NLB配置成功，跨網段卻不通？郵件服務器的域名解析等後續配置

IT狂人日志

數碼達人

可是ping 10.1.5.15和10.1.5.16是正常的，這兩個IP，是兩台郵件服務器地真實IP。

很明顯，這是NLB不能跨網段訪問的問題，需要在核心交換機上做相應的配置，客戶使用的是思科C3750交換機，配置命令如下：

ip igmp snooping querier *開啟IGMP偵聽

arp 10.1.5.31 0300.xxxx.xxxx arpa *綁定NLB虛擬IP及MAC

注意，下接的二層交換機是不用進行此配置的。

經測試，NLB跨網段也能正常通訊了，用戶配置郵箱成功

華為防火牆配置NAT：在內網用公網IP訪問內部服務器

客戶的Wifi網段，只能訪問外網，DNS服務器的IP，被直接配置為運營商的IP，所以mail.domain.com被解析為外網的IP，配置郵箱時顯示無法連接服務器，這就需要在防火牆上配置NAT策略以及安全策略了

圖片中，192.168.11.0/24為Wifi網段，10.1.5.31是NLB虛擬的IP，NAT策略需要配置與之對應的安全策略。

域名解析及檢測確認

由於需要在WEB端登錄郵箱，所以無論內網還是外網，都需要做DNS解析，內網就在DNS服務器上配置，外網則需要在域名注冊商的管理後台來做。

主機記錄值 解析類型 解析記錄值

mail A 222.92.xx.146

@ MX mail.xxxxx.com

@ TXT v=spf1 include:_s.corp-email.com -all

驗證方法：

A記錄很簡單，ping mail.xxxxx.com，能解析出IP地址就表示生效了；

MX記錄，需要用nslookup命令來驗證：

運行 nslookup 命令，set type=mx，然後輸入域名，有結果就表示已經生效了；

TXT記錄，同樣需要用nslookup命令來驗證：

運行 nslookup 命令，set type=txt，然後輸入域名，有結果就表示已經生效了；

運營商反向解析的驗證

自建郵件服務器，公網IP需要做反向解析，筆者以為這是常識了，但是運營商的很多客戶經理還是不懂這是個什麼業務，這次又解釋了好幾遍：正解是域名解析為IP，反解自然就是IP解析為域名啦。

運營商不確定需要幾天能生效，所以只能自己經常檢測是否已生效，生效之前應該禁止外發郵件，哪怕是回複也不行，因為筆者曾經遭遇過，回複了一兩封郵件，IP就被列 入黑名單了。

反解記錄，同樣用nslookup命令來驗證：

運行 nslookup 命令，set type=ptr，然後輸入IP，有結果就表示已經生效了；

經過以上一系列的配置後，郵件服務器才算正常工作了。