有客戶反饋，無(wú)法通過(guò)sdwan鏈路訪問(wèn)總部及其他分支機(jī)構(gòu)的網(wǎng)絡(luò)，總部的IT人員要求在核心交換機(jī)上寫三條靜態(tài)路由，分別到達(dá)總部和另外兩個(gè)分支機(jī)構(gòu)，但是，在此之前，我就看過(guò)核心交換機(jī)，這些靜態(tài)路由本就存在，并未刪除或者修改。

要求客戶在他電腦上執(zhí)行命令：tracert -d 172.16.1.254

192.168.240.254是網(wǎng)關(guān)IP，下一跳全是*，就是到奇安信防火墻上了，顯然路徑已經(jīng)不對(duì)了。

因?yàn)橥負(fù)鋱D是下面這樣的，所以下一跳應(yīng)該是sdwan才對(duì)。

看了一下路由表，想到應(yīng)該是優(yōu)先級(jí)的問(wèn)題，所有請(qǐng)求全部從默認(rèn)路由出去了，并不會(huì)走sd-wan鏈路。

此時(shí)，我遠(yuǎn)程登錄華為S5700交換機(jī)，發(fā)現(xiàn)瀏覽器版本太高，只能看，沒辦法修改，于是讓客戶修改默認(rèn)路由的優(yōu)先級(jí)為70，并且保存配置。

其實(shí)在此之前，我就讓他們把優(yōu)先級(jí)設(shè)置為100，但是當(dāng)時(shí)我的消息可能被他們忽略了，輸入命令的時(shí)候，后面的“preference 100”沒打上去，導(dǎo)致優(yōu)先級(jí)都是一樣的60。

本以為修改優(yōu)先級(jí)后，問(wèn)題能解決，誰(shuí)知道，還是無(wú)法通過(guò)sd-wan鏈路訪問(wèn)總部的網(wǎng)絡(luò)。

Sd-wan設(shè)備無(wú)權(quán)登錄，一時(shí)無(wú)法判斷問(wèn)題，原來(lái)的IP信息也不是很清楚，于是問(wèn)客戶要來(lái)核心交換機(jī)沒改過(guò)配置前的備份文件，分析問(wèn)題。

從配置文件看到，原vlan240的ip是192.168.240.1，那sd-wan設(shè)備就是192.168.240.2了。

核心原來(lái)的vlan1是192.168.0.0/24，現(xiàn)在不再使用這個(gè)網(wǎng)段了，核心上把VLAN1的端口全部劃分到vlan240了，原來(lái)vlan1的ip是192.168.0.254，所以順手把vlan240改成了192.168.240.254，雖然上網(wǎng)是沒問(wèn)題了，但是與sd-wan就跑不通了。

問(wèn)題找到了，要么登錄 sd-wan設(shè)備，修改回程路由，要么還是修改核心VLAN240的ip，還是改回192.168.240.1，但是由于客戶有線網(wǎng)絡(luò)環(huán)境非DHCP，所以得逐一修改網(wǎng)關(guān)IP，比較麻煩，好在臺(tái)式電腦不多。

于是，趁著午休時(shí)間，核心交換機(jī)上把vlan240的IP修改為192.168.240.1，經(jīng)測(cè)試sd-wan正常通訊，與總部網(wǎng)絡(luò)通了，臺(tái)式電腦逐一修改網(wǎng)關(guān)即可。

到此，排查結(jié)束，問(wèn)題解決。

總結(jié)：修改網(wǎng)絡(luò)設(shè)備的配置之前，首先要把需要達(dá)成的目標(biāo)了解清楚，然后務(wù)必先把拓?fù)鋱D畫出來(lái)，關(guān)聯(lián)IP地址標(biāo)注清楚，理清思路后，方可實(shí)施。

順便再提一下，其實(shí)拓?fù)鋺?yīng)該改一下，更為妥當(dāng)——既然有硬件防火墻，當(dāng)然讓sd-wan接入防火墻更有安全保障吧。

這種架構(gòu)，一是提高了安全性，二是便于管理：sd-wan與互聯(lián)網(wǎng)一樣，被當(dāng)做外部鏈路，今后無(wú)論它怎么改，都跟內(nèi)網(wǎng)沒關(guān)系。