作為單位的一名網(wǎng)管，每隔一段時(shí)間就免不了要折騰一次，干什么呢，那就是更換ISP，就祥子單位來說，這么多年來，使用過的IPS從聯(lián)通、鐵通、電信等電信運(yùn)營商到上級(jí)部門和兄弟單位提供的，甚至還有一些本地企業(yè)贊助的，基本上可以說市面上存在ISP的網(wǎng)絡(luò)，我們都使用過了。更換的原因，價(jià)格是一方面，也有些其它層面的問題，咱們做網(wǎng)管就不管不了，但是從技術(shù)層面上，還是要保證每次更換ISP都能夠順利進(jìn)行，說起更換ISP的操作，我們的行話叫割接，ISP一換，我們的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)配置都要?jiǎng)恿耍厝粫?huì)面臨網(wǎng)絡(luò)的中斷，很多時(shí)候用戶終端的配置也要改動(dòng)，這是一項(xiàng)大工程，搞不好是網(wǎng)絡(luò)就要斷個(gè)一天半天，甚至?xí)霈F(xiàn)新的網(wǎng)絡(luò)切不過去，舊的網(wǎng)絡(luò)也切不回去的尷尬局面，被掛在中間，那就更慘了。好在現(xiàn)在隨著經(jīng)驗(yàn)的積累，現(xiàn)在切換的過程越來越順暢了，下面我們結(jié)合最近一次的切換ISP的過程說一下如何才能使切換的過程進(jìn)行的又快又好。

　　總體來說，切換ISP主要涉及到兩（電腦沒聲音）個(gè)方面，一個(gè)是機(jī)房設(shè)備的調(diào)整(包括設(shè)備配置的調(diào)整)，另一個(gè)是用戶端設(shè)置的調(diào)整，從時(shí)間先后上來說，是機(jī)房調(diào)整在前，用戶端設(shè)置調(diào)整在后，但是在具體實(shí)施上，則要盡量做到第一個(gè)調(diào)整實(shí)施的盡可能快，第二個(gè)調(diào)整改動(dòng)的盡可能少，這樣才可以實(shí)現(xiàn)所謂的平http://www.companysz.com滑過渡，以用戶感覺不到使用的ISP變改了為追求目標(biāo)。

　　一、切換ISP前的準(zhǔn)備工作

　　既然是切換ISP，那么我們?cè)瓉砜隙ㄊ且呀?jīng)組建好了一個(gè)網(wǎng)絡(luò)，并且這個(gè)網(wǎng)絡(luò)正在運(yùn)行著，本例中么我們現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)如下：



　　圖1 切換前兩（電腦沒聲音）個(gè)ISP并存

　　比如我們目前使用的是ISP1的網(wǎng)絡(luò)，打算切換到ISP2，那么在正式的網(wǎng)絡(luò)切換以前，就需要提前把ISP2的網(wǎng)線接到CISCO2960交換機(jī)上，那么如何保證兩（電腦沒聲音）家ISP的網(wǎng)絡(luò)有效的隔離呢?通過在交換機(jī)劃分VLAN即可實(shí)現(xiàn)。

　　經(jīng)驗(yàn)一 能來軟的就不要來硬的

　　在進(jìn)行更換ISP的操作時(shí)，盡量能來軟的就來軟的，盡不能的不要來硬的。這句是什么意思呢?即如果能做到通過軟件調(diào)試解決來解決的，就不要去動(dòng)物理的接頭。可不要小看這一個(gè)小小的接頭，在真正進(jìn)行ISP切換的時(shí)候，網(wǎng)管員真恨不得生成三頭六臂來，一邊是急著要把網(wǎng)絡(luò)切過來，另一邊千頭萬緒什么事情都出來了，網(wǎng)管員那個(gè)時(shí)候一般都是抱著個(gè)筆記本在那兒急的冒著一頭汗敲命令呢，根本沒功夫去調(diào)網(wǎng)線，如果喊別人去幫忙，十有八九是越忙越忙，所以切換ISP的第一條經(jīng)驗(yàn)，就是盡可能將所有的工作都通過軟件解決，即網(wǎng)管員可以專心致志的抱著筆記本調(diào)試，而盡量少跑動(dòng)耽誤時(shí)間，比如在正式切換ISP時(shí)，將PIX520連接到CISCO3550上的網(wǎng)口所屬的VLAN劃歸與ISP2的一致即可。

