ASA i NLB
ASA i NLB
Heja, mam dziwny problem, moze ktos widzial cos podobnego
Siec jak wyzej.
Serwerów jest wiecej, zamiescilem tylko jeden aby nie komplikowac (do testów uzywalismy tylko jednego). Serwery maja robic NLB w taki sposob, ze Windows XP inicjalizuje polaczenie z adresem 192.168.2.10, a serwer powinien odpowiedziec nowym polaczeniem z karty 192.168.1.10. Domyslna brama jest tylko na sieci 192.168.1.0, wskazuje na ASA.
Niestety, nie dziala toto. Access listy sa wporzadku. Objawy sa takie ze kolesie od serwerów nie widza pakietów trafiajacych do interfejsu 192.168.2.10 (przynajmniej w warstwie aplikacji). Co ciekawe, jesli przestawimy domyslna brame z 192.168.1.1 na 192.168.2.1, pakiety nagle zaczynaja dochodzic do 2.10. Nie mam zbyt duzej wiedzy na temat NLB, ale kolesie którzy to ustawiaja wydaja sie byc fachowcami. Jest ich wielu, i podobno robili to tysiace razy. Wiec moze cos nie tak z fw
jakies pomysly?
Siec jak wyzej.
Serwerów jest wiecej, zamiescilem tylko jeden aby nie komplikowac (do testów uzywalismy tylko jednego). Serwery maja robic NLB w taki sposob, ze Windows XP inicjalizuje polaczenie z adresem 192.168.2.10, a serwer powinien odpowiedziec nowym polaczeniem z karty 192.168.1.10. Domyslna brama jest tylko na sieci 192.168.1.0, wskazuje na ASA.
Niestety, nie dziala toto. Access listy sa wporzadku. Objawy sa takie ze kolesie od serwerów nie widza pakietów trafiajacych do interfejsu 192.168.2.10 (przynajmniej w warstwie aplikacji). Co ciekawe, jesli przestawimy domyslna brame z 192.168.1.1 na 192.168.2.1, pakiety nagle zaczynaja dochodzic do 2.10. Nie mam zbyt duzej wiedzy na temat NLB, ale kolesie którzy to ustawiaja wydaja sie byc fachowcami. Jest ich wielu, i podobno robili to tysiace razy. Wiec moze cos nie tak z fw
jakies pomysly?
Jeden konfig wart więcej niż tysiąc słów
Re: ASA i NLB
Woow, ciekawy design,frontier pisze: jakies pomysly?
szczerze to ja spotkałem się tylko z implementacją, gdzie wszystkie membery NLB były w jednej sieci, a jedynym issue było dopisanie tablicy arp na przełączniku.
Z asa możne być problem bo jeśli będzie to tak działać jak zakładasz to będzie widziała półotwarte połączenia, które będzie timeoutować i będzie robić niepotrzebnie dziury w acl dla pakietów powrotnych, które się nie pojawią.
powodzenia
ps. jak zestawia sie sesja tcp, przeciez nie mozesz zestawiac polaczenia do jednego adresu ip i otrzymywać odpowiedzi z innego, rozumiem ze jest jeszcze jakis adres virtualny, o ktorym nie wspomniales, tak?
"Trust no one"
Na ASA masz capture więc sam możesz zobaczyć czy jest ruch bez oglądania sie na ludzi od MS.
O ile dobrze pamietam domyślnie cluster używa multicastowego arpa więc możesz spróbować wpisać arpa dla .10 na ASA.
Za mało danych - inicjalizacja od strony XP odbywa się poprzez UDP czy tez TCP?
Czy na sieci 192.168.1.0/24 jest permit same-security intra interface?
O ile dobrze pamietam domyślnie cluster używa multicastowego arpa więc możesz spróbować wpisać arpa dla .10 na ASA.
Za mało danych - inicjalizacja od strony XP odbywa się poprzez UDP czy tez TCP?
Czy na sieci 192.168.1.0/24 jest permit same-security intra interface?
Tak, wiem ze jest capture. Na ASA widze pakiety wychodzace z interfejsu 2.1.Bedi pisze:Na ASA masz capture więc sam możesz zobaczyć czy jest ruch bez oglądania sie na ludzi od MS.
O ile dobrze pamietam domyślnie cluster używa multicastowego arpa więc możesz spróbować wpisać arpa dla .10 na ASA.
Za mało danych - inicjalizacja od strony XP odbywa się poprzez UDP czy tez TCP?
Czy na sieci 192.168.1.0/24 jest permit same-security intra interface?
1.0 i 2.0 maja rózny sec level.
To jest TCP.
Poruszalismy problem mcasta ale Oni twierdza ze to niepotrzebne.
