文章图片
文章图片
文章图片
文章图片
某客户的华为防火墙已经工作了十几年 , 最近有点不正常 , 每个月总有那么几次断网 , 接口会自动down , 而且每次只能重启了事 , 但是防火墙重启时间长 , 次数多了总觉得影响办公 。
由于体制原因 , 申请采购的时间周期会比较长 , 尤其是在如今这个形势下 。
客户问我要个临时的解决方案 , 于是我就出了个歪招 , 被客户好好地夸了一番 , 嘿嘿 , 本着分享的精神 , 这事儿也不私藏 , 说穿了 , 也很简单 。
现场不允许拍照 , 配置更不允许截图或者导出 , 所以只能回来用模拟器还原 , 特此说明 。
原来的拓扑大致如此 , 就是防火墙上面连接光猫 , 下面则连着核心交换机 , 我就简化一下了 , 能达到目的就行 。
防火墙是全公司唯一出口网关 , 一出问题当然全都没网了 , 大多数单位都是这样 , 能做防火墙双出口的 , 毕竟不多 。
我的歪招就是:把我们做实验用的华为AR路由器借给他们 , 和华为防火墙组成VRRP , 平时上网流量还走防火墙出去 , 如果防火墙接口又down , 那就自动切换到路由器出去 , 等防火墙接口恢复后 , 流量又回到防火墙 。
增加路由器后的拓扑图如下:
一、防火墙修改配置interface Vlanif10
ip address 192.168.10.1 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.10.254 active //创建VRRP组1 , 并且指定虚拟IP , 指定防火墙为主设备
service-manage ping permit
#
interface Vlanif20 //vlan20配置同理
ip address 192.168.20.1 255.255.255.0
vrrp vrid 2 virtual-ip 192.168.20.254 active
service-manage ping permit
#
其他配置没有改动 , 就不贴出来了 , 这不是本文的重点 。
二、交换机修改配置interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10 20
无非就是找个接口 , 连接路由器 , 然后放行两个VLAN , 需要说明的是 , G0/0/1接口原来也是trunk接口 , 同样放行了这两个VLAN , 原来网关在防火墙上 , 现在改为用虚拟IP作为网关 , 所以VLAN的IP地址池 , 也要做相应的修改:
ip pool vlan10
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
excluded-ip-address 192.168.10.1 192.168.10.10
excluded-ip-address 192.168.10.200 192.168.10.253
dns-list 114.114.114.114
#
ip pool vlan20
gateway-list 192.168.20.254
network 192.168.20.0 mask 255.255.255.0
excluded-ip-address 192.168.20.1 192.168.20.10
excluded-ip-address 192.168.20.200 192.168.20.253
dns-list 114.114.114.114
其实更完美的做法是:不去改变用户已经获取到的网关IP , 而是在配置VRRP的时候 , 就用原来的网关IP作为VRRP的虚拟IP , 这样的话 , 用户就不必执行重新获取IP的操作了 。
但是 , 我们是在晚上配置 , 所以其实无所谓 。
三、路由器的配置:先配置PPPOE拨号上网 , 光猫支持多拨 , 所以防火墙和路由器同时接在光猫上 , 同时拨号不会有任何问题;
相关经验推荐
- 火狐浏览器|中国网友最喜欢的上网操作,被这浏览器封杀了
- |手机使用数据流量上网,这6个开关要尽快关闭,不然几个G都不够用
- CPU|软路由怎么选?软路由越贵越好?上网软路由硬件选择
- 上网流量|难怪手机流量会消耗这么快,这么不耐用,原来是这个开关没关闭
- |百元级黑科技产品,帮你解决无宽带上网+智能组网两大难题
- 梁汝波|上网课你需要什么“拍档”?为了体验和健康,平板才是真爱
- 投影仪|坚果J10S销量突然猛增的背后:官方推荐上网课用投影仪
- |海兰GL40一体机多角度可调节底座 让孩子健康高效上网课
- 4G|拉不了网线怎么稳定上网?蒲公英R300A 4G工业路由器测评
- 中关村在线|孩子居家上网课总是“摸鱼”?绿厂首创平板学习空间成家长好帮手