4月中放假出去玩,期间同事微信联系我,说一个办事处的防火墙又出问题了。看来这一批D-Link DFL 210防火墙使用寿命差不多都到了。同事咨询我买新的防火墙,210早就停产了,找升级产品260,开始经销商还给了一个报价900多,后来又发现D-Link就不产这种中小企业级防火墙了。找个替代产品WatchGuard 700多,第四年开始要另给软件费用。
这样倒不如选Cisco的产品,网上看了ASA5505-BUN-K9,价格460相对要低一些,于是就选了个。经销商手上还没货,就从新蛋上定了一个。
非得等我放假回来才订货,过了好多天18号才收到货,这期间办事处的经理总在抱怨没有VPN如何不方便,不断追问什么时候到货。赶紧设置起来吧,不知道为什么在ASDM里面改LAN 的IP保存不住,而且反应特别慢。Reset也不见效,后来换了一根网线就好了。做好相应的初始化设置,就让另外一个同事带过去,开始接上去上不了网,换回原来的Router,找一个笔记本安装好ASDM,远程用Teamviewer检查设置。在修改了端口速率和加了route outside之后上网没问题了,但VPN不同。我是按照Site-to-site的向导设置的VPN,参数什么的都对,就是报错不通。后来去到Connection Profiles下面再建了一下就可以了。
麻烦远没有结束,过两天发现网络复印机发不出扫描后的邮件,从我这边ping不通,远程登录到Server再进到Copier管理界面发现一切正常,怀疑是网络问题,换网线,重启交换机,折腾一圈就可以了。没过两天故障又出现了,还发现有的同事的电脑上不去网,又是远程登录,又是微信视频,问题就是解决不了。后来仔细一看ASA的license Inside Hosts是10,才反应过来产品参数标注的10用户,是限制内部10个用户通过防火墙上网,以前我们买的ASA5510包括D-Link 210都是无限制用户,忽略了这个细节。于是就会出现有人或者设备不通的情况。
查了一下,Cisco可以升级license来增加用户,订了一个50-UL的license。装的过程中报错,在线咨询Cisco技术人员,原来还不能直接从10用户升级到50用户至无限制,这个是当你有50个用户的情况下才有效。所以要退掉这个,重新订一个10用户至无限制,或者10到50,考虑到未来还有发展的可能,50个用户很容易突破,那就10到无限吧。
又是一轮折腾,又是天天追问。经销商也是在他上一级经销商订的,涉及又退又换的,看那架势要先退了才能订新的,赶紧叮嘱就订吧,别管退不退的事了。
终于终于,收到Cisco的邮件,里面有新的license。还得去他们的网站执行若干步操作,但新的license又是报错,再问在线技术人员,核对了一下设备序列号,他那边生成新的license,发个邮件给我。刷新了几次都没新邮件,瞄了一眼进到垃圾邮件箱了。最后在ASA里面复制粘贴一串激活码,保存重启,Inside Hosts变成unlimited了。
从此再无那个经理的音信。话说回来,还是因为有些细节没有考虑到,造成工作上的被动和不便,以后要多加注意。
原文地址:http://yingruwu.blog.51cto.com/6756488/1793839