(一)原因:
聯通公網dns外網無法通路對外提供dns伺服器;
外網無法通路郵件系統域名;
公網dns伺服器1(10.60.2.29)53端口無法通路;
防火牆政策配置不完整;
(二)問題處理過程:
接到問題報告,外網無法通路郵件系統域名;
通過外網nslookup mail.xx.com.cn,隻能到聯通dns,提示找不到mail.xx.com.cn。
查詢出外網radware(10.60.248.3),檢視lp—static—nat,檢視位址轉換;
查詢出外網radware(10.60.248.3),檢視pat,檢視位址端口轉換;
檢視郵件系統拓撲圖及配置統計資訊;
确認郵件系統對外網位址為聯通(123.x.x.x),電信(58.x.x.x)以及各次内網中各次位址轉換位址。
通過外網直接通路郵件系統外網位址,能夠正常通路,推斷為dns問題。
檢視f5,确認dns虛位址:10.60.1.184;
檢視防火牆,确認dns轉換後位址10.60.7.236;
檢視radware,确認dns外網位址(聯通:123.x,電信:58.x)。
檢查radware、防火牆、f5政策,同時檢查實體機公網dns伺服器1(10.60.2.29)、dns伺服器2(10.60.2.30)。
外網dns伺服器1關閉。
開啟外網dns伺服器1。
防火牆nat端口映射政策不完善,缺少nat_dns-transfer政策。
添加、完善防火牆nat政策。
(dns伺服器相關政策,coremail系統dns-query、dns-transfer服務政策)
問題解決。
(三)建議:
加強防火牆政策,對防火牆政策進行完善、優化,并定期備份。
建立業務系統檢測機制,及時發現業務系統可能面臨的問題。