有客戶反饋，無法通過sdwan鏈路訪問總部及其他分支機構的網絡，總部的IT人員要求在核心交換機上寫三條靜態路由，分別到達總部和另外兩個分支機構，但是，在此之前，我就看過核心交換機，這些靜態路由本就存在，并未刪除或者修改。

要求客戶在他電腦上執行命令：tracert -d 172.16.1.254

192.168.240.254是網關IP，下一跳全是*，就是到奇安信防火墻上了，顯然路徑已經不對了。

因為拓撲圖是下面這樣的，所以下一跳應該是sdwan才對。

看了一下路由表，想到應該是優先級的問題，所有請求全部從默認路由出去了，并不會走sd-wan鏈路。

此時，我遠程登錄華為S5700交換機，發現瀏覽器版本太高，只能看，沒辦法修改，于是讓客戶修改默認路由的優先級為70，并且保存配置。

其實在此之前，我就讓他們把優先級設置為100，但是當時我的消息可能被他們忽略了，輸入命令的時候，后面的“preference 100”沒打上去，導致優先級都是一樣的60。

本以為修改優先級后，問題能解決，誰知道，還是無法通過sd-wan鏈路訪問總部的網絡。

Sd-wan設備無權登錄，一時無法判斷問題，原來的IP信息也不是很清楚，于是問客戶要來核心交換機沒改過配置前的備份文件，分析問題。

從配置文件看到，原vlan240的ip是192.168.240.1，那sd-wan設備就是192.168.240.2了。

核心原來的vlan1是192.168.0.0/24，現在不再使用這個網段了，核心上把VLAN1的端口全部劃分到vlan240了，原來vlan1的ip是192.168.0.254，所以順手把vlan240改成了192.168.240.254，雖然上網是沒問題了，但是與sd-wan就跑不通了。

問題找到了，要么登錄 sd-wan設備，修改回程路由，要么還是修改核心VLAN240的ip，還是改回192.168.240.1，但是由于客戶有線網絡環境非DHCP，所以得逐一修改網關IP，比較麻煩，好在臺式電腦不多。

于是，趁著午休時間，核心交換機上把vlan240的IP修改為192.168.240.1，經測試sd-wan正常通訊，與總部網絡通了，臺式電腦逐一修改網關即可。

到此，排查結束，問題解決。

總結：修改網絡設備的配置之前，首先要把需要達成的目標了解清楚，然后務必先把拓撲圖畫出來，關聯IP地址標注清楚，理清思路后，方可實施。

順便再提一下，其實拓撲應該改一下，更為妥當——既然有硬件防火墻，當然讓sd-wan接入防火墻更有安全保障吧。

這種架構，一是提高了安全性，二是便于管理：sd-wan與互聯網一樣，被當做外部鏈路，今后無論它怎么改，都跟內網沒關系。