(一)原因:

联通公网DNS外网无法访问对外提供DNS服务器;

    外网无法访问邮件系统域名;

公网DNS服务器110.60.2.2953端口无法访问;

防火墙策略配置不完整;

(二)问题处理过程:

接到问题报告,外网无法访问邮件系统域名;

通过外网nslookup mail.xx.com.cn,只能到联通DNS,提示找不到mail.xx.com.cn

查询出外网Radware10.60.248.3),查看LPstaticNAT,查看地址转换;

查询出外网Radware10.60.248.3),查看PAT,查看地址端口转换;

查看邮件系统拓扑图及配置统计信息;

确认邮件系统对外网地址为联通(123.x.x.x),电信(58.x.x.x)以及各次内网中各次地址转换地址。

通过外网直接访问邮件系统外网地址,能够正常访问,推断为DNS问题。

查看F5,确认DNS虚地址:10.60.1.184

查看防火墙,确认DNS转换后地址10.60.7.236

查看radware,确认DNS外网地址(联通:123.x,电信:58.x)。

检查radware、防火墙、F5策略,同时检查物理机公网DNS服务器110.60.2.29)、DNS服务器210.60.2.30)。

外网DNS服务器1关闭。

开启外网DNS服务器1

防火墙NAT端口映射策略不完善,缺少NAT_DNS-transfer策略。

添加、完善防火墙NAT策略。

DNS服务器相关策略,coremail系统DNS-queryDNS-transfer服务策略)

问题解决。

(三)建议

加强防火墙策略,对防火墙策略进行完善、优化,并定期备份。

建立业务系统检测机制,及时发现业务系统可能面临的问题。