网络环境:路由器——光纤——三层交换机——光纤——防火墙——光纤——二层交换机——双绞线——机顶二层交换机——双绞线——服务器。
公司由于业务的发展和客户的需求。决定把原来的两台某8000+防火墙增加两台,达到四G硬防的集群。同时也把原来的交换机(一台三层交换一台二层交换)换成光口及电口更多的H3C-5500系统的交换机。一切按步就班,原计划只要十分钟就能顺利完成。
  施工中意外发生了:当全部设置都按要求配置好通电启用后,大部份服务器无法上网(连到网关都不通)。在一步一步的排查中,时间一下就过了四五个小时,造成客户意见很大。分析原因可能是防火墙集群不成功————于是用应急方案:服务器不经过防火墙,现在大部分服务器的业务都正常了。但还有部分服务器还是无法上网。进入服务器终端发现360ARP防火墙里显示没有获取网关MAC地址,于是关闭360ARP防火墙,这时服务器便正常了。原来就是这个360ARP防火墙在作怪————没换IP只换交换机会出现这种现象(重启或者关闭此服务就OK了)。
     总结:
       一、防火墙集群的成功率不可能保证100%,做任何网络方面的变动和改造升级都要有应急方案;不能等第一套方案失败了才来想解决方案。万事都有不测,所以要选择在业务量最小,有三套以上的方案,有充分的准备的情况下施工。
      二、360防火墙在服务器运行的情况下(360也是开启的),更换网关设备(IP不更改),容易造成服务器无法正常获取网关MAC地址,而服务器就无法连网。解决办法就是进入系统关闭360防火墙或者重新获取网关MAC地址;要不就重启服务器(必需在客户同意下)。