本帖最后由 哒哒哒 于 2018-10-28 14:05 编辑
-------实施前需求确认------ 客户原有一台出口路由器,现在替换某公司的AF,做安全防护 :加油:听起来是不是超级简单,就是替换一个墙嘛,但是......
-------到现场上架设备以及确认环境------- 大概是上午到达现场,先跟客户确认下基本需求吧。 我:请问你们这边公网地址多少? 客户:不知道 我:那内网几个网段 客户:不知道 我:那你现在用的出口设备有登录方式吗,我进去自己获取下信息 客户:不知道,机柜在那边 我:路由器是哪台 客户:不知道 我:我自己找找吧  找设备中。。。。。。 我:我想我可能找到了,那你知道这个路由器的密码吗 客户:没有,我找人问下吧。 我:好的,那我先把设备上架把
-------信息获取中-------
-------基本信息已确认------- 根据原来网关设备以及信息大概拓扑如下
-------设备替换中------- 到现在为止,我们设备已经替换完成,具体如何配置,可以参考之前分享过AF网关部署上架步骤,基本上就是配置接口地址,默认路由,DHCP,代理上网,应用控制策略全部放通等。
-------测试中------- 测试结果:台式机通过有线上网正常,但是无线无法连接
------查找原因中-------
既然这样,那就找无线路由器在哪里,找了半天没找到,一抬头,吸顶式的,然后再找无线控制器,根据网线顺着找,终于找到了,就是之前被我替换掉的那台网关设备。 原来这个网关设备即做了网关也作为无线控制器使用,那么如果我把他替换掉,那么无线肯定用不了的啦,那就给他放在我的防火墙下面继续管理无线吧,然后登陆他,发现他的web控制台只能查看,不能编辑,如需修改地址或者DHCP信息需要登录到命令行界面,又偏偏我出门没带console线,只能回家拿console线,明天再来。 
--------第二天------- 提前规划的网络拓扑
------切换中------ 1、先将某公司的接口信息配置好,某公司就是简单的配配接口,回包路由之类的,重点是修改华三的配置 2、修改华三的接口信息 3、修改华三的DHCP地址池设置 4、华三上添加一个静态路由,下一跳指向某公司的lan口 配置好了之后,就切换然后测试了 。。。。。。切换中。。。。。。 测试正常,有线用户上网正常,无线上网正常 到这边以为就没事了,但是坑的还在后面
-------故障分析中------- 故障:在某公司的AF上的在线用户只有一个在线IP,就是华三设备的wan口地址,见下图
猜想:这种情况大多数是下面的设备做了转换,将内网的设备全部转换成了168.2这个地址 验证:当然上面只是猜想,那就在设备上抓个包吧,某公司是支持在界面抓包查看的,如下 然后下载打开看下 果然,所有数据的源都是H3C设备的wan口地址 看下H3C配置吧 果然,在H3C的wan口上配置了NAT,关掉即可
-------测试中------- 无线、有线上网均正常,ipsec 连接正常,看下前后对比的拓扑图 恩,发现了吧,内网的DHCP地址池变了,也就是内网的网段改了,那内网有打印机,毕竟我是个有责任心的人,要去连打印机了
| 
发表于 2018-10-28 14:05
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员1级 