Jeden konfig wart więcej niż tysiąc słów
Tak jak przedmowca napisal, sprobuj na sztywno wpisc ARPA klastra NLB. Niestety Cisco i nie tylko mają z tym problem i nie tworzą wpisów w tablicy CAM dla adresów IP unicast z mac multicasowym
http://inetpro.org/wiki/Configuring_Cis ... LB_Cluster
http://inetpro.org/wiki/Configuring_Cis ... LB_Cluster
Ostatnio zmieniony 19 maja 2009, 08:32 przez Piotrek, łącznie zmieniany 1 raz.
Re: ASA i NLB
Nie wiem dlaczego jest taki design, to nie mój pomysl. Oni twierdza ze to standard i tak ma byc.kktm pisze:Woow, ciekawy design,frontier pisze: jakies pomysly?
szczerze to ja spotkałem się tylko z implementacją, gdzie wszystkie membery NLB były w jednej sieci, a jedynym issue było dopisanie tablicy arp na przełączniku.
Z asa możne być problem bo jeśli będzie to tak działać jak zakładasz to będzie widziała półotwarte połączenia, które będzie timeoutować i będzie robić niepotrzebnie dziury w acl dla pakietów powrotnych, które się nie pojawią.
powodzenia
ps. jak zestawia sie sesja tcp, przeciez nie mozesz zestawiac polaczenia do jednego adresu ip i otrzymywać odpowiedzi z innego, rozumiem ze jest jeszcze jakis adres virtualny, o ktorym nie wspomniales, tak?
Jest adres wirtualny, ale w uproszczeniu do testów uzywalismy jednej maszyny.
Polaczenie tcp które przychodzi do servera jest tylko swego rodzaju oznajmieniem:
Hej, ja chce z toba gadac!
Server nie robi routingu, a zaczyna nowe polaczenie znajac adres IP kolesia który chce gadac.
Ostatnio zmieniony 19 maja 2009, 08:35 przez frontier, łącznie zmieniany 1 raz.
Jeden konfig wart więcej niż tysiąc słów
Nie jestem w stanie dokladnie powtórzyc dlaczego, ale Oni twierdza ze to niepotrzebne. Podobno jest jakis trick na W2k3 który ma obchodzic ten problem. Tak czy owak moze spróbuje...Piotrek pisze:Tak jak przedmowca napisal, sprobuj na sztywno wpisc ARPA klastra NLB. Niestety Cisco i nie tylko mają z tym problem i nie tworzą wpisów w tablicy CAM dla adresów IP unicast z mac multicasowym
http://inetpro.org/wiki/Configuring_Cis ... LB_Cluster
Jeden konfig wart więcej niż tysiąc słów
To jest dla mnie jasne (dlatego kazalem im zmienic DG na 2.1), ale Oni twierdza ze liczy sie pierwszy pakiet a serwer powinien zobaczyc co jest grane.Bedi pisze:Dlatego jak masz ustawiony inaczej dafault to asa puszcza tylko jeden pakiety. Serwer ma half open port i aplikacja nie jest informowana o połączeniu aż nie zakończy się negocjacja połączenia TCP.
Jak masz TCP to pakiety z pierwszej sesji od serwera muszą wracać przez ASA.
Jeden konfig wart więcej niż tysiąc słów
Tak jak koledzy napisali prawdopodobnie statyczne wpisy arp sa wymagane. Jako uzupelnienie linka ratunkowa do dokumentu Cisco opisujacego co i jak z M$ NLB - TUTAJ
Co prawda opis jest z punktu widzenia Catalyst, ale zasada dzialania mechanizmy jest przeciez taka sama
Co prawda opis jest z punktu widzenia Catalyst, ale zasada dzialania mechanizmy jest przeciez taka sama
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein
Bajki Ci opowiadali.frontier pisze: To jest dla mnie jasne (dlatego kazalem im zmienic DG na 2.1), ale Oni twierdza ze liczy sie pierwszy pakiet a serwer powinien zobaczyc co jest grane.
Dla UDP aplikacja się martwi o obsługe pakietów. Dla TCP to system robi za aplikację czarną robotę związaną z obsługą i składaniem pakietów. (tak przynajmiej odbywa się to w unices więc MS inaczej też tego nie zaimplementował).
Więc aż nie zakończy się negocjacja połączenia po TCP aplikacja nie jest informowana o nadchodzącym połączeniu.
Dla mnie test ze zmianą default gw potwierdza taka sytuację. (Chyba że aplikacja ta działa jak wireshark i oczekuje na pakiety z flagą SYN na interface).
Dla pewności polecam sprawdzić czy asa dostaje sie do adresu clustra ping na .10 i sh arp dla sprawdzenia czy pojawił się arp.
Do czego Ci potrzebne jest wskazanie asy jako def gw po stronie 1.0/24 dla WIN?