【覆盤】:
商密網ERP系統數據庫通過網閘訪問非密網聯網註冊系統數據庫。
首先,申請了非密網聯網註冊系統數據庫的商密網網閘地址,通過商密網客戶機PL/SQL去連接,一直連接不上,排查的時候,開始認爲是網閘 的原因,沒有給客戶機開通訪問權限。開通客戶機訪問網閘地址權限後,可以Telnet的通聯網註冊系統的數據庫的端口號:1521。但是使用PL/SQL工具連接依然不通。排查可能是聯網註冊系統數據庫可能限制了訪問的IP,跟聯網註冊系統負責方溝通確認,答覆是沒有限制,他們的Oracle數據庫用的集羣,提供的IP是浮動IP,那就最終考慮可能還是網閘的原因。
接着,第二天早上又嘗試了PL/SQL連接依然無果,立即去信息中心去排查網閘,排查網閘設置開通全部機器可以訪問,但是還是連接不同。於是找了一臺非密網ERP測試數據庫,映射了網閘地址和商密網全員訪問,通過測試最終發現測試數據庫可以用戶名和密碼使用PL/SQL連接,這說明:【問題不出在網閘端,而是聯網註冊系統數據庫端】。
最後,我回到了工位,仔細琢磨可能原因,忽然想到昨天對接系統方提供的一條重要信息:數據庫用的集羣,IP地址不是真正機器的IP,這說明可能出在負載的IP地址上。於是我聯繫了聯網註冊系統數據庫方,請求他們提供Oracle集羣其中一個節點的真正IP,最終我們用這個真正IP配置了商密網網閘地址。經過測試,果然能夠用PL/SQL能正常連接數據庫了。
【總結】:
1.修改前方案
【分析】:ERP數據庫(10.120.22.2)能夠向商密網網閘地址(10.120.96.3)發送登陸請求,然後經過網閘後,轉換成非密網網閘地址(172.16.96.3)報文,然後發送到映射的聯網註冊系統數據庫負載目的地址(172.26.8.8),後臺DB服務(172.26.8.6)會返回報文到網閘,由於網閘映射的回源映射地址(172.26.8.8),於是在網閘裏找不到回源地址(172.26.96.3),就會把報文扔棄。最終ERP系統DB端就會報連接超時,TCP連接失敗。
2.修改後方案
【分析】:ERP數據庫(10.120.22.2)能夠向商密網網閘地址(10.120.96.3)發送登陸請求,然後經過網閘後,轉換成非密網網閘地址(172.16.96.3)報文,然後發送到映射的聯網註冊系統數據庫負載目的地址(172.26.8.6),後臺DB服務(172.26.8.6)會返回報文到網閘,由於網閘映射的回源映射地址(172.26.8.6),於是就找到了回源地址。最終ERP系統DB端就會接收到報文,鏈路暢通,TCP連接成功。
3.未來方案
【分析】:ERP數據庫(10.120.22.2)能夠向商密網網閘地址(10.120.96.3)發送登陸請求,然後經過網閘後,轉換成非密網網閘地址(172.16.96.3)報文,然後發送到映射的聯網註冊系統數據庫負載目的地址(172.26.8.8),後臺DB服務(172.26.8.6或172.26.8.7)會返回報文到網閘,由於網閘映射的回源映射地址(172.26.8.6,172.26.8.7,172.26.8.8),於是就找到了回源地址(172.16.96.3)。最終ERP系統DB端就會接收到報文,鏈路暢通,TCP連接成功。