2011年3月,怀着一颗对未来充满憧憬的心,离开了长沙,南下广州。进入了第一家供职的公司,在这里我第一次接触了某公司。第一次全面了解某公司,是通过某公司对外宣传的产品彩页。然后,通过公司提供的平台接口,拿到了相关的技术学习资料,开始自学。从最初的不知道怎么登陆设备的小白,逐步的变成了IT老鸟。逛过社区的前身BBS,也做过社区的顾问。从AC1.96到现在的12.0.5,见证了某公司从传统的应用层安全产品到虚拟化云时代的变迁。
2016年5月,离开广州重回长沙,时隔五年再一次踏入这坐城市的时候,有一种和这座城市格格不入的感觉。简单的沉淀之后,再一次重回某公司体系。这一年,对于做服务又有了更深一个层次的考虑。抛开了以前的针对问题解决问题,头痛医头脚痛治脚的处理方式。对待问题时会纵观全局,换位不同的角度去对待,一切以客户满意为结果导向,坚信所有的问题都有解决方法。 不知不觉的写了这么多,下面我也来分享一次问题处理的经验吧!11月的某一天晚上9点正坐在家里泡这热水脚汇总一天的工作情况,同事来了个电话说:有一个客户需要通过VPN来实现在分支端的出口发布总部的官网WEB服务器,需要协助处理。做了简单的某公司和判断后发现,需求有一些不太符合常规,中间会有一些风险。所以首先电话联系了客户,详细了解客户的想法和原因,并指出其中存在的风险点。 客户的出发点很简单,在长沙建立了统一的数据中心,以前放在东莞的官网WEB服务器需要回迁长沙。那么问题来了,由于前期的疏忽,官网的网页在长沙出口的地址上没有进行相关注册,无法通过长沙的出口进行发布,服务器也已经搬迁到了长沙,在天亮前需要网站上线。 基于以上的情况,进行了分析和客户进行说明:首先,这种方式,我们没有做过类似的方案,但是分析了数据流后原理上是可行的。给我点时间您一起配合我来想办法把这个方案实现;其次,在这里面会存在以下问题:1、总部和分支间的带宽局限,分支的带宽上网消耗等问题带来的官网数据的访问速度和稳定性问题(只适合做暂时应急);2、总部通过域名访问官网的数据走向问题。 具体网络拓扑图如下: 解决思路: 一、拉通长沙和东莞的IPsec vpn。这里需要注意的是,通过东莞防火墙映射在长沙的服务器,首先要保证东莞的防火墙能够ping通长沙的服务器,而防火墙通过VPN ping服务器内网用的是防火墙的VPN接口地址作为源地址去ping的,所以需要保证长沙和东莞防火墙的VPN接口地址路由可达,这里的话,我通过在长沙的VPN设备上做源地址转换来实现,配置如下图: 二、做端口映射:1、由于之前服务器是在本端进行的发布,服务器放到长沙后也沿用了原有的地址,对东莞的地址段进行了修改,所以端口映射可以沿用。2、进行公网访问测试,发现不通,无法打开官网;3、进行数据分析,通过东莞外网进来的数据最后要通过VPN去访问长沙的服务器,所以需要在东莞的防火墙上做放通外网区域到VPN接口区域的数据访问,这里的话,我是将VPN接口放到了LAN口区域。4、再次进行访问测试,发现依然不通;5、进一步分析数据:因为防火墙上做的只是目的地址转换,然后访问连接到了长沙的服务器后,由于没有做源地址的转换所以数据回包直接走了长沙的出口;6、进行端口映射调整,将目的地址转换改成双向地址转换,进行测试问题解决。 三、解决长沙内网通过域名访问官网的数据走向问题:直接在长沙出口AD上做内网DNS记录,让AD直接将域名解析成服务器内网的IP供本地PC访问。 部分客户聊天截图如下: | 
发表于 2017-12-8 11:59
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
