這是網絡工程師成長日記的第389篇連載文章,記錄網絡工程師行業的點點滴滴,結交IT行業有緣之人
爲了保證客戶網絡信息,本文刪除所有配置的機密信息和IP地址(以X.X.X.X格式隱藏)等信息
在老大的安排下,我和另外兩個同學去做工程,地點是商洛市某縣紀律檢查監督局,主要任務是負責Cisco ASA 5505設備的安裝與調試。
這是我在公司所接的第一個工程,心裏肯定緊張,而更緊張的還在後面。24號早上8:30,我們來到了公司。
本來王說的是調試PIX設備,可託付給我們的設備上,寫着Cisco ASA 5505 Series的字樣,突然傻眼了。
由於時間有限,王大概給我們講解了這臺ASA的使用方法,及一些重要配置的注意事項。
臨行前叮囑我們:完成任務後,如果客戶還有什麼要求,一定要耐心解決。如遇問題,隨時聯繫。
10:30,我們到了西安火車站,買了車票。10:50,乘長途公交去往某。
在詢問了司機師傅後,知道我們將有5小時的行程。
就這樣,我們離開了西安,踏上了旅程。
在路上,爲了解悶,上網亂搜了一些關於ASA的信息:ASA,Adaptive Security Appliance(適應性安全產品),是Cisco公司在2005年5月推出了一個新的產品。
接口近似PIX,但兩者在性能方面有很大的差異。
即使是ASA最低的型號,其所提供的性能也比基礎的PIX高得多。
說真的,當時心裏很沒底,因爲就連PIX,我也只是懂一些基礎配置,更何況是ASA呢。
熬過了這漫長的路程,下午4:30,我們終於到了某的汽車站。
由於是在商洛,所以比起西安,不論是環境還是經濟,實在是沒法比。
司機告訴我們:這裏沒有火車,想回西安只有坐公交。每天最晚一班是下午6點。
既然來了,就開始工作。
叫來了當地的聯繫人,在他的帶領下,我們來到了第一個工作地----
一所小學兼醫院的地方。
畢竟是來做技術的,所以我們沒有問太多關於網絡外的話題。
來到機房,換上鞋套,開始聽客戶的要求。
大致如下:
該單位,在電信拉了兩條光纖,其中一條是正常上網的。另外一條是與其他幾個單位來組成局域網的。
(感覺就像是***)目前網絡是沒什麼故障,外網(就是他們所說的正常上網的光纖)是由聯想的防火牆來防護。
現在他們有一臺新購的PIX防火牆,想實現對內網(即他們所說的“局域網”)的保護。
聽後,貌似很簡單,並且另外一邊的客戶比較急,所以後來我們三個商量後,由我先去第二個工作地,也就是此行的真正目的----某縣紀律檢查監督局,裝上我們所帶來的ASA設備。
兩地相距還比較遠,我是搭乘摩的過去的。在證實身份後,我在紀檢局值班人的帶領下來到了他們的機房。
令我沒有想到的是,這個當地很了不起的政府性單位的機房居然很簡單,連剛纔那個小學校的機房都比不上。
值班的人很客氣,給我端來了水,還發煙(我不會抽菸),讓我有點意外。
以爲以前聽說做工程時,就像是給人家打雜,淨受氣,剛纔那個小學的人就不是很客氣,所以現在有點受寵若驚的感覺。
(我們這次的身份是以西安一外包公司的技術工程師來此的,爲了不必要的麻煩,我們都儘量的少說話,生怕讓客戶知道我們真實的身份)
這裏的設備還算少:通過光纖轉發器+D-LINK寬帶路由,引來外網。
接着就是由五臺不同型號的交換機進行網絡擴展。除了客戶機外,就只有兩臺服務器了。
