簡要:三個出口的網絡裏,郵件服務器只能發郵件,不能收郵件。
網絡拓撲圖:
學校同時接入教育網、聯通和電信,電腦的網關在覈心交換機上,防火牆爲聯通網禦的。
用戶提供的信息:如果電信的外線不接,即外線只有聯通和教育網時,郵件服務器可以正常工作;如果電信的外線接上郵件服務器會出現只能發郵件不能收郵件的情況,其他應用不受影響,此問題存在一兩年了,請教過不少人,但一直找不到原因。
初步判斷:郵件服務器是沒有問題的,很有可能是防火牆上路由配置的問題,因爲網絡配置需要保證郵件服務器發送和接收的地址與DNS上的設置一致。
處理過程:在其郵件服務器正常工作的狀態下,從外網PING郵件服務器的域名,可以PING通;但在郵件服務器出問題的網絡結構下,不能PING通郵件服務器的域名,IP地址也無法PING通。至此就可以判定是防火牆上的路由配置有問題致使郵件服務器無法被外網訪問到。
猜想:發送郵件時,防火牆對數據進行源NAT轉換,這樣目的地址沒有發生改變,所以外網的郵件服務器可以收到郵件。 接收郵件時,郵件服務器解析出的地址爲教育網的真實地址,即外網的數據包通過教育網線路進入內網,但在數據返回時走的是聯通或電信,即使TCP 的三次握手無法成功。
如何解決呢?就是要讓返回的數據還從教育網返回即可,然後根據這個思想在防火牆上加上郵件服務器的源路由,即發送郵件和接受郵件都只能從教育網的線路上走。
更改配置後,測試一切正常。此時可以從外網PING通郵件服務器。
擴展:此類問題不僅存在於郵件服務器,只要是雙出口的網絡都可能會存在此類問題,即要保證外網訪問內網的數據從哪裏來還從哪裏回去。一般常用的策略就是源路由。神州數碼的安全網關在接口上有此配置選項“逆向路由”,將此項功能關閉即可實現數據報文從哪裏來還從哪裏返回的功能,不需要再配置源路由。