文章圖片
文章圖片
文章圖片
文章圖片
某客戶的華為防火墻已經工作了十幾年 , 最近有點不正常 , 每個月總有那么幾次斷網 , 接口會自動down , 而且每次只能重啟了事 , 但是防火墻重啟時間長 , 次數多了總覺得影響辦公 。
由于體制原因 , 申請采購的時間周期會比較長 , 尤其是在如今這個形勢下 。
客戶問我要個臨時的解決方案 , 于是我就出了個歪招 , 被客戶好好地夸了一番 , 嘿嘿 , 本著分享的精神 , 這事兒也不私藏 , 說穿了 , 也很簡單 。
現場不允許拍照 , 配置更不允許截圖或者導出 , 所以只能回來用模擬器還原 , 特此說明 。
原來的拓撲大致如此 , 就是防火墻上面連接光貓 , 下面則連著核心交換機 , 我就簡化一下了 , 能達到目的就行 。
防火墻是全公司唯一出口網關 , 一出問題當然全都沒網了 , 大多數單位都是這樣 , 能做防火墻雙出口的 , 畢竟不多 。
我的歪招就是:把我們做實驗用的華為AR路由器借給他們 , 和華為防火墻組成VRRP , 平時上網流量還走防火墻出去 , 如果防火墻接口又down , 那就自動切換到路由器出去 , 等防火墻接口恢復后 , 流量又回到防火墻 。
增加路由器后的拓撲圖如下:
一、防火墻修改配置interface Vlanif10
ip address 192.168.10.1 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.10.254 active //創建VRRP組1 , 并且指定虛擬IP , 指定防火墻為主設備
service-manage ping permit
#
interface Vlanif20 //vlan20配置同理
ip address 192.168.20.1 255.255.255.0
vrrp vrid 2 virtual-ip 192.168.20.254 active
service-manage ping permit
#
其他配置沒有改動 , 就不貼出來了 , 這不是本文的重點 。
二、交換機修改配置interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10 20
無非就是找個接口 , 連接路由器 , 然后放行兩個VLAN , 需要說明的是 , G0/0/1接口原來也是trunk接口 , 同樣放行了這兩個VLAN , 原來網關在防火墻上 , 現在改為用虛擬IP作為網關 , 所以VLAN的IP地址池 , 也要做相應的修改:
ip pool vlan10
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
excluded-ip-address 192.168.10.1 192.168.10.10
excluded-ip-address 192.168.10.200 192.168.10.253
dns-list 114.114.114.114
#
ip pool vlan20
gateway-list 192.168.20.254
network 192.168.20.0 mask 255.255.255.0
excluded-ip-address 192.168.20.1 192.168.20.10
excluded-ip-address 192.168.20.200 192.168.20.253
dns-list 114.114.114.114
其實更完美的做法是:不去改變用戶已經獲取到的網關IP , 而是在配置VRRP的時候 , 就用原來的網關IP作為VRRP的虛擬IP , 這樣的話 , 用戶就不必執行重新獲取IP的操作了 。
但是 , 我們是在晚上配置 , 所以其實無所謂 。
三、路由器的配置:先配置PPPOE撥號上網 , 光貓支持多撥 , 所以防火墻和路由器同時接在光貓上 , 同時撥號不會有任何問題;
相關經驗推薦
- 火狐瀏覽器|中國網友最喜歡的上網操作,被這瀏覽器封殺了
- |手機使用數據流量上網,這6個開關要盡快關閉,不然幾個G都不夠用
- CPU|軟路由怎么選?軟路由越貴越好?上網軟路由硬件選擇
- 上網流量|難怪手機流量會消耗這么快,這么不耐用,原來是這個開關沒關閉
- |百元級黑科技產品,幫你解決無寬帶上網+智能組網兩大難題
- 梁汝波|上網課你需要什么“拍檔”?為了體驗和健康,平板才是真愛
- 投影儀|堅果J10S銷量突然猛增的背后:官方推薦上網課用投影儀
- |海蘭GL40一體機多角度可調節底座 讓孩子健康高效上網課
- 4G|拉不了網線怎么穩定上網?蒲公英R300A 4G工業路由器測評
- 中關村在線|孩子居家上網課總是“摸魚”?綠廠首創平板學習空間成家長好幫手