许久没写东西了,今天遇到个事,和大家一起聊聊。
            一朋友找我调个华三防火墙,需求很简单,防火墙有电信、联通两个出口,加个策略路由把一部分用户指定从联通接口出去。这不是小菜一碟了,登上去三下两下配完,测一测,不行。我有点奇怪,这配置很简单,又重新配了一次,还按?把参数又看看,觉得没什么,但是比起以前的老设备确实又多了一些选项,是不是这个影响了。
            上网打开手册,看看,没看出个所以然,回头再测测,不行。在防火墙上PING一下联通的网关,发现不通,我问他是不是联通线路还没通,他说不会啊,用电脑测了,可以上网。我又看看ARP表,里面有,那估计是对面禁PING了。
            再把策略删了重新配,结果一应用,马上就断网,这就奇怪了。
            快下班了,要去找宾馆,还要吃饭,就说晚上再看。吃饭的时候回想一下,觉得不对劲,如果说策略一开始不生效,是我配错了,还是从电信出去,那后来怎么会断网,断网的话说明策略是生效了,但是出不去。可以下一跳是对的,公网线路也是好的,怎么就出不去呢。
            灵光一闪,为什么我就觉得别人已经把防火墙其他都配好了,也许。。。,回到宾馆马上登陆,果然如此,联通接口就没有加入安全域。这一下就可以解释之前所有的问题了,我都差点往产品功能和BUG上考虑了。
            事实证明,我们经常会有惯性思维,觉得XX不会有问题,或者说根本就没去想,这也就是为什么有时候碰到无法解释清楚的问题,大家说干脆删了重新配一次就好了,其实就是在中间某个地方缺失了一环。
            今天就说到这里,也是给大家分享个心得。