记录一次atrust业务访问异常处理

背景介绍

客户有一个OA系统对外发布，原有的虚拟服务是配置在出口负载上面，近期新增了两台负载旁路部署，将OA系统迁移到旁路负载上后，通过atrust就无法访问OA了。

问题描述

用户拨入atrust后使用域名访问OA系统会跳转到出口负载的控制台界面。

处理过程

1、 由于OA业务迁移后外网访问都测试正常，所以判断不是旁路负载配置异常导致的问题，重点查看atrust的流量走向。

首先看一下资源配置，是采用了*.域名的方式进行资源发布，那么客户端的域名解析最终是由atrust设备来做的。

在控制台ping域名查看结果，解析到了公网ip，确认了下这个ip是出口AD的WAN口ip

梳理网络拓扑后基本确认：atrust解析的IP是AD的WAN口IP，访问流量入口是AD的LAN口，由于出口AD没有针对内到外流量做地址转换所以最终是访问到了AD控制台界面。

2、 针对之前的分析，提出了一种解决方案：atrust控制台添加host记录，将OA对应域名指向旁路负载的虚拟服务地址；随后测试已经可以正常访问OA系统。

3、 处理完资源访问问题，随后客户提出疑问：拨入atrust后ping域名返回了198开头的IP，无法ping通真实内网服务器。

尝试添加内网网段ALL类型资源，依然无法ping通；最后咨询了一下400了解了不同类型资源的访问方式，如果隧道应用里面直接都只填了域名，那么客户端去解析这个域名的时候就会通过198开头的fake IP去进行引流到代理网关设备上去进行解析，此时无法解析出真实IP也就无法ping通；

4、针对用户新的需求，和客户沟通了新的资源发布方式：直接发布内网真实服务器IP+端口，用户拨入后通过域名访问，【用户策略】开启内网DNS解析，使得客户端去访问时通过配置的内网DNS服务器去进行域名解析。

调整资源配置后已经可以正常解析出IP了

问题总结

1、 域名方式发布的资源无法在终端使用ping或nslookup解析到真实IP，如果想要看到真实IP就发布IP+配置内网DNS解析的方式

2、 同时发布了域名资源和IP资源，终端拨入后在浏览器输入域名去访问（或者ping域名）会匹到域名资源。

每天坚持打卡学习！！

感谢分享有助于工资和学习！

每天坚持打卡学习！！

感谢分享，有助于工作和学习

多谢楼主分享，学习了。

每天学习一点点！！！

有助于学习，感谢分享！！！！！！！

感谢分享，有利于工作和学习

感谢分享有助于工资和学习！