ASA i NLB

[frontier]

Heja, mam dziwny problem, moze ktos widzial cos podobnego



Siec jak wyzej.

Serwerów jest wiecej, zamiescilem tylko jeden aby nie komplikowac (do testów uzywalismy tylko jednego). Serwery maja robic NLB w taki sposob, ze Windows XP inicjalizuje polaczenie z adresem 192.168.2.10, a serwer powinien odpowiedziec nowym polaczeniem z karty 192.168.1.10. Domyslna brama jest tylko na sieci 192.168.1.0, wskazuje na ASA.

Niestety, nie dziala toto. Access listy sa wporzadku. Objawy sa takie ze kolesie od serwerów nie widza pakietów trafiajacych do interfejsu 192.168.2.10 (przynajmniej w warstwie aplikacji). Co ciekawe, jesli przestawimy domyslna brame z 192.168.1.1 na 192.168.2.1, pakiety nagle zaczynaja dochodzic do 2.10. Nie mam zbyt duzej wiedzy na temat NLB, ale kolesie którzy to ustawiaja wydaja sie byc fachowcami. Jest ich wielu, i podobno robili to tysiace razy. Wiec moze cos nie tak z fw

jakies pomysly?

[kktm]

jakies pomysly?

Woow, ciekawy design,

szczerze to ja spotkałem się tylko z implementacją, gdzie wszystkie membery NLB były w jednej sieci, a jedynym issue było dopisanie tablicy arp na przełączniku.

Z asa możne być problem bo jeśli będzie to tak działać jak zakładasz to będzie widziała półotwarte połączenia, które będzie timeoutować i będzie robić niepotrzebnie dziury w acl dla pakietów powrotnych, które się nie pojawią.

powodzenia

ps. jak zestawia sie sesja tcp, przeciez nie mozesz zestawiac polaczenia do jednego adresu ip i otrzymywać odpowiedzi z innego, rozumiem ze jest jeszcze jakis adres virtualny, o ktorym nie wspomniales, tak?

[Bedi]

Na ASA masz capture więc sam możesz zobaczyć czy jest ruch bez oglądania sie na ludzi od MS.

O ile dobrze pamietam domyślnie cluster używa multicastowego arpa więc możesz spróbować wpisać arpa dla .10 na ASA.
Za mało danych - inicjalizacja od strony XP odbywa się poprzez UDP czy tez TCP?
Czy na sieci 192.168.1.0/24 jest permit same-security intra interface?

[frontier]

Na ASA masz capture więc sam możesz zobaczyć czy jest ruch bez oglądania sie na ludzi od MS.

O ile dobrze pamietam domyślnie cluster używa multicastowego arpa więc możesz spróbować wpisać arpa dla .10 na ASA.
Za mało danych - inicjalizacja od strony XP odbywa się poprzez UDP czy tez TCP?
Czy na sieci 192.168.1.0/24 jest permit same-security intra interface?

Tak, wiem ze jest capture. Na ASA widze pakiety wychodzace z interfejsu 2.1.

1.0 i 2.0 maja rózny sec level.

To jest TCP.

Poruszalismy problem mcasta ale Oni twierdza ze to niepotrzebne.

[Piotrek]

Tak jak przedmowca napisal, sprobuj na sztywno wpisc ARPA klastra NLB. Niestety Cisco i nie tylko mają z tym problem i nie tworzą wpisów w tablicy CAM dla adresów IP unicast z mac multicasowym

http://inetpro.org/wiki/Configuring_Cis ... LB_Cluster

[frontier]

jakies pomysly?

Woow, ciekawy design,

szczerze to ja spotkałem się tylko z implementacją, gdzie wszystkie membery NLB były w jednej sieci, a jedynym issue było dopisanie tablicy arp na przełączniku.

