记一次“血”的教训

周五下午去更换设备跟上架AC设备

客户那边的要求是将奇某信的AF更换为深信服AF，并保持原有策略，并在原有网络架构上新添一台AC设备，说是后期领导可能会有阻断流量这个操作，但是现在只是监控流量，所有按照要求先把防火墙策略都写好，然后将AC设备进行串行部署，因为旁路没有阻断流量这个功能，等后面准备上架了，发现问题了

因为原有策略都在防火墙上，新添AC后发现行不通了，所有的策略都失效了，第一时间想的就是能不能旁路部署，但是客户那边说了，只能串行，然后想到AC还是路由模式，思考片刻后决定将路由模式更改为网桥模式，但是配置地址的时候又出现问题了，因为AC是1u设备，只有四个口，配置完两个地址后，发现不行，（一开始没发现问题，后来才知道是有两根线插反了）一开始我们以为是配两个地址不行的原因，因为没有网，冷静思考后想起来AC没有写到防火墙的路由，然后由于地址写了两个，然后初始化AC设备，怕又错，就写了一个地址，然后还是不行 一起去的同事插的线，然后他也不知道为什么，把两根线互换了一下口，就好了......

这次由于过于紧张，又加上是第一次做这个，显得有点僵硬，最后客户无线访问不了管理页面，但是有线能访问，也不敢改了。第一次发表，可能有很多地方没有说清，也希望大佬们都提提建议，下面是拓补图，画功有点不好哈，将就着看吧！

新手，而且这个拓扑图太奇葩了，没有核心交换机？

这样的话AC只能做路由部署或者网桥混合部署，这样很吃硬件性能（除了做过滤，还要做路由转发），不如虚拟网线部署。

辛苦，不容易啊！！！！！！！