我继承了一个很多事情都没有意义的环境,现在我负责对它进行改变,为此,我必须在修改之前了解到底发生了什么。
长话短说 - LAN 上有一个电子邮件服务器,WAN 上有一个防火墙。防火墙的 WAN IP 以 .89 结尾。电子邮件服务器的 A 记录以 .90 结尾。(我们的 IP 池是 .89-.93,尽管实际上只插入了一个地址 .89 - 只有一条线路终止于来自 ISP 的服务器机柜中)。
我正在尝试弄清楚这是如何实现的。根据逻辑,我可以想象,除非 ISP 正在采取措施将流量从 .90 地址(未物理插入)重定向到 .89 地址,否则任何发往 .90 的邮件都不应该到达 .89 - 但确实会到达。
ISP 告诉我他们不会做任何此类事情,但是我已经没有其他主意了...我只需要知道,因为 IP 池正在发生变化(ISP 正在切换到不同的地址池),并且我需要了解所有配置点,以确保一旦 IP 发生更改,就不会出现过时的配置,并且在 DNS 修改传播后,电子邮件将正确流向新地址。
如果您能想到这里可能发生的其他情况,请告诉我。我认为当防火墙的 WAN IP 为 .89 时,它不会进行重定向,因此不应该看到任何指向 .90 的流量,对吗?
提前致谢,
米
答案1
防火墙很可能正在对绑定到其后面的“事物”的流量进行 ARP 处理 - 防火墙就是这样配置的。在 ISP 的路由器上执行“show ip arp”很可能表明 .89 和 .90 具有相同的 MAC 地址。LAN 上的邮件服务器是否配置了 .90,如果是,端口上的内部 LAN 配置是什么样的,防火墙上的防火墙/nat/whatever 命令是什么样的?
答案2
您的 ISP 已配置其路由,以便您指定的网络块 (.89-.93) 的任何流量都被发送到 .89。
答案3
也许您的防火墙正在为该 IP 执行透明 NAT?(尽管考虑到设置,这种情况不太可能发生)。此外,防火墙上可能只是简单的 NAT,将 .90 流量发送到您的邮件服务器。
或者也许是防火墙 LAN 接口上的 VLAN 为邮件服务器 IP 创建了 DMZ?
我会看一下防火墙,我怀疑你的答案就在那里。
答案4
我不相信 ISP 不会将他们拥有的地址块路由给他们已分配该地址块的客户。我会从网络外部对已分配的每个 IP 地址运行 tracert,并查看跟踪所采用的路径。