakmp securityacl 3001 ike-peer a proposal tran1
# interface Vlanif1 ip address 192.168.2.1 255.255.255.0 # interface Cellular5/0/0 link-protocolppp # interface Ethernet0/0/0 ip address 172.16.235.50 255.255.255.0 ipsec policy map1 # interface Ethernet1/0/0 portswitch port link-type access # interface Ethernet1/0/1 portswitch port link-type access
# interface Ethernet1/0/2 portswitch port link-type access # interface Ethernet1/0/3 portswitch port link-type access # interface Ethernet1/0/4 portswitch port link-type access # interface Ethernet1/0/5 portswitch port link-type access # interface Ethernet1/0/6 portswitch port link-type access # interface Ethernet1/0/7 portswitch port link-type access # interface Ethernet2/0/0 # interface NULL0 # firewall zone local set priority 100 # firewall zone trust set priority 85 detect ftp add interface Ethernet1/0/0 add interface Ethernet1/0/1 add interface Ethernet1/0/2 add interface Ethernet1/0/3 add interface Ethernet1/0/4 add interface Ethernet1/0/5 add interface Ethernet1/0/6 add interface Ethernet1/0/7 add interface Vlanif1 # firewall zone untrust set priority 5 detect ftp add interface Ethernet0/0/0 add interface Ethernet2/0/0 # ip route-static 0.0.0.0 0.0.0.0172.16.235.1 # nat-policyinterzone trust untrust outbound policy 1
action no-nat policy destination 172.16.1.0 0.0.0.255
policy 2 action source-nat policy source 192.168.2.0 0.0.0.255 easy-ip Ethernet0/0/0 #
第二篇:华为USG的PPOE的经典配置
介绍关于华为防火墙USG.PPPoE的配置。
PPPoE典型应用:
1.用户使用操作系统自带PPPoE客户端拨号,自己独享账号上网。
2.用户使用桌面网络设备(路由器/防火墙)等拨号。
3.使用NAT对内部网络地址进行转换。并对内部网络用户启用DHCP,实现用户网络多台设备共享一个账号上网。
4.本文模拟应用2的网络模式,使用USG2110做拨号客户端,USG3000模拟运营商的宽带接入设备。在USG3000上起Loopback口3.3.3.3模拟Internet应用,PC上启用DHCP。
二.PPPoE客户端(USG2110)配置
1.配置内网用户网关地址和DHCP Server
interface Ethernet0/0/1
ip address 192.168.1.1 255.255.255.0 2.为内网用户配置DHCP Server,为内部用户分配IP地址
dhcp enable
dhcp server ip-pool 1
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.1
dns-list 11.1.1.1
dhcp server forbidden-ip 192.168.1.1 3.设置PPPoE拨号参数
dialer-rule 1 ip permit
//配置拨号访问控制列表,匹配上才触发拨号
interface Dialer1 //创建一个dialer口
link-protocol ppp
//拨号的用户名密码,由于不知道对端到底采用PAP还是CHAP,所以最好两个都配上
ppp pap local-user huawei password simple huawei123
ppp chap user huawei
ppp chap password simple huawei123
ip address ppp-negotiate //配置地址由对端宽带接入设备分配
dialer user huawei //配置触发拨号的用户
dialer-group 1
//这个数字与dialer-rule编号一致
dialer bundle 1 //配置此拨号串编号
4.将dialer口绑定到出接口上,数字与dialer bundle一致
interface Ethernet0/0/0
pppoe-client dial-bundle-number 5.将相关接口加入域
firewall zone trust
add interface Ethernet0/0/1
firewall zone untrust