　　二、正式切換時(shí)的重點(diǎn)戲：更改硬件防火墻的配置

　　我們使用NAT設(shè)備是一臺(tái)CISCO PIX520硬件防火墻，更換ISP時(shí)涉及硬件防火墻的配置改動(dòng)，主要有四個(gè)地方，以實(shí)際的網(wǎng)絡(luò)參數(shù)為例，說明一下配置文檔。

　　(一)需要修改防火墻外網(wǎng)口的地址，這一步直接修改即可

　　ip address outside 221.*.*.84

　　(二)修改轉(zhuǎn)換地址，這一步要先將舊地址no掉，然后再設(shè)置新地址

　　no global (outside) 1 222.*.*.90 netmask 255.255.255.255

　　global (outside) 1 221.*.*..85 netmask 255.255.255.255

　　(三)修改網(wǎng)關(guān)地址，這一步同樣需要先no掉舊地址，再設(shè)置新地址

　　no route outside 0.0.0.0 0.0.0.0 222.175.169.65

　　route outside 0.0.0.0 0.0.0.0 221.1.223.94

　　(四)執(zhí)行clear xlate命令

　　這行指令的作用是清空以前的NAT清空，使新的NAT生效。

　　經(jīng)驗(yàn)二、創(chuàng)建配置文檔，盡量不要一條一條的敲命令

　　作為一名有經(jīng)驗(yàn)的網(wǎng)管，在進(jìn)行工程量比較大的網(wǎng)絡(luò)調(diào)試或操作時(shí)一般都是通過預(yù)先編寫好的腳本來執(zhí)行一系列操作的，而不是一條命令一條命令的敲，原因很簡單，也是害怕忙中出錯(cuò)，提高撰寫腳本一來時(shí)間比較充裕，二來可以考慮的比較全面。雖然網(wǎng)絡(luò)割接是在某個(gè)指定的時(shí)間段時(shí)行的，但是準(zhǔn)備工作越早開展越好，所謂“宜未雨綢繆，勿臨渴掘井”。

　　不過凡事也不能絕對(duì)，割接時(shí)使用配置腳本便敏，但是也不能一棵樹上吊死，如果執(zhí)行完腳本以后發(fā)現(xiàn)網(wǎng)絡(luò)不通了(即割切失敗)，應(yīng)當(dāng)迅速、仔細(xì)的檢查腳本，再次執(zhí)行，如果二次以上均未成功，則立即就要轉(zhuǎn)換思路，改為一條指令一條指令的敲，很可能經(jīng)過這一遍網(wǎng)絡(luò)就通了(這就說明以前撰寫腳本時(shí)忽略某些方面)，而千萬不要一邊嘴里（電腦自動(dòng)關(guān)機(jī)）嘟嚕著“為什么還不通，還不通，怎么會(huì)這樣”之類的話，一邊把同一個(gè)腳本執(zhí)行了一遍又一遍，那樣做的話就是讓人家笑話了。

　　以上介紹了切換操作的執(zhí)行腳本，下面是恢復(fù)腳本：

　　conf t

　　ip address outside 222.*.*.80

　　no global (outside) 1 221.*.*..85 netmask 255.255.255.255

　　global (outside) 1 222.*.*.90 netmask 255.255.255.255

　　no route outside 0.0.0.0 0.0.0.0 221.1.223.94

　　route outside 0.0.0.0 0.0.0.0 222.175.169.65

　　exit

　　clear xlate

　　為什么還要提前撰寫恢復(fù)腳本，就是為了預(yù)防萬一切換失敗，好再迅速的回復(fù)到原來網(wǎng)絡(luò)，這樣用戶上網(wǎng)不受影響，從而為排查故障爭取時(shí)間，所謂“未思勝先思敗”就是這個(gè)道理。