Z asa możne być problem bo jeśli będzie to tak działać jak zakładasz to będzie widziała półotwarte połączenia, które będzie timeoutować i będzie robić niepotrzebnie dziury w acl dla pakietów powrotnych, które się nie pojawią.

powodzenia

ps. jak zestawia sie sesja tcp, przeciez nie mozesz zestawiac polaczenia do jednego adresu ip i otrzymywać odpowiedzi z innego, rozumiem ze jest jeszcze jakis adres virtualny, o ktorym nie wspomniales, tak?

Nie wiem dlaczego jest taki design, to nie mój pomysl. Oni twierdza ze to standard i tak ma byc.

Jest adres wirtualny, ale w uproszczeniu do testów uzywalismy jednej maszyny.

Polaczenie tcp które przychodzi do servera jest tylko swego rodzaju oznajmieniem:
Hej, ja chce z toba gadac!
Server nie robi routingu, a zaczyna nowe polaczenie znajac adres IP kolesia który chce gadac.

[frontier]

Tak jak przedmowca napisal, sprobuj na sztywno wpisc ARPA klastra NLB. Niestety Cisco i nie tylko mają z tym problem i nie tworzą wpisów w tablicy CAM dla adresów IP unicast z mac multicasowym

http://inetpro.org/wiki/Configuring_Cis ... LB_Cluster

Nie jestem w stanie dokladnie powtórzyc dlaczego, ale Oni twierdza ze to niepotrzebne. Podobno jest jakis trick na W2k3 który ma obchodzic ten problem. Tak czy owak moze spróbuje...

[Bedi]

Dlatego jak masz ustawiony inaczej dafault to asa puszcza tylko jeden pakiety. Serwer ma half open port i aplikacja nie jest informowana o połączeniu aż nie zakończy się negocjacja połączenia TCP.

Jak masz TCP to pakiety z pierwszej sesji od serwera muszą wracać przez ASA.

[frontier]

Dlatego jak masz ustawiony inaczej dafault to asa puszcza tylko jeden pakiety. Serwer ma half open port i aplikacja nie jest informowana o połączeniu aż nie zakończy się negocjacja połączenia TCP.

Jak masz TCP to pakiety z pierwszej sesji od serwera muszą wracać przez ASA.

To jest dla mnie jasne (dlatego kazalem im zmienic DG na 2.1), ale Oni twierdza ze liczy sie pierwszy pakiet a serwer powinien zobaczyc co jest grane.

[aron]

...Podobno jest jakis trick na W2k3 który ma obchodzic ten problem. Tak czy owak moze spróbuje...

Ale to jest "problem" z ASA a nie w2k3. Sprawdz czy masz w tablicy ARP wpis dla 2.10. Jezeli nie, to dopisz z palca i powinno byc lepiej.

[Seba]

Tak jak koledzy napisali prawdopodobnie statyczne wpisy arp sa wymagane. Jako uzupelnienie linka ratunkowa do dokumentu Cisco opisujacego co i jak z M$ NLB - TUTAJ
Co prawda opis jest z punktu widzenia Catalyst, ale zasada dzialania mechanizmy jest przeciez taka sama

[Bedi]

To jest dla mnie jasne (dlatego kazalem im zmienic DG na 2.1), ale Oni twierdza ze liczy sie pierwszy pakiet a serwer powinien zobaczyc co jest grane.

Bajki Ci opowiadali.
Dla UDP aplikacja się martwi o obsługe pakietów. Dla TCP to system robi za aplikację czarną robotę związaną z obsługą i składaniem pakietów. (tak przynajmiej odbywa się to w unices więc MS inaczej też tego nie zaimplementował).
Więc aż nie zakończy się negocjacja połączenia po TCP aplikacja nie jest informowana o nadchodzącym połączeniu.
Dla mnie test ze zmianą default gw potwierdza taka sytuację. (Chyba że aplikacja ta działa jak wireshark i oczekuje na pakiety z flagą SYN na interface).
Dla pewności polecam sprawdzić czy asa dostaje sie do adresu clustra ping na .10 i sh arp dla sprawdzenia czy pojawił się arp.
Do czego Ci potrzebne jest wskazanie asy jako def gw po stronie 1.0/24 dla WIN?