add interface Dialer1 6.配置域间包过滤和NAT转换,采用easy ip方式,出口采用dialer口
acl number 3001
rule 5 permit ip source 192.168.1.0 0.0.0.255 logging
firewall interzone trust untrust
packet-filter 3001 outbound
nat outbound 3001 interface Dialer1 7.配置默认路由,由dialer口出去
ip route-static 0.0.0.0 0.0.0.0 Dialer1 8.开启trust和untrust区域到local区域的默认包过滤
firewall packet-filter default permit interzone local trust
firewall packet-filter default permit interzone local untrust
三、PPPoE服务器端(USG3000)配置 1.开启默认包过滤
firewall packet-filter default permit all 2.配置PPPoE Server参数
interface Virtual-Template1
//创建一个VT接口
ppp authentication-mode pap //采用的认证方式
ip address 1.1.1.1 255.255.255.252 //配置VT口的IP地址
remote address pool
//为客户端分配的地址
interface GigabitEthernet0/2
pppoe-server bind Virtual-Template 1 //将VT口绑定到实接口上 3.loopback口模拟Internet应用
interface LoopBack0
ip address 3.3.3.3 255.255.255.255 4.将VT口加入域,实接口可不加
firewall zone trust
add interface Virtual-Template1
5.配置本地的用户信息库,为客户端认证的账号和密码库
local-user huawei password simple huawei123 …
6.配置地址池,客户端的地址从此池中分配
ip pool 0 2.2.2.2 2.2.3.3 7.设置静态默认路由,由VT口出去
ip route-static 0.0.0.0 0.0.0.0 Virtual-Template1
四、验证效果
1.PC上获得IP地址后,ping 3.3.3.3,查看效果 C:Documents and SettingsAdministrator>ping 3.3.3.3 Pinging 3.3.3.3 with 32 bytes of data: Reply from 3.3.3.3: bytes=32 time=2ms TTL=254 Reply from 3.3.3.3: bytes=32 time=2ms TTL=254 Reply from 3.3.3.3: bytes=32 time=2ms TTL=254 Reply from 3.3.3.3: bytes=32 time=2ms TTL=254 Ping statistics for 3.3.3.3:
Packets: Sent = 4, Received = 4, Lost = 0(0% loss), Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 2ms, Average = 2ms 2.在client上查看会话表,可查看出会话、NAT转换信息 [PPPoE-Client]display firewall session table icmp:192.168.1.2:768[2.2.2.2:13093]-->3.3.3.3:768 3.在PPPoE Client上查看PPPoE会话信息
[PPPoE-Client]display pppoe-client session summary PPPoE Client Session: ID
Bundle Dialer
Intf
Client-MAC
Server-MAC
State 3
Eth0/0/0
0018827712a7
0018828243d0
PPPUP 4.在PPPoE Server上查看会话信息,同client上对应 [PPPoE-Server]display pppoe-server session all SID
Intf
State
OIntf
RemMAC
LocMAC 3
Virtual-Template1:0
UP
GE0/2
0018.8277.12a7
0018.8282.43d0
第三篇:深圳华为面试经验总结
深圳华为面试经验总结
前两周经历了华为的几次面试,忍不住想把其中的详细经历写下来:
收到华为的面试电话让我有点意外。首先我在网上没有投任何华为的职位;其次是前不久刚刚在华为经历了一段失败的面试;再次是这次通知我的是研发中心的产品数据管理的职位。我想这个职位名称好像跟我的工作经验不沾边啊。所以我也没有抱这多大希望。反正周六没事就当去增加一些面试经验罢了。
通知的面试时间是9点,7点就从宝安出发,9点不到总算到达了华为科研中心东门。外面已经有一片面试者在等候着了。一会儿招聘部门的秘书出来了,点名后就把我们一大票人带进了我并不陌生的面试地点---食堂。
首先是大家都熟悉的笔试。按照每个人申请职位的不同给每位面试者分发不同的试卷。我以为回考一些ERP,产品BOM之类的,一看拿到的试卷就傻眼了。好像跟我的专业不符啊,这上面的题目一大部分都不会做。我赶紧跑过去找秘书MM,是不是试卷发错了啊。MM问了一下我的专业还有申请职位,又看了一下试题,说没有别的试题了,你就做这个吧,这些都是基础来的,能做多少就是多少,这个笔试也不是最主要的。
我心说:笔试还不重要?没做好后面还想有下一轮面试啊?
