【原创分享计划】+ 记一次防火墙部署给自己挖的坑

>>【原创分享计划2】分享技术经验，赚上千元稿酬！

【前言】

       大约在一个月前，有位客户需要增加一台防火墙，由于他们路由器配置比较复杂，业务也比较繁忙，只有一个小时的断网时间。经过跟客户协调沟通之后，决定暂时把防火墙作透明部署，先把设备用起来。

       现在，客户要求把防火墙作为网关，替换原来的的路由器。由于前期已经去过现场实施，已进行开局基本配置，跟客户沟通之后，决定远程协助配置。

【拓扑说明】

【配置步骤】

1.首先查看端口现有的状态

(从图中看出eth1口和eth2口为透明接口，剩下eth0和eth3口还没使用。由于是远程操作，直接把端口改了会导致网络中断，为了能保持网络畅通顺利远程，因此启用eth0为内网口，eth3口为外网口)

2.更改端口类型，设置区域，配置IP

3.新增默认路由，指到运营商所提供的网关IP

4.新增源地址转换的NAT地址转换规则

5.增加应用控制策略

6.开启DHCP服务，使下面的电脑能获取到地址

7.通过以上一轮操作后，理论上来看应该是可以上网了(安全配置先忽略，先把网络弄通)。

【测试现象】

1.在电脑上运行ipconfig命令，看获取IP是否正常

（IP地址能正常获取，证明DHCP配置没问题，从电脑到防火墙这段网络没问题）

2.ping网关地址，却发现不通

3.用浏览器登录防火墙，发现也登录不上

【解决思路】

1.由于用eth0(也就是manage口)接内网，防火墙管理口的默认IP10.251.251.251是不能删除的。那就可以在本地电脑上增加多一个IP，使得先能登录防火墙排障

2.正常登录防火墙后，打开命令控制台看下arp，发现有问题

（eth0和VLAN1两个接口都有本机IP192.168.1.10的arp表项）

3.用命令控制台看下路由表

（在路由表中也看出往192.168.1.0网段竟然有两个接口，不正常）

4.用命令控制台看下VLAN1接口

（果然，VLAN1接口配了192.168.1.3的IP地址，与eth0同一网关，冲突）

5.把VLAN1接口删掉，原来VLAN1接口是设置给透明模式作管理接口用的

6.重新查看ARP，终于正常了

【总结】

     由于是远程协助配置，为了能登录到防火墙配置，因此不能把之前的配置清空，包括透明模式的管理口IP。实际配置好了以后，却由于内网口的网段冲突导致设备不能访问。因此，必须在配置完成后把VLAN接口删除。

     另外，也许还有人会问：既然一台设备两个接口配同一个网段会冲突，为什么在最开始配置eth0口时不会立即断网呢？我觉得应该是eth0口在还没有启用之前，没有生成新的arp表项，arp缓存一直保留，所以才直到测试时才发现有问题。

其实当时配置网桥的时候应该知道VLAN1是配了192.168.1段的地址，只是忘记了才给自己挖了个坑

感谢楼主分享，看楼主这个问题最主要的原因是在两个路由属性的接口（ｅｔｈ０和ｖｌａｎ１）配置了同一网段地址，生成两条同网段但不同出接口的直连路由导致。
目前AF可以支持不同路由口配置同网段地址，理论上这种使用场景非常少，但我们调研后发现也是存在的，而有用户在实际使用，所以后续我们会继续保持这种配置方式，但会考虑加上弹窗告警的模式，当在不同路由属性接口上配置同一网段地址时，弹出告警，规避再次出现楼主所接触的这种问题。

感谢分享，arp的问题的确难以发现

您好，感谢您参与社区原创分享计划2，您的文章已被收录到计划中，分享激励将在专家小组评审结束后进行派发，再次感谢！

arp问题比较麻烦，感觉排查起来相对困难

思路清晰，arp确实很恶心，楼主能想到办法直接远程搞定，非常优秀，哈哈  起码不用去用户现场跑  不过dhcp网段最好还是设置一个不常用的 192.168.1.段 太常用了

坑只要能填平就行，很实用的案例，好评

作为一个刚入门的新人，从这个分享真的学到很多

一般客户都会要求现场支持的