【覆盘】:
商密网ERP系统数据库通过网闸访问非密网联网注册系统数据库。
首先,申请了非密网联网注册系统数据库的商密网网闸地址,通过商密网客户机PL/SQL去连接,一直连接不上,排查的时候,开始认为是网闸 的原因,没有给客户机开通访问权限。开通客户机访问网闸地址权限后,可以Telnet的通联网注册系统的数据库的端口号:1521。但是使用PL/SQL工具连接依然不通。排查可能是联网注册系统数据库可能限制了访问的IP,跟联网注册系统负责方沟通确认,答复是没有限制,他们的Oracle数据库用的集群,提供的IP是浮动IP,那就最终考虑可能还是网闸的原因。
接着,第二天早上又尝试了PL/SQL连接依然无果,立即去信息中心去排查网闸,排查网闸设置开通全部机器可以访问,但是还是连接不同。于是找了一台非密网ERP测试数据库,映射了网闸地址和商密网全员访问,通过测试最终发现测试数据库可以用户名和密码使用PL/SQL连接,这说明:【问题不出在网闸端,而是联网注册系统数据库端】。
最后,我回到了工位,仔细琢磨可能原因,忽然想到昨天对接系统方提供的一条重要信息:数据库用的集群,IP地址不是真正机器的IP,这说明可能出在负载的IP地址上。于是我联系了联网注册系统数据库方,请求他们提供Oracle集群其中一个节点的真正IP,最终我们用这个真正IP配置了商密网网闸地址。经过测试,果然能够用PL/SQL能正常连接数据库了。
【总结】:
1.修改前方案
【分析】:ERP数据库(10.120.22.2)能够向商密网网闸地址(10.120.96.3)发送登陆请求,然后经过网闸后,转换成非密网网闸地址(172.16.96.3)报文,然后发送到映射的联网注册系统数据库负载目的地址(172.26.8.8),后台DB服务(172.26.8.6)会返回报文到网闸,由于网闸映射的回源映射地址(172.26.8.8),于是在网闸里找不到回源地址(172.26.96.3),就会把报文扔弃。最终ERP系统DB端就会报连接超时,TCP连接失败。
2.修改后方案
【分析】:ERP数据库(10.120.22.2)能够向商密网网闸地址(10.120.96.3)发送登陆请求,然后经过网闸后,转换成非密网网闸地址(172.16.96.3)报文,然后发送到映射的联网注册系统数据库负载目的地址(172.26.8.6),后台DB服务(172.26.8.6)会返回报文到网闸,由于网闸映射的回源映射地址(172.26.8.6),于是就找到了回源地址。最终ERP系统DB端就会接收到报文,链路畅通,TCP连接成功。
3.未来方案
【分析】:ERP数据库(10.120.22.2)能够向商密网网闸地址(10.120.96.3)发送登陆请求,然后经过网闸后,转换成非密网网闸地址(172.16.96.3)报文,然后发送到映射的联网注册系统数据库负载目的地址(172.26.8.8),后台DB服务(172.26.8.6或172.26.8.7)会返回报文到网闸,由于网闸映射的回源映射地址(172.26.8.6,172.26.8.7,172.26.8.8),于是就找到了回源地址(172.16.96.3)。最终ERP系统DB端就会接收到报文,链路畅通,TCP连接成功。