IT技术 篇五：sd-wan故障导致无法访问总部网络？其实未必有那么复杂

有客户反馈，无法通过sdwan链路访问总部及其他分支机构的网络，总部的IT人员要求在核心交换机上写三条静态路由，分别到达总部和另外两个分支机构，但是，在此之前，我就看过核心交换机，这些静态路由本就存在，并未删除或者修改。

要求客户在他电脑上执行命令：tracert -d 172.16.1.254

192.168.240.254是网关IP，下一跳全是*，就是到奇安信防火墙上了，显然路径已经不对了。

因为拓扑图是下面这样的，所以下一跳应该是sdwan才对。

看了一下路由表，想到应该是优先级的问题，所有请求全部从默认路由出去了，并不会走sd-wan链路。

此时，我远程登录华为S5700交换机，发现浏览器版本太高，只能看，没办法修改，于是让客户修改默认路由的优先级为70，并且保存配置。

其实在此之前，我就让他们把优先级设置为100，但是当时我的消息可能被他们忽略了，输入命令的时候，后面的“preference 100”没打上去，导致优先级都是一样的60。

本以为修改优先级后，问题能解决，谁知道，还是无法通过sd-wan链路访问总部的网络。

Sd-wan设备无权登录，一时无法判断问题，原来的IP信息也不是很清楚，于是问客户要来核心交换机没改过配置前的备份文件，分析问题。

从配置文件看到，原vlan240的ip是192.168.240.1，那sd-wan设备就是192.168.240.2了。

核心原来的vlan1是192.168.0.0/24，现在不再使用这个网段了，核心上把VLAN1的端口全部划分到vlan240了，原来vlan1的ip是192.168.0.254，所以顺手把vlan240改成了192.168.240.254，虽然上网是没问题了，但是与sd-wan就跑不通了。

问题找到了，要么登录 sd-wan设备，修改回程路由，要么还是修改核心VLAN240的ip，还是改回192.168.240.1，但是由于客户有线网络环境非DHCP，所以得逐一修改网关IP，比较麻烦，好在台式电脑不多。

于是，趁着午休时间，核心交换机上把vlan240的IP修改为192.168.240.1，经测试sd-wan正常通讯，与总部网络通了，台式电脑逐一修改网关即可。

到此，排查结束，问题解决。

总结：修改网络设备的配置之前，首先要把需要达成的目标了解清楚，然后务必先把拓扑图画出来，关联IP地址标注清楚，理清思路后，方可实施。

顺便再提一下，其实拓扑应该改一下，更为妥当——既然有硬件防火墙，当然让sd-wan接入防火墙更有安全保障吧。

这种架构，一是提高了安全性，二是便于管理：sd-wan与互联网一样，被当做外部链路，今后无论它怎么改，都跟内网没关系。