網路故障處理心得之三

簡要：三個出口的網路裡，郵件伺服器只能發郵件，不能收郵件。

網路拓撲圖：

學校同時接入教育網、聯通和電信，電腦的閘道器在核心交換機上，防火牆為聯通網御的。

使用者提供的資訊：如果電信的外線不接，即外線只有聯通和教育網時，郵件伺服器可以正常工作；如果電信的外線接上郵件伺服器會出現只能發郵件不能收郵件的情況，其他應用不受影響，此問題存在一兩年了，請教過不少人，但一直找不到原因。

初步判斷：郵件伺服器是沒有問題的，很有可能是防火牆上路由配置的問題，因為網路配置需要保證郵件伺服器傳送和接收的位址與dns上的設定一致。

處理過程：在其郵件伺服器正常工作的狀態下，從外網ping郵件伺服器的網域名稱，可以ping通;但在郵件伺服器出問題的網路結構下，不能ping通郵件伺服器的網域名稱，ip位址也無法ping通。至此就可以判定是防火牆上的路由配置有問題致使郵件伺服器無法被外網訪問到。

猜想：傳送郵件時，防火牆對資料進行源nat轉換，這樣目的位址沒有發生改變，所以外網的郵件伺服器可以收到郵件。接收郵件時，郵件伺服器解析出的位址為教育網的真實位址，即外網的資料報通過教育網線路進入內網，但在資料返回時走的是聯通或電信，即使tcp 的三次握手無法成功。

如何解決呢？就是要讓返回的資料還從教育網返回即可，然後根據這個思想在防火牆上加上郵件伺服器的源路由，即傳送郵件和接受郵件都只能從教育網的線路上走。

更改配置後，測試一切正常。此時可以從外網ping通郵件伺服器。

擴充套件：此類問題不僅存在於郵件伺服器，只要是雙出口的網路都可能會存在此類問題，即要保證外網訪問內網的資料從**來還從**回去。一般常用的策略就是源路由。

神州數碼的安全閘道器在介面上有此配置選項「逆向路由」，將此項功能關閉即可實現資料報文從**來還從**返回的功能，不需要再配置源路由。