没办法,只好把选择题部分,还有英译汉先做了,还有一道关于BOM建构的很简单也做了,其它部分都是一片空白。交卷时候,MM说,你答的也不少嘛。汗一个……
交了试卷大概是10:50,然后就是一直在那里等。旁边的都开始在陆陆续续的面试了。到了11半时我忍不住了,跑过去跟秘书MM说:我还有没有下一轮面试啊,没有的话我先回去了。秘书MM有点奇怪的看着我:你再等等。还没有轮到你呢。没想到这一等就是到了中午吃饭的时间,于是再次免费品尝了华为食堂的饭菜。
下午休息到一点钟,其它人接着开始了下一轮的面试。我还是在漫长的等待中。问秘书MM,答曰:再等。等到差不多两点的时候,终于开始了第一轮的面试。
面试官也比较年轻,感觉上似乎表达也不是太好。说话语速很快,而且声音比较小,有几次我都没听清楚。其实面试也没聊什么。主要是我讲我以前的工作经验,中间感觉对我工作的这一块他似乎不是很了解。
半个小时后,第一轮结束。我看到面试官在打电话,隐约听到一些东西。猜到是他在跟他的小主管讲我的一些情况(因为说秘书MM说周六他的主管没来公司)。电话完了后,他又继续面试我。我想这应该算是我的第二轮面试了吧,其中也没聊到什么技术方面的问题。
谈话结束,他就从秘书那拿了一份职位申请表让我填。我想这样是表示我前面的两轮面试顺利通过了吧。职位申请表我填写的比较详细,因为我知道华为最后的审批主要是看的职位申请表以及面试官对你的评价的,简历一般是不怎么看的。所以我在填写的时候是写得比较认真比较详细的。封面的工作地区选择我是全部都勾选了,什么海外艰苦地区啊,什么国内其它城市啊,因为我想着反正也不一定面试得上。
填完以后依然是等待。而且等待的时间依然是那么漫长。不过我没想到的是,下一轮直接就是集体面试了。我看到MM在安排拼饭桌作为集体面试用。这样到集体面试开始的时候已经是下午5点多了,这个时候还剩下一共11个人参加。
于是11个人被分为两组进行团P。我这边5人,另一边6人。面试官有3位,一位是HR,另外两人是招聘部门负责人。
首先依然是个人的面试自我介绍:包括工作经历,个人优缺点,未来目标三封面内容。说实在话,我最怕这种集体面试了,我会变得很紧张,心跳会变得很快,而且表达就非常混乱。上次在生产中心我可能就是因为集体面试太紧张表现太差面试官评价不高才导致被淘汰的吧。紧张归紧张,我怎么样在心里暗示自己放松都没有用。
今天的自我介绍是轮流来的,终于轮到我了。一站起来的时候我就更紧张了。刚开始声音都有些颤抖。但是很奇怪的是,当我介绍完我的名字和学校的时候,我的紧张感一下子就消失了。我终于比较镇定地介绍完了自己。表达也还算比较清晰。
我知道这一环面试官回问到每个人对谁印象比较深之类的,文档仅供参考
13条面试经验
1、从踏进办公楼大门的那一刻起就要告别学生气的松垮和随意,暗示自己正以一个白领的身份出现在这里。在电梯、走廊、等候厅等各处都必须表现出职业人的仪表、风度和气质,与人交谈的一言一行都要有礼有节,这有利于尽快树立自信,进入面试状态。
2、在去往考官办公室的途中,自然的步态和心态有助于消除紧张。如有陪同的公司员工,不妨和他寒暄几句,问一下考官的尊姓大名,见面时的称呼问题自然解决了。
3、到达考官处后,考官很有可能仍在填写前一名应聘者的评估表,这很正常。只要按照他的要求等候片刻就好。
4、和考官的见面、问候和握手要热情大方,内在的自信和外在的自信往往是相伴而生的。
5、如果考官给你喝水,不必客气,致谢后接受就是,当然喝不喝随你。
6、寒暄是第一道程序,是正式提问前的热身。话题不外乎天气、交通、从何处得知招聘消息等等。
7、考官的问话如有不明白之处,一定要及时提问。多听一遍问题并且回答正确比不懂装懂离题万里要好得多。考官向来都很乐意重复他们的问题,这也为你思考问题并组织答案赢得了时间。
