本帖最后由 新手703537 于 2023-11-21 15:14 编辑
背景介绍
客户有一个OA系统对外发布,原有的虚拟服务是配置在出口负载上面,近期新增了两台负载旁路部署,将OA系统迁移到旁路负载上后,通过atrust就无法访问OA了。 问题描述
用户拨入atrust后使用域名访问OA系统会跳转到出口负载的控制台界面。 处理过程1、 由于OA业务迁移后外网访问都测试正常,所以判断不是旁路负载配置异常导致的问题,重点查看atrust的流量走向。 首先看一下资源配置,是采用了*.域名的方式进行资源发布,那么客户端的域名解析最终是由atrust设备来做的。 在控制台ping域名查看结果,解析到了公网ip,确认了下这个ip是出口AD的WAN口ip 梳理网络拓扑后基本确认:atrust解析的IP是AD的WAN口IP,访问流量入口是AD的LAN口,由于出口AD没有针对内到外流量做地址转换所以最终是访问到了AD控制台界面。 2、 针对之前的分析,提出了一种解决方案:atrust控制台添加host记录,将OA对应域名指向旁路负载的虚拟服务地址;随后测试已经可以正常访问OA系统。 3、 处理完资源访问问题,随后客户提出疑问:拨入atrust后ping域名返回了198开头的IP,无法ping通真实内网服务器。 尝试添加内网网段ALL类型资源,依然无法ping通;最后咨询了一下400了解了不同类型资源的访问方式,如果隧道应用里面直接都只填了域名,那么客户端去解析这个域名的时候就会通过198开头的fake IP去进行引流到代理网关设备上去进行解析,此时无法解析出真实IP也就无法ping通; 4、针对用户新的需求,和客户沟通了新的资源发布方式:直接发布内网真实服务器IP+端口,用户拨入后通过域名访问,【用户策略】开启内网DNS解析,使得客户端去访问时通过配置的内网DNS服务器去进行域名解析。 调整资源配置后已经可以正常解析出IP了 问题总结 1、 域名方式发布的资源无法在终端使用ping或nslookup解析到真实IP,如果想要看到真实IP就发布IP+配置内网DNS解析的方式 2、 同时发布了域名资源和IP资源,终端拨入后在浏览器输入域名去访问(或者ping域名)会匹到域名资源。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-11-21 23:00
工程师1级