二、正式切换时的重点戏：更改硬件防火墙的配置

　　我们使用NAT设备是一台CISCO PIX520硬件防火墙，更换ISP时涉及硬件防火墙的配置改动，主要有四个地方，以实际的网络参数为例，说明一下配置文档。

　　(一)需要修改防火墙外网口的地址，这一步直接修改即可

　　ip address outside 221.*.*.84

　　(二)修改转换地址，这一步要先将旧地址no掉，然后再设置新地址

　　no global (outside) 1 222.*.*.90 netmask 255.255.255.255

　　global (outside) 1 221.*.*..85 netmask 255.255.255.255

　　(三)修改网关地址，这一步同样需要先no掉旧地址，再设置新地址

　　no route outside 0.0.0.0 0.0.0.0 222.175.169.65

　　route outside 0.0.0.0 0.0.0.0 221.1.223.94

　　(四)执行clear xlate命令

　　这行指令的作用是清空以前的NAT清空，使新的NAT生效。

　　经验二、创建配置文档，尽量不要一条一条的敲命令

　　作为一名有经验的网管，在进行工程量比较大的网络调试或操作时一般都是通过预先编写好的脚本来执行一系列操作的，而不是一条命令一条命令的敲，原因很简单，也是害怕忙中出错，提高撰写脚本一来时间比较充裕，二来可以考虑的比较全面。虽然网络割接是在某个指定的时间段时行的，但是准备工作越早开展越好，所谓“宜未雨绸缪，勿临渴掘井”。

　　不过凡事也不能绝对，割接时使用配置脚本便敏，但是也不能一棵树上吊死，如果执行完脚本以后发现网络不通了(即割切失败)，应当迅速、仔细的检查脚本，再次执行，如果二次以上均未成功，则立即就要转换思路，改为一条指令一条指令的敲，很可能经过这一遍网络就通了(这就说明以前撰写脚本时忽略某些方面)，而千万不要一边嘴里嘟噜着“为什么还不通，还不通，怎么会这样”之类的话，一边把同一个脚本执行了一遍又一遍，那样做的话就是让人家笑话了。

　　以上介绍了切换操作的执行脚本，下面是恢复脚本：

　　conf t

　　ip address outside 222.*.*.80

　　no global (outside) 1 221.*.*..85 netmask 255.255.255.255

　　global (outside) 1 222.*.*.90 netmask 255.255.255.255

　　no route outside 0.0.0.0 0.0.0.0 221.1.223.94

　　route outside 0.0.0.0 0.0.0.0 222.175.169.65

　　exit

　　clear xlate

　　为什么还要提前撰写恢复脚本，就是为了预防万一切换失败，好再迅速的回复到原来网络，这样用户上网不受影响，从而为排查故障争取时间，所谓“未思胜先思败”就是这个道理。