8、回答问题时语速适中,音量和音调不要太高;注意条理清晰,言简意赅,切勿离题,记住言多必失;和考官保持eye contact(眼神交流),手势和表情尽量自然。
9、考官发表个人意见时要跟上他的思路,适时简要表明自己的看法和态度。不管考官对你回答的批评有多严厉,都要敢于对自己的想法负责。答案的正确与否有时无关紧要,个人的主见和分析思路才是考官看重的东西。
10、遇到tough question(难题)时,一要自信,尽力想办法解决;二要镇静,设法用临场应变来避免冷场。
11、在坚持个人主见的同时也要注意和考官的双向沟通,否则“主见”就成了“固执”和“高傲”。
12、个人提问阶段要表现出自己对企业的兴趣,对企业发展的关心,一般一至两个就够了。问题的质量比数量更重要。
13、道别时,可尝试向考官索取联系方式,但如果考官不愿意,也不要强求。告别的礼貌用语我想也不用多说了吧。
第四篇:绩效考核实施经验总结
绩效考核实施经验总结
每逢年底年初,公司人力资源部的一项重要工作即是公司的绩效考核实施,这不仅仅是关系到每位员工年终奖金数额的事,员工更是会把这次绩效考核结果看作是对过往一年工作的评价,因而无论是公司领导抑或普通员工,都会对这次考核表现出极大的关注,这种关注会成为人力资源部组织这项工作的动力,也会成为一种压力。而人力资源部的“绩效经理”、“绩效专员”岗位工作者作为绩效考核组织实施的“一线推动者”,其感受到的压力更是直接而特别的。通过多个企业考核实施“一线推动者”在实际实施过程中提出的问题进行汇总,尝试站在组织的角度对问题进行分析,并对考核实施“一线推动者”提出解决的参考建议。
问题一:对于绩效考核效果的质疑
考核实施的“一线推动者”在整个考核实施过程中,受到员工的最大质疑即是“绩效考核有什么意义?”、“绩效考核是否会流于形式?”。有的时候,这种质疑多了,不仅员工会在一开始就对绩效考核表现出“不屑”情绪,连“一线推动者”也会对自己的工作产生怀疑,进而最终产生“畏难”情绪。
分析原因,其实这种质疑的产生往往与企业过往的管理历史有关。以国有企业为例,大多国有企业在九十年代末就引进过绩效考核机制,“月度评价”、“末位淘汰”成了那个时候绩效管理中的时髦词汇。但往往都因为诸如“考核周期过于频繁”、“强制比例机制设计不够合理”、“过于强调负向激励”等考核设计中的缺陷而最终在运行了
一、两年之后销声匿迹了。因而“流于形式”成为了绩效管理中的另一个时髦词汇,也是多数老国有企业中的员工对于绩效考核的“定格式”认识。
在理解了这一点之后,对于考核实施的“一线推动者”,提出两点建议。一是,绩效考核是个长期的事,这一点不仅是“一线推动者”需要时刻提醒自己,也是需要和其它员工交流、传递的。绩效考核不像“竞聘”和“薪酬套改”,轰轰烈烈、排山倒海,它是个细水长流的事,贵在坚持,只有时间久了,才能够发现员工的工作行为慢慢转变了,内部的工作文化慢慢形成了,因而无论考核实施的“一线推动者”还是普通员工,都不该过早的给考核下“没有效果”、“流于形式”的判断,这是要时刻提醒的。而考核实施也该是本着长远考虑的角度来操作的,这便是提出的第二点建议,即绩效考核要一步一步的推进,在推进的过程中要修正,要完善。分析老国有企业在过往绩效实施中出现的问题,很大程度上就是期望一次把绩效考核做得完善,诸如运用“指标”、全部“量化”、“月度”考核、“末位淘汰”„„但实际当时的很多企业并不具备这样实施的条件,比如缺少相应的数据积累无法形成指标,形成了指标也难以量化,管理基础较弱而月度考核占用过多管理资源,在这样“强行”实施的考核结果下出来的考核结果必然会受到质疑,但是“末位淘汰”的机制摆在那又会成为管理者的难题„„这样的考核必然会导致最终的流于形式。因而,在新一轮推行绩效考核时,需要认清管理的现状和公司的特点,可以尝试着逐步推进的考核方式。比如某些企业管理资源有限,先采用季度甚至半的考核方式;有些企业绩效目标难以制定,先采用部分目标量化结合绩效总结的方式考核;有些企业现阶段还不适合搞全员绩效考核,就先把干部述职作起来。找准某个切入点,先把绩效考核作起来,然后再在考核实施的过程中再不断修正,不断补充,不断完善。
