#每日一记#搭建VPN的慢速72小时

      起：11月中下旬某天，具体记不得了，因为我并没有意识到这个时间还挺重要的。客户找到我，想将单位五楼和七楼要放到一个局域网里，我说组不了，五楼和七楼的网关都是一个联通光猫管天下，怎么组？客户说，不是有个Maipu的VPN吗？这一提醒，我想起来了，我放在五层光猫下面当路由器用了，因为光猫带的用户数有限制，接入用户一多就掉线，所以，用Maipu的这个设备做DHCP服务器和代理服务器。

     一、12月6日

     1、下午16点

     接到同事电话，说今天上午在客户七层房间加了一台设备，当时部署上去没有问题，后来反馈有线上不去网，让我帮忙把设备从网络中移除。

        

      2、下午17点

      突然接到客户微信语音。

     一共两个事。

     1）上午我同事帮忙解决五楼和七楼组局域网的问题。问题没有解决，人不见了。

     2）五楼的金碟软件不能正常使用了。

     

    3、金碟登录问题

    现场了解情况，发现问题的出现不是在今天，而是在上周五。这都能产生关联？

    经过排查，发现是授权问题。

   

    4、客户二催

    一催是打电话给我，二催是微信。

   

     5、我的自白：一脸蒙。什么情况？哪里来的设备？我怎么不知道？啥设备这么牛逼，直接放里面就能组网？

     二、12月7日

     1、13：00

     三催

     

      上午一堆事，事情又拖了。拖不了了，再拖我心理就随不了了。

    2、15：00

    了解下进度。VPN没有组建起来，网还一直不稳定。

    看看我们这边是什么神仙设备？

   

    比21厘米长的本子长5公分的塑料盒子两台，用这组VPN？

    我直接致电400，问下支不支持非公网环境下组建VPN。

    400说，两端必须都是公网环境才支持。

    了解下五层的网络环境：

    PPPOE拨号，获取的是私网IP。

   

    了解下七层的网络环境：

     PPPOE拨号，获取的是公网IP。

     

    3、16：00

    了解了现场环境，设备情况，网络情况。综合官方反馈，有两个方案。

    1）VPN组网

     a.七层XMG-3200

     只需要填入密码，不需要用户名。

     

    WAN口配置：

   

    LAN口配置：

   

    动态域名：

    因为没有公网IP，先申请域名。

   

   IPSec VPN配置：

   

   

   

    b.五层的XMG-3200

    这个不再缀述了。

   c.排查

   我以为这样就行了，后来发现是too young too simple。

   动态域名要在有公网IP的情况下才能实现。即动态域名负责将域名解析成公网IP，XMG在内网，出口设备没有做地址映射的情况下是实现不了VPN互访的。

    动态域名只是解决PPPOE拨号情况下，公网IP变动的问题，解决不了映射的问题。

    但是在联通光猫上配置了如下策略，怎么也不生效。

   

   2）专线

   即然VPN走不了，我走专线。

   两个小时，我们在七层和五层中间的竖井管道里拉了一根50米的专线。

   

     三、12月8日

     1、9：30

      给七层的终端配置无线网卡。

     因为七层的既要访问七层的服务器，又要访问五层的服务器。这样，通过无线访问七层的服务器，通过有线访问五层的服务器。

    配置完成后，客户说会不会增加楼下交换机的负载，而且现在七层的终端数量少，担心后期增加会产生问题。

     2、配置优科路由器

     先看看外观

      

     我们将其SSID和接入密码保持与七层的光猫一致，保证用户终端无感知。

     登录使用：

     https://192.168.0.1，super/sp-**。

     接口不需要改，保持默认。这个默认是没有NAT功能的。

     

     配置SSID和接入密钥：

     

    注意：老设备，只能使用IE登录，其他浏览器登录不报错，但登录不成功。

    四、注意

    1、XMG-3200一台奇葩的设备，我估计80%的原因是因为我不会用。

    关机之后，再登录需要用troubleshoot扫描设备重新配置IP才可以。

   

    配置IP。

   

   

   配置完成（我配置了4次）后，从WAN口使用此IP登录。

   2、XMG-3200只有管理日志日志，没有系统日志及报错日志。

   导致排查问题时，不知道哪里出了错误。

    3、拉完七层到五层的专线后，有想将七层的交换机和五层的交换机直连，给终端配置一个第二地址就解决问题了。后来担心一个网络中有两台DHCP服务器，导致终端地址冲突，于是两台交换机不直连，新增一台hub放在七层业务终端和五层的来线中间。

   4、后续：

   将XMG替换了七层的联通光猫，直接做出口。在400-2063及其他同事的协助下，搞通了。

   ----------------------------------------------------

   ----------------------------------------------------

    五、IP冲突

    1、问题

     客户反馈内网存在IP冲突。

     

     

   2、在交换机上开启跨三层MAC识别。

   由于AC与终端之间存在三层交换机。我们需要先在交换机上开启SNMP。

   

    3、静态ARP绑定

    所属VLAN：

    终端IP与MAC：

    绑定完成：

   

    4、清除终端

    报错：

   

   

    原因：多次登录，没有正常退出。

    关闭：clear line console 0

   

    5、AC上配置跨三层MAC识别

   

   六、交换机故障

   1、现象

    SW-5024交换机连接AP的接口灯不亮。

   

   2、替换故障SW

   5024的波特率是38400。

   3、替换后AP不上线

   3.1   在NAC控制器上发现AP离线。

   

   3.2   在调试选项里搜索不到该AP。

   

   3.3   电脑连接POE交换机测试是否能获取到IP

   

  3.4   指定AP的无线控制器地址

  AP获取的是192.168.11.0/24网段的IP，而控制器的地址是192.168.30.254，怀疑SW交换机故障后，部分AP找不到控制器。

  通过trouble shooting工具批量指定控制器AP。

  

  AP全部上线正常。

  

果然是高手在民间，楼主帖子写的不错，很有参考价值，还想看更多精彩分享，期待楼主下一篇好帖！

楼主帖子写的不错，很有参考价值

感谢分享，有助于工作，学习了！！！

感谢分享，有助于工作，学习了！！！

向大佬们学习！！！！！！！！！111

感谢分享，有助于工作

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

感谢楼主的精彩分享，学习学习。

感谢大佬精彩分享，每日打卡！！！