瞭解這些就可以了,開工。(具體配置及過程詳見配置篇)
當天那邊(學校兼醫院)順利完成,而我這邊沒有順利解決,最後一直弄到了10點多。
我們三個就只吃了早飯,到現在連水也沒喝。並且看着問題沒有解決,心裏都很亂,而且頭也暈暈的。沒辦法,只好第二天再弄。
晚上我們自己在路邊找了個小攤,一人一碗麪,喝了點酒。然後就回到給我們安排的旅館。30一晚上,裏面的條件真的是……
在房間裏面,我們開始回想今天到底是哪裏出錯了,還聯繫了公司這邊。最後,我們擬了2條方案,然後就睡了。
就這樣,結束了10月25日,還是我妹的生日。
哎,本來還想着回家給她慶祝呢,沒想到路程和工程是這麼的不順利。感覺網絡工程師的出差工作真的是很累、很苦、很不討好的工作。
記的那天晚上我想了很多,心裏亂糟糟的……
第二天早上7:30醒來,連洗梳條件都沒有,只能拿涼水沖沖。
最近西安天氣已經變涼了,某這邊更是冷,這涼水,是在是透心涼啊。(可惜不是雪碧)
早飯還是我們自己找了家小喫店,包子、稀飯、雞蛋、鹹菜,喫得比晚飯還好。
睡好、喫好,現在精神狀態已經回來了。幹勁兒也上來了,好,L’s GO!!!
經過4小時的努力,終於把問題解決了。
工程終於做好了!當時的心情真的是很High,客戶也挺滿意的。看着自己的勞動成果得到了肯定,心裏也有了滿足感。
激動的我們連午飯也不顧了,隨便買了點小零食,乘着小中巴,向西安行駛。
那天(10月26日),剛好還是西安和某高速通路,本來是3小是就可以回來的。
結果最後出了點問題, 路是通了,但收費系統還沒調整好,所以不讓通行。哎,只能原路返回,又要忍受那5個小時的煎熬。
到達西安已經是6點,李經理接的我們。
當時天色也暗了,我們也就沒有回公司,各自回家了。真的很累,在K600上,只想着回去好好的喫一頓,洗個澡,舒舒服服的睡個好覺。
記得王還打電話問候來着。
雖然這次沒有用到多少所學的路由、交換知識,而且接觸的還是從沒見過的ASA防火牆,但卻給我留下了寶貴的經驗及回憶。
使我學到了很多東西,也使得我的理論知識再一次升級。
很感謝公司能給我這次提高能力的機會,謝謝在背後支持我們此行的、同學,以及和我同行的田工、張工,以後我會更努力的。
要對一個地方的網絡進行調整或維護,首先要了解網絡拓撲。
但是由於工作地點的人員不懂網絡,所以我們沒辦法獲取完整的網絡拓撲圖。
只能靠自己通過看連線,大概推斷出拓撲情形。好在這裏的網絡設備比較少,只有一個機櫃。
大概的拓撲情形是這樣:通過光纖轉發器+D-LINK寬帶路由,引來外網。
接着就是由五臺(記的不是很清楚,因爲我們不是過來弄交換的)不同型號的交換機進行網絡擴展。除了客戶機外,就只有兩臺服務器了。
我們是兵分兩路,所以我先來這裏處理。
在我處理過程中,有個值班的人在旁邊玩一臺服務器。(玩QQ連機遊戲。注意:這裏有個懸念)
我將ASA接在D-LINK和交換機之間,安裝就這麼簡單。下來就是配置。
該設備有8個以太網接口,先劃分VLAN,將內網接口和外網接口分開。
其中Ethernet0/0屬VLAN2,其餘全划進VLAN1。交換機接VLAN1的接口,然後其他機子以VLAN1的IP地址爲網關。
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.254 255.255.255.0(內網地址)
!