问题二:如何保证绩效实施按时间进程顺利推进
考核实施的“一线推动者”在整个考核实施过程中最重要的一项职责即是按照绩效考核的时间要求,顺利推进每一步工作。但是烦琐的“发表”、“收表”、“汇总数据”,都会成为绩效实施顺利推进中出现的一只只“拦路虎”。一方面,公司内部正常运营工作紧张,各部门都会强调,工作是第一位的,不能因为绩效实施耽误了正常的经营工作;另一方面,“发表”、“收表”、“汇总数据”这类工作往往是考核实施的“一线推动者”承担,他们在企业中的层级往往不会太高,在催促其他部门及时完成绩效工作时往往都是在面对“上级”,处于劣势地位。因而,在一部分国企,尤其是刚刚开始建立绩效考核机制的国企,实施进程总是会显得有些拖沓,不太顺利的。这也是考核实施的“一线推动者”在绩效实施过程中压力的一大来源。
通过多个国有企业的考核实施过程中面临的这类问题进行分析总结,发现这种情况多发于新建立绩效机制的企业,在这类企业中尚未形成绩效文化,大家对于绩效考核的理解和重视程度还不足,对于具体的操作办法也掌握的不够深入。
基于这样的分析,对于考核实施的“一线推动者”提出两点建议。第一,明确各个主体在绩效考核实施中的扮演的角色和相应的责任。在绩效考核的实施过程中,领导支持对于考核的顺利推动起到了至关重要的作用。在考核的过程中,公司领导需要对考核的整体原则及实施方案进行把握,公司中层管理者是绩效考核实施的中坚力量,需要承担考核的评价和考核的反馈工作。而人力资源部则是负责绩效考核中的各具体实施环节。这种责任的明确使得绩效考核的工作有效的落实到了公司各层面,而不是把全部的压力集中在人力资源部。同时,这种角色和责任的明确,也促进了员工对于绩效考核的理解,明确了自己在绩效考核中的角色和应该承担的责任。从而帮助人力资源部在绩效实施推进中能够更顺利一些。第二,为了达成绩效考核工作的顺利推进,建议人力资源部多做一些“服务性”的工作。很多时候,如果留心一些,会听到员工在绩效考核工作中抱怨“绩效考核总结不好写”,“绩效评估办法不清晰”等。这些往往会成为耽误绩效考核时间进程的关键影响因素。这就提示了绩效考核组织实施的“一线推动者”通过一些细节性的工作,促进绩效考核的顺利推动。比如在绩效考核之前制定详细的考核日程安排,并且明确各主体在里面需要承担的角色和提交的工作成果,事先做好沟通和时间确认工作;在绩效考核实施的过程中,提前一到两天单独提示某些可能造成“时间拖沓”的主体按时完成工作,并主动询问是否存在某些问题或困难;细化考核环节中的各类表格,包括将表格中填写的内容细化、具体化。空泛项目的表格总是不如具体项目的表格填写起来容易。包括在表格中填写样式、样例等;在考核实施每个阶段工作完成之后,及时向部门经理或公司领导汇报相关的进展情况,以便于采取相关的工作举措;在绩效反馈环节,除了明确反馈工作的时间要求,提供给反馈者其下属的绩效考核成绩外,同时提供一些绩效反馈中运用到的沟通技巧,甚至在必要时整合一定的资源也加入了此次反馈工作中;这些细致的工作可以有效的帮助考核实施的“一线推动者”顺利的推进绩效考核工作。当然,如果公司有条件,通过运用HER等人力资源管理系统,能够有效的控制绩效考核实施过程中的工作进程和工作质量,对于绩效考核实施按照时间进程顺利推进能够起到事半功倍的作用。
问题三:绩效考核成绩处理中的技术问题
