星期六日都出差去了惠州,一个客户那里,主要是搭建AD域,搭建主域以及备用域,还有就是搭建winroute软件防火墙。
    搭建AD域,因为前期准备工作充足,所以问题不大,域同步以及DNS同步之后,测试通过。
    主要问题就出现在winroute软件防火墙上,本来是准备上ISA的,但是客户要求用winroute。那就用winroute的,不会就学呗,没办法。刚开始上winroute的时候,内网的网卡子网没设好,老是通不出去外网。后来想了想,因为原来的网络有VLAN,划分了不同的子网,内网的网卡必须都包含内网IP段才行,调整了一下子网掩码。OK!能够正常上外网了。但是,另外一个问题又来了,上了这个软件防火墙之后,上网速度明显降低了。我就设置了一下winroute上面的缓存,终于比较正常了。那一天的时间也过去了。还有重头戏呢,×××,但是内网试不了。明天再调整。
    那天晚上,回去×××拨号,能够进入硬件防火墙,但是软件防火墙就穿透不了。没想明白,不想了,明天再说。到了第二天,过去调试的时候,一步步分析,先分析策略,是不是软件防火墙拦截了,因为×××拨号,能够达到winroute的WAN口,但是到不了LAN口。增加策略之后,还是一样,那我就考虑路由,是不是路由表没写好呢,但是左看右看winroute的路由表,都是正常的,没问题啊。
    没办法了,只能麻烦这个项目开始的时候,搭建路由器,硬件防火墙的工程师了,他远程连接过来,仔细了解之后,大概调了有半个小时,告诉我通了。我一试,没问题。我自惭形秽啊,整了大半天没整好,别人半个小时就ok了。当然,哪里跌倒要从哪里爬起来,我就问了他是这么调的,他告诉我,因为硬件防火墙本来是直接连核心交换机的,现在中间加了个设备,接口IP变了,但是硬件防火墙上面的路由表没改,所以过不去。仔细回忆一下,增加winroute之前,我就打电话问过这个工程师的,他之前也给我说了,改了接口地址,要看看策略路由里面,是否需要更改。但是我那时候看看,感觉没什么要改的。外网也能上,就忽略了。老是以为winroute的设置问题,一直在winroute上面找原因。哎!!!看问题还是不够大啊,全局观不行啊。呵呵!不过经过这次,也学到了东西,要统筹全局。
    跌倒了不可怕,可怕的是跌倒了就不爬起来了。