interface Vlan2
nameif outside
security-level 0
ip address x.x.x.x 255.255.255.0(外網地址)
然後添加一條靜態路由和兩條ACL,保證內外網的互通性及安全性。
route outside 0.0.0.0 0.0.0.0 192.168.0.254 1
access-list in-out extended permit ip 192.168.0.0 255.255.255.0 any
access-list out-in extended permit ip any 192.168.0.0 255.255.255.0
access-group out-in in interface outside
access-group in-out in interface inside
弄到這裏,我感覺就OK了,可大麻煩來了。
我將自己的本連上一臺交換,配上192.168.0.0/24的地址,上不了網。暈了,不知道問題出在那裏。
Show run 後,仍然看不出來。
這時候,我發現旁邊那個值班的人還是在玩QQ遊戲。
我就問他:“剛纔,您玩遊戲有沒有網絡中斷?”他回答;“沒有啊,一直好着。”
納悶了,先別說現在都上不去網,就單單我剛纔配置ASA的時候,所有機子和D-LINK應該是無法連通的啊,怎麼會沒有斷網呢?
這個問題我現在還是想不通。雖然我看了那臺服務器,是代理服務器,但他應該也是接在一臺交換上,然後連通D-LINK,才能上網啊。
畢竟這裏只有一條光纖,而且還是接在D-LINK上。
想來想去,不明白。只好打電話給田工他們求救。他們說正在趕來的路上,到了再說。
然後我就想着,上網去查下資料。
於是摘下ASA,重新把交換和D-LINK連上,也就是將所有一切恢復到了初始狀態。
天啊,這次竟然也沒法上網了,而且連值班的師傅都斷網了。
這下更讓我慌了,剛纔上不去網還能讓我接受,畢竟自己不瞭解ASA,但現在怎麼會上不去網了呢?
代理服務器的IP是192.168.0.250,也就是其他機子的網關。而他自己的網關是192.168.0.254,也就是D-LINK的地址。
他們那裏的設備我可是一點都沒更改設置。
冷靜下來後,我開始慢慢找錯。首先,我用本和代理服務器ping了下,是通的。
證明內部網絡沒問題。而所有的機子都ping不到D-LINK。所以我想到去看下它的配置。
那裏的人看來真的是不管這些設備,D-LINK的用戶、密碼居然都是出廠設置----兩個admin。
進去後,在裏面的客戶列表裏面發現是空的。
難怪呢,其他機子要是通過它上網,都會自動記錄在這個列表。於是我試着手動添加一個用戶。
其實就是IP/MAC綁定,設置好了後,我的筆記本果然能上網了。不管怎麼說,心裏輕鬆了些。
但想不通爲什麼列表會空呢?無意間發現,D-LINK的地址池居然沒有IP可分配,索性自己給它些地址。
果然,所有機子都能上網了。但還是不解,爲什麼我沒有改這些設備的配置,恢復成初始後,居然上不了網?
正在思考期間,田工他們進來了。感覺就像是援兵到了,心裏塌實了很多。
我簡單的向他們敘述了這裏的環境,張工便開始親自動手了。
後來是添加了PAT之後,一切正常了。
ciscoasa# show xlate
11 in use, 70 most used
PAT Global X.X.X.X(1051) Local 192.168.0.100(1794)
PAT Global X.X.X.X(1050) Local 192.168.0.100(1792)
PAT Global X.X.X.X(1049) Local 192.168.0.100(1788)
PAT Global X.X.X.X(1048) Local 192.168.0.100(1787)
PAT Global X.X.X.X(1045) Local 192.168.0.100(6009)
PAT Global X.X.X.X(1038) Local 192.168.0.100(6002)
PAT Global X.X.X.X(1037) Local 192.168.0.100(1642)
