锐捷防火墙配置遇到的新问题

     今天王老师想把新接入的100m联通让宿舍与办公楼共享，因为白天办公网流量比较大，而宿舍几乎不用，所以为了减少资源浪费要共享这100m带宽。

     我还是在防火墙上做的配置，因为以前配置过，而且遇到了很多问题，所以记忆还比较深刻，按照以前的方法步骤进行配置后，就直接把办公网切换过去了，但是刚过一会电话就响了，不能上网了。这问题可大了，办公网瘫痪，我担不起这个责任呀，马上恢复到原来的网络。可以了。切换回原来的样子后，我就开始研究防火墙的配置，没问题呀，我就是把以前的地址改改，没看出来什么问题。研究了老一会了，还是没结果。老师让我把所有的配置清空，在进行配置试试，但是我不甘心，问什么不通呢。于是我就把安全规则全部删除重新配置了一遍，哎可以了。问题终于找到了原因了，其他配置做过改动后安全规则必须要重新配置，并且要按照顺序来，第一条是DNS包过滤规则，第二条是Nat服务any规则，第三条可以加上any规则。

     这下总可以了吧，测试也通过了。于是就进行了线路切换，但是回到办公室一ping还是不通。这就奇怪了，直接用电脑测试可以的呀，问什么接上办公网就不可以了呢。老师说这肯定是内部路由的问题呀，但是内部路由我没有做改动呀，只是配置了一条指向防火墙内网接口的默认路由，配置个与防火墙相连接口的ip。但是结果却在哪来――不通。于是我把电脑直接接在了办公网接入层交换上，哎这样能够ping通。奇了怪了，问什么办公室就是不行呢。这是姬老师问我防火墙管理接口的ip是多少，这时我恍然大悟，原来办公室与防火墙管理ip地址网段相冲突了。所以，办公室就是ping不通。哎，问题解决。

     通过这次排除故障的经历，我深刻的体会到，进行网络接入配置是一定要测试可以了以后再进行切换，否则像今天让其他老师找到办公室这也太难看了。

     第二是锐捷防火墙安全规则的顺序必须要牢记，第一条DNS包过滤规则，第二条Nat地址转换规则，并且转换为by_route。

     第三就是改动配置后如果不通，可能需要从新配置安全规则。