关于Juniper防火墙的PPPoE配置问题昨天上门帮客户安装调试Cisc

昨天上门帮客户安装调试Ciscoc9300交换机。傍晚，安装调试完毕，内部的SAP和邮件服务器全部正常，准备收工，没想到还是上不了网。网管说前天网络有问题找人过来想换路由器，由于找不到原来的宽带密码了，特意改了个新的密码，他叫我帮忙把设备配置修改一下。

文章图片
我定睛一看，整个内网通过Juniper的防火墙充当出口路由器。我如实相告，这款设备之前没有接触过，其实也没必要修改，直接找运营商把密码改回来就可以用了。网管说尽量自己搞定，不想再麻烦他们。看他执意要弄，我抱着试试看的心态帮忙修改配置。进入防火墙的CLI命令行模式，查看接口配置，发现ETH0/0接的是核心交换机（CiscoC9300）， ETH0/2接的是专线（固定IP ，方便跟台北联系）， ETH0/1开启了PPPoE ，接口IP地址全是0 ，我估计是拿来接上网那条宽带的。网管听了，赶紧把网线重新调整，对号入座。

文章图片
进入ETH0/1的PPPoE模式，重新配置宽带的账号和密码，有了！接口IP地址原来全是0 ，现在已经获取到了IP地址，看样子是没问题了。拿笔记本电脑试了下，还是上不了网。奇怪，究竟是哪里出了问题呢？我仔细排查，但由于不熟悉Juniper防火墙的配置方法，收效甚微。

文章图片
【关于Juniper防火墙的PPPoE配置问题】再次查看接口配置，发现ETH0/4的接口也配置了PPPoE模式，我问网管，是不是这个接口才是接宽带的？网管稀里糊涂，也搞不明白。他突然想起来手机上有前几天拍的照片，打开一看，果然插的是ETH0/4接口。于是把宽带插到ETH0/4 ，再次查看接口配置，竟然发现ETH0/1和ETH0/4都获取到了外网的IP地址。

文章图片
总算找到问题了，应该是配置错误，把ETH0/1的配置删除应该就可以了。但是问题来了，我不知怎么修改，折腾了半天，还是没有改过来。时间一分一秒过去，转眼间已到深夜。我想了想，把我自己用的那条USB转串口线留给了网管，打算白天有空再远程调试，网管同意了。这时，我突然想起几年前同学介绍的一个高级网络工程师（持有CCIE证书），赶紧跟他联系。我问他对Juniper的防火墙熟悉吗？他说还好。我简单讲了一下故障现象，然后问他在不在电脑旁边，方便的话远程帮忙看看。

文章图片
他爽快地答应了。但见他熟练地查看各种配置，过了好一会儿，他把ETH0/1的配置全部删除完毕。查看接口地址， ETH0/1的IP地址全部恢复成了0 ，只剩下ETH0/4获取到的IP地址。他轻松地说，可以了。试了一下内网的电脑，终于可以上网了！网管说，我们弄了一个晚上都没有搞定，没想到他一二十分钟就搞定了。难者不会，会者不难，看来这就是活生生的例子！