更改ISP 網管員如何做得又快又好

作為單位的一名網管，每隔一段時間就免不了要折騰一次，干什麼呢，那就是更換ISP，就祥子單位來說，這麼多年來，使用過的IPS從聯通、鐵通、電信等電信運營商到上級部門和兄弟單位提供的，甚至還有一些本地企業贊助的，基本上可以說市面上存在ISP的網絡，我們都使用過了。更換的原因，價格是一方面，也有些其它層面的問題，咱們做網管就不管不了，但是從技術層面上，還是要保證每次更換ISP都能夠順利進行，說起更換ISP的操作，我們的行話叫割接，ISP一換，我們的網絡設備和網絡配置都要動了，必然會面臨網絡的中斷，很多時候用戶終端的配置也要改動，這是一項大工程，搞不好是網絡就要斷個一天半天，甚至會出現新的網絡切不過去，舊的網絡也切不回去的尴尬局面，被掛在中間，那就更慘了。好在現在隨著經驗的積累，現在切換的過程越來越順暢了，下面我們結合最近一次的切換ISP的過程說一下如何才能使切換的過程進行的又快又好。

　　總體來說，切換ISP主要涉及到兩（電腦沒聲音）個方面，一個是機房設備的調整(包括設備配置的調整)，另一個是用戶端設置的調整，從時間先後上來說，是機房調整在前，用戶端設置調整在後，但是在具體實施上，則要盡量做到第一個調整實施的盡可能快，第二個調整改動的盡可能少，這樣才可以實現所謂的平http://www.xsyzj.cn滑過渡，以用戶感覺不到使用的ISP變改了為追求目標。

　　一、切換ISP前的准備工作

　　既然是切換ISP，那麼我們原來肯定是已經組建好了一個網絡，並且這個網絡正在運行著，本例中麼我們現有的網絡結構如下：



　　圖1 切換前兩（電腦沒聲音）個ISP並存

　　比如我們目前使用的是ISP1的網絡，打算切換到ISP2，那麼在正式的網絡切換以前，就需要提前把ISP2的網線接到CISCO2960交換機上，那麼如何保證兩（電腦沒聲音）家ISP的網絡有效的隔離呢?通過在交換機劃分VLAN即可實現。

　　經驗一 能來軟的就不要來硬的

　　在進行更換ISP的操作時，盡量能來軟的就來軟的，盡不能的不要來硬的。這句是什麼意思呢?即如果能做到通過軟件調試解決來解決的，就不要去動物理的接頭。可不要小看這一個小小的接頭，在真正進行ISP切換的時候，網管員真恨不得生成三頭六臂來，一邊是急著要把網絡切過來，另一邊千頭萬緒什麼事情都出來了，網管員那個時候一般都是抱著個筆記本在那兒急的冒著一頭汗敲命令呢，根本沒功夫去調網線，如果喊別人去幫忙，十有八九是越忙越忙，所以切換ISP的第一條經驗，就是盡可能將所有的工作都通過軟件解決，即網管員可以專心致志的抱著筆記本調試，而盡量少跑動耽誤時間，比如在正式切換ISP時，將PIX520連接到CISCO3550上的網口所屬的VLAN劃歸與ISP2的一致即可。

　　二、正式切換時的重點戲：更改硬件防火牆的配置

　　我們使用NAT設備是一台CISCO PIX520硬件防火牆，更換ISP時涉及硬件防火牆的配置改動，主要有四個地方，以實際的網絡參數為例，說明一下配置文檔。

　　(一)需要修改防火牆外網口的地址，這一步直接修改即可

　　ip address outside 221.*.*.84

　　(二)修改轉換地址，這一步要先將舊地址no掉，然後再設置新地址

　　no global (outside) 1 222.*.*.90 netmask 255.255.255.255

　　global (outside) 1 221.*.*..85 netmask 255.255.255.255

　　(三)修改網關地址，這一步同樣需要先no掉舊地址，再設置新地址

　　no route outside 0.0.0.0 0.0.0.0 222.175.169.65

　　route outside 0.0.0.0 0.0.0.0 221.1.223.94

　　(四)執行clear xlate命令

　　這行指令的作用是清空以前的NAT清空，使新的NAT生效。

　　經驗二、創建配置文檔，盡量不要一條一條的敲命令

　　作為一名有經驗的網管，在進行工程量比較大的網絡調試或操作時一般都是通過預先編寫好的腳本來執行一系列操作的，而不是一條命令一條命令的敲，原因很簡單，也是害怕忙中出錯，提高撰寫腳本一來時間比較充裕，二來可以考慮的比較全面。雖然網絡割接是在某個指定的時間段時行的，但是准備工作越早開展越好，所謂“宜未雨綢缪，勿臨渴掘井”。

　　不過凡事也不能絕對，割接時使用配置腳本便敏，但是也不能一棵樹上吊死，如果執行完腳本以後發現網絡不通了(即割切失敗)，應當迅速、仔細的檢查腳本，再次執行，如果二次以上均未成功，則立即就要轉換思路，改為一條指令一條指令的敲，很可能經過這一遍網絡就通了(這就說明以前撰寫腳本時忽略某些方面)，而千萬不要一邊嘴裡（電腦自動關機）嘟噜著“為什麼還不通，還不通，怎麼會這樣”之類的話，一邊把同一個腳本執行了一遍又一遍，那樣做的話就是讓人家笑話了。

　　以上介紹了切換操作的執行腳本，下面是恢復腳本：

　　conf t

　　ip address outside 222.*.*.80

　　no global (outside) 1 221.*.*..85 netmask 255.255.255.255

　　global (outside) 1 222.*.*.90 netmask 255.255.255.255

　　no route outside 0.0.0.0 0.0.0.0 221.1.223.94

　　route outside 0.0.0.0 0.0.0.0 222.175.169.65

　　exit

　　clear xlate

　　為什麼還要提前撰寫恢復腳本，就是為了預防萬一切換失敗，好再迅速的回復到原來網絡，這樣用戶上網不受影響，從而為排查故障爭取時間，所謂“未思勝先思敗”就是這個道理。

本新聞共2頁,當前在第1頁  1  2  

更改ISP 網管員如何做得又快又好