【每日一记12】--查看IP是否属于VPN及溯源方式

1.1、问题描述

        客户那边如果给你一个IP说是VPN用户的，需要确定是否属于VPN？

1.2、思路排查

（1）登录设备控制台，查看访问资源方式

       如果发现设备是以设备的IP地址作为源地址，那么需要去设备的网络配置里面看下客户提供的IP是否和设备业务IP相同。

       集群设备有两台，可以去集群选项中看到另外一个设备的地址。

（2）如果访问资源方式是以虚拟ip访问

       那么去虚拟ip池中查看客户提供的IP是否在虚拟ip池中，比对即可

1.3、用户要求溯源怎么办

       设备未配置外置数据中心，但是发送了syslog日志，其中发送了用户的登录注销日志以及使用的ip，让客户去对应的syslog服务器上去查日志。

注意：如果用户是以设备接口ip去访问资源，那么syslog日志中看到的ip是设备的接口ip，溯源无效，无法定位用户，其他定位用户方式存在偶然性，只可判断大致用户列表。如果是以虚拟ip去访问资源，那么syslog日志中可看到恶意用户使用的ip，查看攻击事件时间段该IP对应的用户即可定位。

打卡学习

文章有料，写出了用户访问资源的两种资源模式在syslog日志服务器上显示主机IP的实际作用以及意义，并将集群的情况也描述出来，建议楼主将两种资源访问模式在部署时候的选择以及各自的优缺点之类的，比如当VPN设备单臂部署时，以虚拟IP地址为源地址访问资源的时候需要在前置设备上添加虚拟IP地址池的回包路由，这一点很容易忘记导致资源访问异常情况哦~

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！