(一)原因:
聯通公網DNS外網無法通路對外提供DNS伺服器;
外網無法通路郵件系統域名;
公網DNS伺服器1(10.60.2.29)53端口無法通路;
防火牆政策配置不完整;
(二)問題處理過程:
接到問題報告,外網無法通路郵件系統域名;
通過外網nslookup mail.xx.com.cn,隻能到聯通DNS,提示找不到mail.xx.com.cn。
查詢出外網Radware(10.60.248.3),檢視LP—static—NAT,檢視位址轉換;
查詢出外網Radware(10.60.248.3),檢視PAT,檢視位址端口轉換;
檢視郵件系統拓撲圖及配置統計資訊;
确認郵件系統對外網位址為聯通(123.x.x.x),電信(58.x.x.x)以及各次内網中各次位址轉換位址。
通過外網直接通路郵件系統外網位址,能夠正常通路,推斷為DNS問題。
檢視F5,确認DNS虛位址:10.60.1.184;
檢視防火牆,确認DNS轉換後位址10.60.7.236;
檢視radware,确認DNS外網位址(聯通:123.x,電信:58.x)。
檢查radware、防火牆、F5政策,同時檢查實體機公網DNS伺服器1(10.60.2.29)、DNS伺服器2(10.60.2.30)。
外網DNS伺服器1關閉。
開啟外網DNS伺服器1。
防火牆NAT端口映射政策不完善,缺少NAT_DNS-transfer政策。
添加、完善防火牆NAT政策。
(DNS伺服器相關政策,coremail系統DNS-query、DNS-transfer服務政策)
問題解決。
(三)建議:
加強防火牆政策,對防火牆政策進行完善、優化,并定期備份。
建立業務系統檢測機制,及時發現業務系統可能面臨的問題。
本文轉自cf123456 51CTO部落格,原文連結:http://blog.51cto.com/chengfei/1568758
![高防伺服器、高防IP與高防CDN的差別[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)