时间:9月25日
地点:某单位信息中心施工现场
事件:原有网络设备除尘后从临时机房迁移到信息中心主机房,通电后,发现防火墙F1000-A上的2GE模块损坏,导致整个网络和Internet的连接中断。
详细经过:
9月25日,我们项目部按原计划把之前转移到临时机房的网络设备一一经过除尘,使这些运行了N年满身灰尘的设备焕然一新后,顺利迁移到了新机房里的新机柜中。待所有线路连接正常后,满怀期待地通电,一一开机,所有设备发出很健康的风扇嗡嗡声,启动正常。迫不及待地打开测试电脑,检查网络连通性。惊喜地发现内网连接一切正常,同时,也失望地发现上不了外网。
故障点很快锁定到接入防火墙――H3C F1000-A上。无奈地发现插着两要网线的2GE口模块上的指示灯一个不亮。F1000-A这台防火墙上本身自带有2个GE口,当时为了增加两个接口又配了一块2GE口模块,而目前业务走的就是这个2GE模块。现在很明显是这个模块出故障了。在内心深处画了N个圈圈诅咒完当初安装这个防火墙的技术人员后,毅然开始想解决办法。其实说想办法也没啥可想的,办法只有一个,就是把2GE模块拆了(连接到CONSOLE口后,经过再三测试,发现不拆的话防火墙无法启动),然后把一进一出两要网线插到F1000-A自带的两个GE口上就OK。好吧,要是这么简单在这就真没啥好说的了。事实上,惊喜不断……
首先我来列举下连接完成后需要解决的问题:
1、需要查到原来设置在2GE模块两个GE口上的IP地址,一个肯定是公网地址,另外一个是内网地址,并且是下级路由的网关;
2、需要重新配置NAT;
3、需要把局里的WEB服务器和DNS服务器映射出去;
4、配置完成后需要SAVE。
一进一出两根网线连接好后,用超级终端连接到F1000-A的CONSOLE口,第一个惊喜来了:这台设备设置有连接密码,而我不知道。半夜三更紧急给业主维护员石工打电话,紧接着第二个惊喜来了:对不起,您拨打的电话已关机。。。给H3C技术支持打电话,这次是真的惊喜,赵工还没睡,并且在积极地帮我想办法。杯具的是不管怎么努力,超级终端上还是显示着:“USERNAME:”,好吧,此路不通,先做做准备工作,查出两个端口的IP地址先,实在不行可以把我们项目上的新的防火墙配起来顶着。要知道第二天正常上班的,领导们上不了网可了得。。。KVM切到NDS服务器上,惊喜又来了,发现有系统密码,而我又不知道这个密码,本能地想给石工打电话,突然想到已关机。结果还是没结果。一看时间已经凌晨1点了。好吧,今天只好到这里。
回到家里1点多,怀着惴惴不安的心情,把H3C F1000-A的配置手册从头到尾看了一遍,发现已经3点多了。好吧,睡觉先。
时间:9月26日
地点:信息中心施工现场
事件:F1000-A的2GE模块杯具了,需要调整端口,重新配置
为了单位领导们能正常上网,早上7点,第一个赶到信息中心,继续和这台F1000-A纠结。连接好设备后,怀揣希望,继续给石工打电话,这次电话那头的说词变了:对不起,你拨打的电话暂时无法接通,您的拨打信息……眼泪啊眼泪~正准备向新F1000-A下手时,收到了来自李总的短信,内容竟然是那些我不知道的密码。关键时候,还是领导贴心啊。
有了密码就好办了。首先,进到DNS服务器里,顺利的推测到了防火墙的一内一外两个IP。接着,进到F1000-A里,给两个端口配好了IP地址。因为对H3C的设备命令不是很熟,为了方便配置,顺便配置了WEB配置界面。接下来好办了。顺着思路往下做就OK。
配置步骤如下:
1、配置内网和外网端口IP;
2、将内网端口放到firewall zone trust区域,使内网管理员可通过WEB界面配置F1000-A;
3、配置默认路由;
4、配置NAT(在配置这一步的时候有些纠结,最终才搞明白多对多NAT需要挂ACL才能生效。在这里,对赶到现场支援的张工表示感谢!);
5、映射WEB服务器和DNS服务器;
6、SAVE。
顶着响个不停的电话,经过不懈努力,最终在9月26日中午12点30分左右,完成所有配置,网络恢复正常。感谢我的点背,感谢所有TV,更感谢到现场支持的张工!
在这里本来想把所有的配置信息发出来给各位看看的,但考虑到防火墙配置信息里面有不少内部和外部网络IP,有点小涉密。所以就不发了。H3C的配置命令和CISCO的大同小异,有兴趣的兄弟们可以自己查阅相关资料,在这里就不在多说了。
最后,总结一下:任何故障都不可怕,可怕的是没有解决的思路和手段。所以,解决故障的思路很重要。当然在配置完类似设备后,SAVE也非常重要!
