|
背景 1、XX财政局利用超融合新搭建业务系统,新系统运行在超融合平台上,其中有一个服务器由于业务关系需要能够访问到互联网,及能从互联网访问到服务器。 2、原来的环境是大内网环境,没有互联网出口,于是在他们内外一个互联网线路出口上新加网口连接到现在网络,拓扑如下。 问题现象 1、由于要通过VPN访问内网服务器,于是在出口AD上做了端口映射,映射到SSL VPN设备的443端口,SSL VPN已经发布了内网资源。在AD上写了默认路由到10.10.80.X网段指向核心交换机。通过外网登录VPN时发现连接不上,外网IP能ping通,但是端口不通。 2、需要其中一台服务器可以直接访问互联网的某公司个IP,某公司公司的服务网关是指向核心的,因此在核心上指了一条明细路由到互联网X.X.X.X指向到互联网出口AD上。原来AD本身是出口做了代理上网,配置上没问题。但是服务器还是访问不了指定的X.X.X.X。 网络拓扑
排错问题一、端口映射问题排查 1、 首先确认内网服务器端口状态是否正常,在内网可以直接打开SSL VPN的443端口,确认服务器本身服务没问题。 2、 在出口AD设备上抓包,发现出口设备收到了请求包。于在SSL设备上抓包,发现SSL设备也收到了请求,也回了数据包。这样基本可以确定是在出口和SSL设备中间链路出了问题。 3、由于服务器到中间链路之间是透明设备,服务器网关指向核心交换机,因此接下来排查核心交换机到出口AD设备中间是否有问题。 4、于是在出口AD的LAN口抓包,发现源是公网IP,目的到服务器443的请求包,但是没有收到回包,果然是中间除了问题,但是为什么明明服务器回了包,但是AD却收不到呢? 通常这种情况都要先考虑路由是否有问题。 5、仔细一想,由于做了端口映射之后,出口设备收到请求包之后,源为公网,目的地址是服务器,服务器回包时,源目IP相反,在核心交换机上没有到互联网的路由。问题的原因找到了,接下来就要解决了。 6、由于客户这边不方便修改核心交换机上的路由,这下怎么操作呢,其实很简单,在AD上做一次地址转换,把访问到服务器网段数据包的源地址转换成AD内网口地址便解决了。 问题二、服务器上互联网排查 1、由于客户这边是某公司个特定的服务器需要访问某公司个特定的外网IP,于是在核心交换机上写了一条主机路由。测试时发现服务器某公司公司法ping通互联网IP。 2、于是按照常规网络问题排查先来逐段排查,在服务器上ping网关正常,ping 核心交换机和AD设备互联口10.2不通!这是什么情况,服务器的网关指向了核心交换机,竟然ping不通核心交换机某公司公司接口的地址。 3、检查核心交换机上没有做相关的ACL,咨询中间防火墙的技术说他们透明部署,也没有做相关的应用控制。 4、于是又反过来检查,在AD的后台指定AD和交换机互联的接口ping内网的服务器,竟然通了!这就更让人迷惑了。 5、到这里不得不怀疑中间的防火墙是否真的什么策略都没有做了,沟通之后把防火墙跳过之后测试,通了!!!再让防火墙的人检查一看确实是有拦截。 结论 1、网络问题排查记住“有来有回” 2、中间有安全设备千万不要简单相信“我什么拦截都没有做” | 
发表于 2018-10-25 17:17
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
