防火墙nat经典方案(记一次难忘的防火墙排错经历----Fortigate)
防火墙nat经典方案(记一次难忘的防火墙排错经历----Fortigate)get system arpFortigate查看ARP表命令:这里插一段题外话:虽然新加坡政府部门大多数硬件设施很不起眼,甚至可说是非常简陋,但是这丝毫不影响新加坡公务员的敬业精神,无论上到局长,部长这样的高官,还是下到一个接电话的最基层的公务员,每个人对待工作的态度都让人不由得心生敬意。在工作时间看报纸,玩游戏,甚至聚众斗地主,打麻将,每日混时间坐等下班,对来访的老百姓态度恶劣,踢皮球似的推卸责任,出了问题拿临时工搪塞大众的政府部门对新加坡人来说是无法想象的,这也从侧面说明了为什么新加坡没有豆腐渣工程,为什么新加坡没有地沟油,毒大米,假药假食品,为什么新加坡有在世界数一数二的治安环境和超低的犯罪率,为什么新加坡能在短短的三十年内从一个第三世界国家成为第一世界国家。其中我想这和新加坡政府“高薪养廉”有一定关系,国家把那些金玉其表,败絮其中的面子工程的钱省下来,用来提高每位公务员的待遇,每
这是6年前我给National Heritage Board(新加坡国家文物局)做运维项目时的一篇随笔,做为一名网络工程师,在新加坡生活12年工作7年的经历和所见所闻非常宝贵和难忘,6年后再把这篇随笔翻出来回味依然有不少收获。文章本身技术含量不高且题外话居多,各位看官将就着看吧,下面是正文。
昨天服务器组的同事给National Heritage Board(新加坡国家文物局)迁移设备后发现一个问题,VMware的物理主机能ping通网关(一个Fortigate 800c的防火墙),但是下面10多个虚拟服务器大多都ping不通该网关,能ping通的也只是在一开始的时候能收到两个icmp echo reply包,剩下的就全部是Request timed out。没办法,只能一大早的打个电话叫我赶过去救火。
虽然之前在LTA(新加坡交通部)工作过一年半,对新加坡政府部门”艰苦朴素,低调节约“的办公环境有过一个大致印象(很佩服国内某些县,甚至是镇政府的办公大楼都能修成翻版的“美国白宫”),但是刚进入位于Stamfort Court的文物局总部后,那磕碜的办公环境实在让我吃了一惊,上下两层楼加起来目测也不过500平米的文物局里有40多个人在工作,显得十分拥挤,文物局长的办公室也只是一间简单的不能再简单的用玻璃墙围着的小房间,更别说那只有两个机架,面积不到5平米的Server Room了。
这里插一段题外话:虽然新加坡政府部门大多数硬件设施很不起眼,甚至可说是非常简陋,但是这丝毫不影响新加坡公务员的敬业精神,无论上到局长,部长这样的高官,还是下到一个接电话的最基层的公务员,每个人对待工作的态度都让人不由得心生敬意。在工作时间看报纸,玩游戏,甚至聚众斗地主,打麻将,每日混时间坐等下班,对来访的老百姓态度恶劣,踢皮球似的推卸责任,出了问题拿临时工搪塞大众的政府部门对新加坡人来说是无法想象的,这也从侧面说明了为什么新加坡没有豆腐渣工程,为什么新加坡没有地沟油,毒大米,假药假食品,为什么新加坡有在世界数一数二的治安环境和超低的犯罪率,为什么新加坡能在短短的三十年内从一个第三世界国家成为第一世界国家。其中我想这和新加坡政府“高薪养廉”有一定关系,国家把那些金玉其表,败絮其中的面子工程的钱省下来,用来提高每位公务员的待遇,每个人都拿着一份不错的薪水,领导也不搞贪污受贿,大家都在替国家这部巨大的机器的运作发自内心的挥洒汗水,尽自己的努力。最近又听闻新加坡政府对65岁以上的所有建国一代的老人们做出了一系列的优惠政策,让他们老了看得起病,真正以国家的身份来回馈这些当年为新加坡的发展贡献了自己一份力的国民们。反观国内那些在年轻时拿命在抗战时期为国家抵御外敌,最后却在人生晚年落得个住公厕,在大街上摆摊甚至乞讨的老兵们,这样的反差令人不胜唏嘘。
回归正题,到了文物局机房后,简单看了下网络拓扑,Fortigate 800c------HP 5400交换机-------HP1810交换机------VM主机,文物局有3个VLAN,奇葩的地方是,5400这个Distribution switch 和1810这个access switch之间既没有做SVI,也没有做trunk,而是全access port的配置,这就意味着一个VLAN就要拉一条线,这样”非主流“的2层环境还是多少让人有点意外。由于是同一个VLAN内的链路问题,我初步判断是ARP解析出了问题,在虚拟上arp -a看了下ARP表,网关的MAC地址正确,而在要看Fortigae 800c的ARP表时,以前没接触过Fortinet设备的我找了半天也找不到看ARP表的命令 无奈只能google,找到命令后果然发现防火墙的ARP表有问题,对应VM虚拟主机的MAC地址全错了,于是又google了一番,找到了Fortigate 800c配置静态ARP entry的命令,把每个ARP entry都改好后,问题解决,相关命令如下:
Fortigate查看ARP表命令:
get system arp
Fortigate配静态ARP entry:
config system arp-table
edit %value% //%value% 是指entry的号码,每个虚拟主机的IP----MAC都给一个不同的entry number
set interface %int%
set ip 192.168.0.100
set mac 00:00:00:00:00:00
end
execute clear system arp table //关键步骤,必须重制ARP表才能使刚才手动添加的静态ARP entry生效