文章图片
文章图片
文章图片
文章图片
某客户的华为防火墙已经工作了十几年 , 最近有点不正常 , 每个月总有那么几次断网 , 接口会自动down , 而且每次只能重启了事 , 但是防火墙重启时间长 , 次数多了总觉得影响办公 。
由于体制原因 , 申请采购的时间周期会比较长 , 尤其是在如今这个形势下 。
客户问我要个临时的解决方案 , 于是我就出了个歪招 , 被客户好好地夸了一番 , 嘿嘿 , 本着分享的精神 , 这事儿也不私藏 , 说穿了 , 也很简单 。
现场不允许拍照 , 配置更不允许截图或者导出 , 所以只能回来用模拟器还原 , 特此说明 。
原来的拓扑大致如此 , 就是防火墙上面连接光猫 , 下面则连着核心交换机 , 我就简化一下了 , 能达到目的就行 。
防火墙是全公司唯一出口网关 , 一出问题当然全都没网了 , 大多数单位都是这样 , 能做防火墙双出口的 , 毕竟不多 。
我的歪招就是:把我们做实验用的华为AR路由器借给他们 , 和华为防火墙组成VRRP , 平时上网流量还走防火墙出去 , 如果防火墙接口又down , 那就自动切换到路由器出去 , 等防火墙接口恢复后 , 流量又回到防火墙 。
增加路由器后的拓扑图如下:
一、防火墙修改配置interface Vlanif10
ip address 192.168.10.1 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.10.254 active //创建VRRP组1 , 并且指定虚拟IP , 指定防火墙为主设备
service-manage ping permit
#
interface Vlanif20 //vlan20配置同理
ip address 192.168.20.1 255.255.255.0
vrrp vrid 2 virtual-ip 192.168.20.254 active
service-manage ping permit
#
其他配置没有改动 , 就不贴出来了 , 这不是本文的重点 。
二、交换机修改配置interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10 20
无非就是找个接口 , 连接路由器 , 然后放行两个VLAN , 需要说明的是 , G0/0/1接口原来也是trunk接口 , 同样放行了这两个VLAN , 原来网关在防火墙上 , 现在改为用虚拟IP作为网关 , 所以VLAN的IP地址池 , 也要做相应的修改:
ip pool vlan10
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
excluded-ip-address 192.168.10.1 192.168.10.10
excluded-ip-address 192.168.10.200 192.168.10.253
dns-list 114.114.114.114
#
ip pool vlan20
gateway-list 192.168.20.254
network 192.168.20.0 mask 255.255.255.0
excluded-ip-address 192.168.20.1 192.168.20.10
excluded-ip-address 192.168.20.200 192.168.20.253
dns-list 114.114.114.114
其实更完美的做法是:不去改变用户已经获取到的网关IP , 而是在配置VRRP的时候 , 就用原来的网关IP作为VRRP的虚拟IP , 这样的话 , 用户就不必执行重新获取IP的操作了 。
但是 , 我们是在晚上配置 , 所以其实无所谓 。
三、路由器的配置:先配置PPPOE拨号上网 , 光猫支持多拨 , 所以防火墙和路由器同时接在光猫上 , 同时拨号不会有任何问题;
- 卫星上网|通过卫星全球上网是未来趋势
- 淘宝|淘宝店铺流量不稳定怎么办?打造鱼塘,培养老客户!
- 路由器中的装甲兵,用4G卡愉快上网——有人物联网工业级路由器
- 火狐浏览器|中国网友最喜欢的上网操作,被这浏览器封杀了
- |手机使用数据流量上网,这6个开关要尽快关闭,不然几个G都不够用
- 苹果|黑客能在网吧免费上网吗?
- CPU|软路由怎么选?软路由越贵越好?上网软路由硬件选择
- 网吧|黑客能在网吧免费上网吗?
- 京东|799元 京东云无线宝AX6600雅典娜开抢:边上网边“赚钱”
- 家长|孩子在家上网课“摸鱼”咋办