在绩效考核实施的整个过程中,考核实施的“一线推动者”除了担任“组织
实施”的工作,还要承担一部分的专业技术工作。对多个国有企业的考核实施过程中面临的这类问题进行分析总结,发现集中的技术工作或者说是“技术难题”是对于绩效考核分数的处理,准确的讲,是对于多个评估主体参与评估后形成的考核分数差异的处理上。
在绩效考核实施的工程中,往往存在着评估主体不同的情况。比如各部门经理评估自己部门的员工,各分管领导评估所分管领域的员工,或者由于工作关联关系不同,不同的员工对于与自己有工作关联的员工进行评估。这种分管、关联关系的评估必然会造成多个评估主体,由于个人打分习惯不同,评估所把握的尺度不同,评估分数之间存在一定的不可比性。而分数会直接关系到员工的“绩效工资”、“奖金”,因而也成为人力资源部最“紧张”的问题之一,也会成为员工中提出“公平质疑”的问题之一。针对这一问题,给考核实施的“一线推动者”提出三点建议。首先,在绩效评估中尽量的采取有“交集”的评估主体,同时尽可能的采取“大样本量”。评估分数之间存在一定的不可比性,其主要原因是多个评估主体,个人打分习惯不同,评估所把握的尺度不同所造成的。那么如果各评估主体中的交集越大,其评估一致性的可能性也越大。如分管副总的参与会平衡到多个部门,而员工采取全员评估方式也会使得这种交集增大。当重合的样本越多,不同的样本越少,个人打分习惯不同,评估所把握的尺度所造成的差异影响会越少,评估的一致性也就比较高了。样本量大也是同样的道理。当评估的样本量越大,其由于个别评估差异所造成的影响会越小,评估的一致性也就比较高了。因而,绩效评估中尽量采取“交集”、“大样本量”的评估方式对于绩效考核中规避“差异风险”是至关重要的。其次,就是统一评估标准。有些时候,由于一些诸如被评估者的工作只被少数人了解,或者担心考核工作量过大等客观因素的存在,评估无法实现“交集”或者“大样本量”。此时,对于各评估者评价标准的统一就会成为提升评估一致性的关键举措了。尽可能的回避各评估者个人打分习惯的影响,促进对于评估尺度的把握,提升各评估者的评估一致性。考核实施的“一线推动者”可以通过“评估标准培训”、“试评估”等方式,在绩效考核打分的前期先促成评估者对于评估标准的有效统一,然后再开始真正的绩效考核评估。此时,各评估主体之间的评估差异已经在一定程度上降低,评估差异造成的评估结果不准确的风险在一定程度上被控制了。最后,在通过评估主体控制和
评估标准控制两步之后,对于评估中仍旧存在的差异,可以采取数理的方法进行校正。比较常用的校正方法包括平均数校正、组织绩效数值校正、Z分数等方法。需要值得注意的是,每一种校正方法都存在者他的假设前提。必然Z分数的校正,其前提是“认为各被校正单元是一致的”,即认为各被校正单元的绩效表现是基本一致的。只有在明确了校正前提的情况下再进行校正,才可能是有意义的校正。
通过对多个国有企业的考核实施“一线推动者”在实际实施过程中提出的问题进行汇总,发现“一线推动者”在绩效考核中面临的问题从组织实施到专业技术的各个层面。以上针对其中比较具有代表性的三个问题进行了分析,并提出建议。同时,在此给到“一线推动者”一些思想层面的建议。即在绩效考核实施中多想想“组织”,“在绩效考核中要收益什么”,再循序渐近的推动公司的绩效考核工作,再以此为基础解决绩效考核中出现的实际问题。相信在绩效考核实施的工作中,无论是对于组织还是个人,能够起到事半功倍的效果。
第五篇:实施项目经验总结
实施项目经验总结
每个单位或每个人在项目管理方面都有一套自己的管理体系,但我认为他们最终的项目管理目标都是一致的,那就是:不断的提升客户满意度,持久拥有满意的客户。那么我们做的项目多少能实现这一目标?如何管理项目才能达到这一目标?下面就我实施过的资产管理项目进行经验总结和分享,希望为其他项目提供思路和帮助。