PAT Global X.X.X.X(1033) Local 192.168.0.100(1702)
PAT Global X.X.X.X(1029) Local 192.168.0.100(10000)
PAT Global X.X.X.X(1028) Local 192.168.0.100(4008)
PAT Global X.X.X.X(1026) Local 192.168.0.100(31946)
原來是內外網的IP轉換出錯了,哎,我可真是疏忽啊。
後來一個看似老闆樣子的人來了,我們向他說明了之後,詢問是否還有其他要求。
他說。過兩天電信局的人會將那個D-LINK拿走,所以希望我們不要通過D-LINK上網,用ASA來頂替它。
想着挺簡單的,就是將D-LINK上的IP分給ASA就行了。
我們這樣做了之後,試了下baidu,OK,正常。
於是再一次交差。那人也試了下baidu,恩,不錯。
但那人點了下MP3的標籤時,發現網頁打不開了。
我們有點納悶了,試了下其他網頁,真的是除了baidu外,都打不開。更奇怪的是ping任何地址都是通的,這還真是見鬼了。
想來想去,實在是不解。打電話給了公司,向們請求支援。可問題依然沒有解決,就連王也覺得不可思議。最後就因爲這個問題一直糾纏着。
後來發現,所有電腦,一旦自己獲取IP地址後,得到的是個錯誤的網關,可就算手動更改後,還是打不開網頁。
後來,在多方指導下,才知道ASA裏面的一條命令限制了TCP連接數,所以正常上網時,無法正常和目的服務器正常建立TCP連接,所以網頁當然也就無法打開了。
而ping用的不是TCP協議,所以“逃出一劫”。既然如此,那麼只要IP地址,網關正確就OK了。
這下上網的問題解決了,可有關IP分配的問題還是不清楚。可以確定的是充當DHCP角色的是另一個服務器----WEB服務器。因爲只要它連上交換,所有機子獲得的網關都是錯的,並且是指向它自己的192.168.0.2;而斷開它的連接,其他機子都無法獲得到IP地址。但我發現該機並沒有裝DHCP服務組件,那麼是如何實現IP的分配?在添加/刪除裏面也沒有看到相關的第三方軟件。哎,問題真是一個接一個啊。頭真大了。
最後也算運氣吧。那裏的人說,低下還有一批機子,平常不能讓他們上網,但偶爾也要讓他們上下網,升級病毒、查查資料等。我們想了想,然後問他們以前是如何實現這個目的。他說是通過改IP的方式。
這可很是守得雲開見月明啊。那現在不就是這樣麼,其他機子只要開機,獲取到的都是錯誤的網關,肯定上不了網。只要改下網關就OK了。然後那人說,給留10個能上網的IP就夠了。多了怕以後人都能上網了。Easy,在ASA上在多寫個ACL不就行了。這樣即使下面人知道了網關也無濟於事。可要是低下人比上面的人早設置成那10個IP,那上面的人就上不了了啊。我們給他說明了這個問題後, 沒想到他很明白的說:“這個我們知道,只要右下腳出現什麼IP衝突,就證明是低下人弄的。”看來他們對這個改IP的方法很熟了。於是我們將固定的10個IP地址留給了他,讓他日後自己在上面的機子上設置爲靜態IP。
OK,一切也就這樣完成了。湊合算的上是個小圓滿。
(注:所有的設備,除ASA外,都沒有斷過電,所以排除那種因爲電源中斷,導致配置紊亂的說法)
不過,就此次工程,我還是有些地方不懂。最近也沒時間請教,有知道的還望說明下。
①爲什麼當我把ASA添加後,還沒有配置成功,值班那人的機子(即代理服務器)卻可以不受影響的玩着QQ遊戲?
②紅字部分。我沒有更改他們那裏的任何一臺設備,僅僅將ASA連上後,調試了下,沒成功,然後摘下,恢復成初始樣子,但爲什麼會上不了網。也就是說爲什麼D-LINK裏面的客戶列表會是空的?(這時候的機子IP都是正常的。不管是手動還是自動獲取)
③還是紅字部分。一開始的時候(還沒有弄ASA),我先將自己的本直接連在了他們的交換機上,所獲得的IP是192.168.0.0/24(他們的內網IP),網關是192.168.0.250(代理服務器),上網等一切都正常。可最後去掉D-LINK後,最後調試好ASA,那臺WEB服務器怎麼就有了DHCP功能呢?也正如我說,該機上並沒有相關的第三方軟件,也沒有安裝DHCP組件。