網關IP配置引發故障

近日，市教育城域網改造，將原有的VPN模式改為裸光纖模式，每個學校新增一臺銳捷路由器和深信服防火墻。原有的光纖貓更換為光模塊直連。電信工程師根據他們擬定的改造計劃配置設備，發現故障不斷，經過大家共同多次調試，最終發現原來是電信設計的IP配置問題，后來根據銳捷的規范，問題得以順利解決。

圖1 原有校園網絡拓撲結構

圖2 教育局規劃的拓撲結構

電信工程師到我校直接按照他們設計的參數進行配置。首先給大家介紹下我校的網絡拓撲結構。學校原有網絡拓撲是，網關銳捷EG-1000S，外網口10.20.80.122/28，內網口1.1.1.2/24。核心RG-8606，地址 1.1.1.1/24，劃分VLAN64～ VLAN75，VLAN地址分別為10.21.64.254……10.21.5.254，網絡拓撲結構如圖1所示。

故障現象

工程師根據設計方案，將路由器外網口配置為10.20.80.122/28，內網口 10.21.79.254/24。網關外網口配置為10.21.79.253/24，內網 口保持1.1.1.2不變，拓撲結構如圖2。把網線插上，發現當配置線插上網關Control口登錄時，筆記本終端明顯反應卡頓，屏幕命令行每隔一段時間連續跳出no radius的提示，給配置帶來很大的干擾。但是在配置終端測試連接是正常的，從網關到路由器是通的，從核心到網關也是通的，內網用戶到核心是通的，網頁卻打不開。再經過測試，從客戶端到網關不通，從核心到路由器不通。工程師開始搞不懂，表示從未遇到過這種現象，抱怨銳捷的設備問題。

故障排查

仔細研究他們的設計方案，我想起今年5月份一起配置VPN的經歷，當時由于校領導想通過登錄校內網，連接教育局的辦公系統，嘗試開啟網關RG-1000S的SSLVPN功能，配置隧道地址10.21.64.8，因 為 10.21.64.8是城域網公網地址的映射，開啟SSLVPN，這時發現內網用戶不能上網了，客戶端與核心RG-8606通訊正常，與RG-1000S不通。仔細分析網絡拓撲，發現邏輯上沒有問題。于是用設備RG1000S Control口登錄，將SSLVPN關閉，去掉10.21.64.8隧道地址，這時候網絡一切正常。

沒辦法，致電銳捷客服，技術支持解釋網關不可以用內網地址，如果要用VPN需要增設一臺VPN設備放在內網。當時也是愕然，銳捷設備還有這個規則。當時覺得不劃算，就直接在Windows 2008下面做了VPN。回想這件事情，今天的問題應該也在這兒。

圖3 完工后的網絡拓撲結構

內網地址不可以出現在網關中，應該也不可以出現在網關的上一層。于是建議現場工程師重新配置，現場工程師致電銳捷技術支持，銳捷工程師了解情況后，讓現場工程師拿掉路由器，似乎銳捷工程師也不愿解釋，現場工程師表示很無奈。現場工程師將路由器光模塊插到網關1F光模塊插槽，發現光模塊燈不亮，懷疑該接口為光電復用接口。再次致電銳捷技術，解釋光口1F和g0/1是光電復用口。可是，當前g0/1配的地址是1.1.1.2/24，無奈將1.1.1.2/24配到g0/3口，g0/1接口模式設置為光口。現在地址配置好了，測試發現網絡還是不通。

故障解決

仔細查看，發現網關的路由表后面跟著接口地址默認路由0.0.0.0 0.0.0.0 1.1.1.2 后面跟著一個接口地址 GigabitEthernet 0/1，于是將GigabitEthernet0/1更改為 GigabitEthernet0/3，測 試結構還是不通。我猜想接口估計有inside和outside配置的，于是配置發現果真有，將接口GigabitEthernet 0/3設為內網口inside，接口GigabitEthernet 0/1設為Outside。經過測試，內部用戶還是不能上網。難道還有哪里出了問題。再次檢查配置，發現GigabitEthernet 0/3接口模式還是Outside，很不解，明明設置好了且保存了呀。再修改，保存，用內網用戶測試，終于好了。

經驗總結

到這里，大家都沒有成功后的喜悅，感覺本來應該是很簡單的工作，但操作完很辛苦。工程師感嘆今天真的學了很多銳捷的知識。通過這件事情，我想并不是這位工程師的水平不夠高，可能他對銳捷的設備接觸的比較少，銳捷設備的通用性上面還是有缺陷，是多一份經歷多一份經驗罷了。銳捷設備憑借較高的服務質量，在教育部門的占有量越來越多，作為教育部門的工程師要多了解身邊設備的特性與短板。也希望銳捷在做好服務的同時，在產品通用性上多下下功夫，相信可以在一定程度減輕工程師的工作量。圖3是完工后的網絡拓撲圖。