为了持久拥有满意的客户,不仅仅需要我们按要求顺利完成项目工作,还需要在项目管理的各个环节进行把控,我在这里总结在项目管理过程中要重点关注以下几个方面:
1.要与客户建立铁杆关系; 2.制定合理、可行的项目计划;
3.组建成熟的团队并保持良好的团队氛围; 4.不断的对项目经验进行总结。
相信这几方面无论对哪个项目经理都是重点关注的部分,但具体如何去做、能做到什么程度是不同的,下面就我在项目实施过程中的一些做法和经验进行介绍。
与客户建立铁杆关系。我认为与客户建立友好关系是高质量完成项目的基础,那么如何才能与客户建立良好关系呢?
我们在做项目时本身就应该有意识,不要把客户仅仅定位在工作上往来的关系,要以朋友的定位来与客户相处。在与客户沟通的前几次非常重要,直接确定你在客户心中的印象,所以在与客户前期几次沟通交流时,我们要认真准备沟通资料,为客户留下良好的第一印象。在项目过程中,我们需要经常性的与客户沟通、交流,不断的加深与客户之间的感情,同时也需要我们具有较强的业务知识和技术能力,通过这些知识和能力确定我们在客户心中的专家地位,让客户对我们所要做的事放心。
除项目上的工作事项之外,我们可以尽可能的为客户分担一些力所能及的事情,帮助他们做一些小事,这样也能让加强客户与我们之前的关系,使他们信赖我们、依赖我们。
在资产管理项目中,我就深刻体会到与客户关系的重要性。通过我较强的业务知识和技术能力,以及丰富的实施经验,使我更快的得到了财政厅资产处各位领导的信赖和认可。在工作中与资产处的王伟东科长经常进行沟通、交流,除了帮助他解决一些资产管理工作上的问题,还常常帮助完成一些其他力所能及的小事(比如:帮助编写一个通知文件、帮助修理电脑等),使我和王科长之间建立了铁杆的关系,也通过王科长让我与资产处其他人员的友好关系逐步加深。正是这种铁杆关系,客户在工作中也替我们考虑,共同面对工作中的困难,帮助我们解决项目中遇到的困难,这也是项目顺利完成的重要保证。
制定合理、可行的项目计划。项目成功的三大法宝是计划、计划、计划,凸显项目计划的重要性。不仅是项目管理,任何工作都需要一个良好的工作计划,只有合理、可行的计划才能保证项目的顺利进行和高质量的完成,进而提升客户的满意度。
那么应该如何制定计划呢?有的项目经理认为计划制定是不切实际的,其实不然,如果计划都不知道怎么做或觉得没有意义,那就不是一名合格的项目经理。项目计划是在项目前期根据时间、资源和各种因素进行制定的,并且需要与客户进行确认达成共识。另外,项目计划制定不仅仅需要根据实际情况,也需要有丰富的经验来支撑。
资产管理项目的计划制定也是项目顺利完成的一个要素。在项目计划制定时:第一,考虑到项目中具体工作内容、时间和资源的约束性,按照以往的工作经验制定了初步的实施计划;第二,与客户进行确认。在初步计划形成后,与客户进行沟通确认计划是否可行,从客户方考虑计划的合理性和可行性,同时也是与客户确认工作的环节,保证客户对我们每个环节工作的熟知和认可;第三,公司内部专家评审。在最终与客户敲定计划后,由公司内部项目监管组和专家对项目计划进行评审,以保证项目计划中的时间、资源和成本上达到要求,以确保项目计划的可行、合理和完整性。经过以上三个环节的确认,形成了最终的项目计划,为后期项目工作提供基线和指导,同时也能对项目的每个环节的工作进行监督,保证项目按要求、高质量的完成。
组建成熟的团队并保持良好的团队氛围。人力资源短缺一直是我们资产管理项目的一个问题,但并不是说人员充足就能保证项目的顺利完成,也不能说人员短缺肯定造成项目失败,关键还需要有成熟、成型的团队,这样才能保障项目顺利完成。那么这样的团队应该如何建立、如何管理呢?如何才能保证良好的团队氛围呢?
