网闸GAP-2000应用访问不通问题
组网简化为:
客户端---内端机(网闸)外端机---服务器
不涉及
现场配置了内端机到外端机的映射,类型为TCP通道,实际测试发现无法进行访问。
通道设置如下:
针对ID 70的通道进行说明,排查手段如下:
对于正常的TCP业务,测试客户端到网闸内端机,以及网闸外端机到服务器的连通性即可。
(1) 客户端到网闸之间的网络连通性,可用从客户端telnet网闸通道端口来测试。如果telnet能通就没问题,如果telnet不到就说明网络有异常。需要找客户来进一步查明原因。检查链路上是否有其它安全产品拦截了,或者路由是否可达。
(2) 网闸到服务端之间的网络连通性,测试起来可能比较麻烦。由于网闸不带telnet客户端功能,所以只能让笔记本模拟成网闸IP,接到网络里telnet一下服务器。判断依据同上。
如果两边telnet都通的,那可能就是应用协议或配置上问题了。需要抓包具体分析了。
实际测试下来发现客户端到网闸内端机是通的,但是外端机ping服务器地址不通。
那么需要继续排查外端机侧网络不通问题,由于网闸不能在Web界面同时抓包和ping测试。因此可以登入网闸后台测试,Web界面抓包。
后台账户密码root/adminh3c,需要注意的是int标识为内端机,ext标识为外端机。在网闸内端机执行ssh 241.255.255.242/10.255.255.242(E6001P02及之前版本)即可进入外端机操作。需要注意网闸后台操作命令需要加ns,例如:
抓包发现很奇怪的现象,网闸在请求目的地址10.242.0.228的arp信息。这一点就很奇怪,连接地址为10.242.57.100/24,和目的地址(10.242.0.228)并非同一网段。在网闸后台查看路由,确实是直连路由。
后续测试针对目的地址10.242.0.228添加主机路由到下一跳10.242.57.254之后业务正常。此操作建议Web界面添加,不要后台操作。
示例:
检查设备配置,slot4网卡配置了IP地址10.242.0.4。导致同一个网段内优先走二层转发。
因此针对网闸而言,网闸地址和目的地址存在多跳设备的场景下,不能配置同一网段。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作