近日，市教育城域网改造，将原有的VPN模式改为裸光纤模式，每个学校新增一台锐捷路由器和深信服防火墙。原有的光纤猫更换为光模块直连。电信工程师根据他们拟定的改造计划配置设备，发现故障不断，经过大家共同多次调试，最终发现原来是电信设计的IP配置问题，后来根据锐捷的规范，问题得以顺利解决。

图1 原有校园网络拓扑结构

图2 教育局规划的拓扑结构

电信工程师到我校直接按照他们设计的参数进行配置。首先给大家介绍下我校的网络拓扑结构。学校原有网络拓扑是，网关锐捷EG-1000S，外网口10.20.80.122/28，内网口1.1.1.2/24。核心RG-8606，地址 1.1.1.1/24，划分VLAN64～ VLAN75，VLAN地址分别为10.21.64.254……10.21.5.254，网络拓扑结构如图1所示。

故障现象

工程师根据设计方案，将路由器外网口配置为10.20.80.122/28，内网口 10.21.79.254/24。网关外网口配置为10.21.79.253/24，内网 口保持1.1.1.2不变，拓扑结构如图2。把网线插上，发现当配置线插上网关Control口登录时，笔记本终端明显反应卡顿，屏幕命令行每隔一段时间连续跳出no radius的提示，给配置带来很大的干扰。但是在配置终端测试连接是正常的，从网关到路由器是通的，从核心到网关也是通的，内网用户到核心是通的，网页却打不开。再经过测试，从客户端到网关不通，从核心到路由器不通。工程师开始搞不懂，表示从未遇到过这种现象，抱怨锐捷的设备问题。

故障排查

仔细研究他们的设计方案，我想起今年5月份一起配置VPN的经历，当时由于校领导想通过登录校内网，连接教育局的办公系统，尝试开启网关RG-1000S的SSLVPN功能，配置隧道地址10.21.64.8，因 为 10.21.64.8是城域网公网地址的映射，开启SSLVPN，这时发现内网用户不能上网了，客户端与核心RG-8606通讯正常，与RG-1000S不通。仔细分析网络拓扑，发现逻辑上没有问题。于是用设备RG1000S Control口登录，将SSLVPN关闭，去掉10.21.64.8隧道地址，这时候网络一切正常。

没办法，致电锐捷客服，技术支持解释网关不可以用内网地址，如果要用VPN需要增设一台VPN设备放在内网。当时也是愕然，锐捷设备还有这个规则。当时觉得不划算，就直接在Windows 2008下面做了VPN。回想这件事情，今天的问题应该也在这儿。

图3 完工后的网络拓扑结构

内网地址不可以出现在网关中，应该也不可以出现在网关的上一层。于是建议现场工程师重新配置，现场工程师致电锐捷技术支持，锐捷工程师了解情况后，让现场工程师拿掉路由器，似乎锐捷工程师也不愿解释，现场工程师表示很无奈。现场工程师将路由器光模块插到网关1F光模块插槽，发现光模块灯不亮，怀疑该接口为光电复用接口。再次致电锐捷技术，解释光口1F和g0/1是光电复用口。可是，当前g0/1配的地址是1.1.1.2/24，无奈将1.1.1.2/24配到g0/3口，g0/1接口模式设置为光口。现在地址配置好了，测试发现网络还是不通。

故障解决

仔细查看，发现网关的路由表后面跟着接口地址默认路由0.0.0.0 0.0.0.0 1.1.1.2 后面跟着一个接口地址 GigabitEthernet 0/1，于是将GigabitEthernet0/1更改为 GigabitEthernet0/3，测 试结构还是不通。我猜想接口估计有inside和outside配置的，于是配置发现果真有，将接口GigabitEthernet 0/3设为内网口inside，接口GigabitEthernet 0/1设为Outside。经过测试，内部用户还是不能上网。难道还有哪里出了问题。再次检查配置，发现GigabitEthernet 0/3接口模式还是Outside，很不解，明明设置好了且保存了呀。再修改，保存，用内网用户测试，终于好了。

经验总结

到这里，大家都没有成功后的喜悦，感觉本来应该是很简单的工作，但操作完很辛苦。工程师感叹今天真的学了很多锐捷的知识。通过这件事情，我想并不是这位工程师的水平不够高，可能他对锐捷的设备接触的比较少，锐捷设备的通用性上面还是有缺陷，是多一份经历多一份经验罢了。锐捷设备凭借较高的服务质量，在教育部门的占有量越来越多，作为教育部门的工程师要多了解身边设备的特性与短板。也希望锐捷在做好服务的同时，在产品通用性上多下下功夫，相信可以在一定程度减轻工程师的工作量。图3是完工后的网络拓扑图。