所以需要大量的、高质量的实施人员投入,但是吉林省没有人力资源进行投入,所以前期我们花费很大的精力进行人员招聘、团队组建和团队的管理,虽然在这方面投入了很大的工作量,但后期证明前期的投入在后期是有明显的效益的。在团队初步形成时,一方面加强人员业务、技能及工作方法的培训,制定完整的培训体系、考核体系及工作规范,保证团队成员个人能力迅速提升,尽快投入到实际工作当中;另一方面,让团队成员投入到实际工作当中,让团队成员承担一定的工作,并给予实际的工作指导,使他们找到自己工作位置的同时,在实际工作中不断加强自己的个人能力。通过以上重点培训、建立规范和工作实践,提升了团队成员的整体实力,进而形成了一个成熟的项目团队,为项目实施提供了有效的保障。对于成熟团队的管理,我是以身作则,保持积极、热情的工作态度去带领组员开展工作,在工作中不断在工作技能和方法上给予指导,帮助他们明确工作目标;在生活中也与他们成为兄弟,通过各种活动加强团队成员间的关系,提升团队的凝聚力。
也正因为形成这样成熟的、富有热情的团队,得到了客户的充分认可,是客户对我们的工作放心,提高了客户对我们公司的总体印象和满意度。
不断的对项目经验进行总结。项目实施不仅需要项目组成员有精通的业务知识和专业技能,还需要有丰富的经验,从项目管理角度来说,现在项目经验越来越具有指导意义和参考价值,所以我们在做完项目时需要进行经验总结,对项目过程较好的经验进行总结分享,对项目过程中的问题进行分析整理,并对项目过程文档进行整理归档,为其他项目提供参考。
资产管理项目的开展,我也是吸取了在资产管理项目的实施经验,对资产管理项目的实施提供了一定的帮助。虽然项目顺利的完成,但在项目过程中也存在很多问题和教训,但我们在项目过程和结束后,对项目的总体实施经验进行总结,对项目过程中的问题进行了详细的分析总结,即加强了项目组成员对项目管理知识和流程的掌握,又形成了可参考的过程文档和项目经验。也正因为这些过程文档和项目经验,为吉林省各市、县(区)资产管理项目的实施提供有力参考,保证了其他项目的顺利完成。所以在我们实施项目时,不仅要参考其他项目的经验和过程资产,也要对实施过的项目进行经验总结和经验分享,使我们在后期实施项目时有所依据、有所参考,保证实施项目的顺利完成。
持久拥有满意的客户。在激烈的市场竞争中,高质量的服务越发重要,持久拥有满意的客户应该是我们项目管理的最终管理目标,是企业发展壮大的基石、是防止客户流失的最大屏障、可以带来良好的口碑和树立牢固的服务品牌。在实施项目过程中我们要以此为目标,注重项目管理的每个环节,努力不断的提高客户满意度。
以上就是我根据实施项目经验总结的几个重要方面,希望为其他项目提供参考。同时也希望从其他项目学习更多的经验,以保证我们的项目越做越好,以实现持久拥有更多满意的客户。
点击咨询 