发布CNKI资源，存在子链接无法访问、加载不稳定等现象

一、问题现象

l SSL 7.6.6，客户以发布WEB应用的形式发布CNKI资源，但存在资源加载不稳定的现象；

l 通过发布TCP应用的形式发布CNKI资源并开启智能递推，但无法下载资源。

二、处理排查过程

l 定位客户需求：通过和客户深入交流，挖掘客户真实需求为需要在内网发布CNKI资源，使外网用户接入VPN后不用登陆CNKI也能稳定访问和下载CNKI资源。

l 故障原因分析：

n CNKI资源内存在很多子链接且链接间相互交叉，有多达14个网段，在访问以WEB应用形式发布的资源时，需要加载很多JS控件，从而导致资源加载不稳定。

n 访问开启智能递推的TCP应用时，登陆后的CNKI为未登录状态，提示“ip地址不在许可范围”，所以无法下载资源。原因为知网有部分负责用户认证的IP没有通过VPN访问。

三、解决方案

l 1.通过TCP应用的形式发布资源

n 以IP地址段的形式发布

u 配置步骤：

v 1.由于每个应用最多只能同时添加10条地址段，所以将CNKI的14个网段以2个TCP应用的形式发布，设置该资源对用户不可见；

v 2.以TCP应用的形式发布CNKI的首页，以域名方式添加地址www.cnki.net ，设置该资源对用户可见；

n 以智能递推的形式发布

u 配置步骤：

v 1.『系统设置』→『SSL VPN 选项』→『系统选项』→『资源服务选项』→『TCP 应 用』，勾选[启用资源智能递推，选择[仅以下地址并在规则列表中添加需要进行智能递推的URL地 在本案例中填写『*.cnki.*』『*.cnki.net 』『*.d.cnki.net』这3条URL地址，还有其他形式的URL链接可以同样加到规则列表里面。

v 2.以TCP应用的形式发布CNKI的首页，以域名方式添加地址www.cnki.net ，添加IP地址103.227.81.1-103.227.81.254/1:65535（用于用户认证）；

l 2.通过L3VPN应用的形式发布资源

n 1.由于每个应用最多只能同时添加10条地址段，所以将CNKI的14个网段以2个L3VPN应用的形式发布，设置该资源对用户不可见；

n 2.以L3VPN应用的形式发布CNKI的首页，以域名方式添加地址www.cnki.net ，设置该资源对用户可见；

一、建议与总结

l 1.智能递推最主要实现的功能就是在添加某个资源页面后也能通过不添加资源的方式来访问该页面的子链接。这样可以极大的简化配置，实现客户的需求。如：CNKI、某公司资源等。

l 2.智能递推功能只支持IE内核浏览器，不支持其他内核的浏览器，仅TCP资源有智能递推功能。

l 3.L3VPN应用的稳定性要高于TCP应用，所以建议优先采用L3VPN应用发布资源。

l 4.知网全IP地址段如下：

211.151.247.1-211.151.247.254/1:65535  

121.194.4.1-121.194.4.254/1:65535      

117.79.83.225-117.79.83.239/1:65535   

211.151.93.1-211.151.93.254/1:65535     

59.64.113.1-59.64.113.254/1:65535      

211.155.94.128-211.155.94.159/1:65535   

103.26.1.96-103.26.1.127/1:65535        

103.227.81.1-103.227.81.254/1:65535

119.167.209.1-119.167.209.254/1:65535  

150.138.158.1-150.138.158.15/1:65535   

150.138.141.1-150.138.141.31/1:65535  

42.247.13.192-42.247.13.223/1:65535   

120.221.32.1-120.221.32.254/1:65535

115.31.65.1-115.31.65.254/1:65535

感谢楼主精彩的分享，给配置访问某公司资源提供了很大的帮助，配置智能递推功能，只支持TCP资源，另外配置地址需要用域名访问还需要配置DNS内网域名解析，期待楼主下次分享

谢谢分享，有助工作。

谢谢分享，有助工作。

感谢分享

谢谢分享，有助工作。