有客户反馈,无法通过sdwan链路访问总部及其他分支机构的网络,总部的IT人员要求在核心交换机上写三条静态路由,分别到达总部和另外两个分支机构,但是,在此之前,我就看过核心交换机,这些静态路由本就存在,并未删除或者修改。
要求客户在他电脑上执行命令:tracert -d 172.16.1.254
192.168.240.254是网关IP,下一跳全是*,就是到奇安信防火墙上了,显然路径已经不对了。
因为拓扑图是下面这样的,所以下一跳应该是sdwan才对。
看了一下路由表,想到应该是优先级的问题,所有请求全部从默认路由出去了,并不会走sd-wan链路。
此时,我远程登录华为S5700交换机,发现浏览器版本太高,只能看,没办法修改,于是让客户修改默认路由的优先级为70,并且保存配置。
其实在此之前,我就让他们把优先级设置为100,但是当时我的消息可能被他们忽略了,输入命令的时候,后面的“preference 100”没打上去,导致优先级都是一样的60。
本以为修改优先级后,问题能解决,谁知道,还是无法通过sd-wan链路访问总部的网络。
Sd-wan设备无权登录,一时无法判断问题,原来的IP信息也不是很清楚,于是问客户要来核心交换机没改过配置前的备份文件,分析问题。
从配置文件看到,原vlan240的ip是192.168.240.1,那sd-wan设备就是192.168.240.2了。
核心原来的vlan1是192.168.0.0/24,现在不再使用这个网段了,核心上把VLAN1的端口全部划分到vlan240了,原来vlan1的ip是192.168.0.254,所以顺手把vlan240改成了192.168.240.254,虽然上网是没问题了,但是与sd-wan就跑不通了。
问题找到了,要么登录 sd-wan设备,修改回程路由,要么还是修改核心VLAN240的ip,还是改回192.168.240.1,但是由于客户有线网络环境非DHCP,所以得逐一修改网关IP,比较麻烦,好在台式电脑不多。
于是,趁着午休时间,核心交换机上把vlan240的IP修改为192.168.240.1,经测试sd-wan正常通讯,与总部网络通了,台式电脑逐一修改网关即可。
到此,排查结束,问题解决。
总结:修改网络设备的配置之前,首先要把需要达成的目标了解清楚,然后务必先把拓扑图画出来,关联IP地址标注清楚,理清思路后,方可实施。
顺便再提一下,其实拓扑应该改一下,更为妥当——既然有硬件防火墙,当然让sd-wan接入防火墙更有安全保障吧。
这种架构,一是提高了安全性,二是便于管理:sd-wan与互联网一样,被当做外部链路,今后无论它怎么改,都跟内网没关系。
领取专属 10元无门槛券
私享最新 技术干货