本帖最后由 小魚兒 于 2021-1-24 11:44 编辑
近期有客户新增SSL进行上线,进行短信对接的时候发现异常,下面简单介绍下问题定位和解决的办法。
【网络架构】 如下图所示,两台SSL设备LAN口(ETH0口)接业务交换机并做集群,通过集群IP(VIP)对外提供SSL接入服务;SSL设备的DMZ口(ETH1口)接管理交换机,运维人员通过DMZip对设备进行管理,并且SSL设备通过DMZ口去访问短信网关。 注:下图为简化后的,实际上SSL到短信网关还会经过防火墙等设备。 【错误日志】 然而正常上架后,进行测试的时候,发现短信发送不了,查看日志为connect to gw failed.
【排查思路】 connect to gw failed,即连接短信网关失败 这种告警一般为设备到达短信网关的端口不通 (短信网关的端口配置【SSL vpn设置】-【认证设置】-【辅助认证】-【短信验证码】处进行配置) 因此排查方式主要这几个:
【开始排查】 根据上述信息,我们先到设备上查看下路由,查看路径【系统设置】-【网络配置】-【路由设置】
再确认下设备到短信网关的端口是可通的,路径【系统维护】-【控制台命令】进行sock 短信网关IP+端口
【排查结果】 经过上面两个简单排查,发现SSL设备到短信网关的路由和端口都可达. 因此开始进行抓包分析,协调了400在后台协助抓包后,我们看到SSL设备去访问短信网关的时候,并不是使用他的DMZ口IP,而是使用LAN口的集群IP,而这个IP在防火墙上并没放通。 而客户那边的网络架构而言,短信网关那是回不到包给LAN口的集群IP网段的。因此结合客户环境和400建议。 两台SSL设备除了LAN口做了集群,我们在DMZ口上也做了集群(配置路径【系统设置】-【SSLVPN选项】-【集群部署】-【集群部署设置】勾选DMZ配置,配置对应的集群IP和掩码并提交,会重启集群服务)
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-1-26 12:41
工程师2级 
