1. 首頁 > 科技 > >

防火墻|防火墻上網不穩定,我出了個歪招,客戶夸我會辦事

網絡安全路由器數碼交換機防火墻上網流量

防火墻|防火墻上網不穩定,我出了個歪招,客戶夸我會辦事

文章圖片

防火墻|防火墻上網不穩定,我出了個歪招,客戶夸我會辦事

文章圖片

防火墻|防火墻上網不穩定,我出了個歪招,客戶夸我會辦事

文章圖片

防火墻|防火墻上網不穩定,我出了個歪招,客戶夸我會辦事

文章圖片

防火墻|防火墻上網不穩定,我出了個歪招,客戶夸我會辦事

某客戶的華為防火墻已經工作了十幾年 , 最近有點不正常 , 每個月總有那么幾次斷網 , 接口會自動down , 而且每次只能重啟了事 , 但是防火墻重啟時間長 , 次數多了總覺得影響辦公 。
由于體制原因 , 申請采購的時間周期會比較長 , 尤其是在如今這個形勢下 。
客戶問我要個臨時的解決方案 , 于是我就出了個歪招 , 被客戶好好地夸了一番 , 嘿嘿 , 本著分享的精神 , 這事兒也不私藏 , 說穿了 , 也很簡單 。

現場不允許拍照 , 配置更不允許截圖或者導出 , 所以只能回來用模擬器還原 , 特此說明 。
原來的拓撲大致如此 , 就是防火墻上面連接光貓 , 下面則連著核心交換機 , 我就簡化一下了 , 能達到目的就行 。
防火墻是全公司唯一出口網關 , 一出問題當然全都沒網了 , 大多數單位都是這樣 , 能做防火墻雙出口的 , 畢竟不多 。
我的歪招就是:把我們做實驗用的華為AR路由器借給他們 , 和華為防火墻組成VRRP , 平時上網流量還走防火墻出去 , 如果防火墻接口又down , 那就自動切換到路由器出去 , 等防火墻接口恢復后 , 流量又回到防火墻 。
增加路由器后的拓撲圖如下:

一、防火墻修改配置interface Vlanif10
ip address 192.168.10.1 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.10.254 active //創建VRRP組1 , 并且指定虛擬IP , 指定防火墻為主設備
service-manage ping permit
#
interface Vlanif20 //vlan20配置同理
ip address 192.168.20.1 255.255.255.0
vrrp vrid 2 virtual-ip 192.168.20.254 active
service-manage ping permit
#
其他配置沒有改動 , 就不貼出來了 , 這不是本文的重點 。
二、交換機修改配置interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10 20
無非就是找個接口 , 連接路由器 , 然后放行兩個VLAN , 需要說明的是 , G0/0/1接口原來也是trunk接口 , 同樣放行了這兩個VLAN , 原來網關在防火墻上 , 現在改為用虛擬IP作為網關 , 所以VLAN的IP地址池 , 也要做相應的修改:
ip pool vlan10
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
excluded-ip-address 192.168.10.1 192.168.10.10
excluded-ip-address 192.168.10.200 192.168.10.253
dns-list 114.114.114.114
#
ip pool vlan20
gateway-list 192.168.20.254
network 192.168.20.0 mask 255.255.255.0
excluded-ip-address 192.168.20.1 192.168.20.10
excluded-ip-address 192.168.20.200 192.168.20.253
dns-list 114.114.114.114
其實更完美的做法是:不去改變用戶已經獲取到的網關IP , 而是在配置VRRP的時候 , 就用原來的網關IP作為VRRP的虛擬IP , 這樣的話 , 用戶就不必執行重新獲取IP的操作了 。
但是 , 我們是在晚上配置 , 所以其實無所謂 。
三、路由器的配置:先配置PPPOE撥號上網 , 光貓支持多撥 , 所以防火墻和路由器同時接在光貓上 , 同時撥號不會有任何問題;

相關經驗推薦