none
Пропадает связь с подсетью RRS feed

  • Вопрос

  • Уважаемые коллеги!

    С проблемой вожусь уже год и встречал ее все время в разных инфраструктурах и сетях.

    Надеюсь что проблема все таки в том что я везде, что то не так настраиваю. Описываю как это происходит сейчас.

    Описание сети (в упрошеном ввиде что бы не путать):

    Аппаратный шлюз (ASA5510) 172.16.1.1<-> 172.16.1.2 Програмнный шлюз (TMG Enterprise) 10.0.0.254 / 10.0.2.254 <-> Internal (10.0.0.0/24) / Internal2  (10.0.2.254)

    10.0.0.254 / 10.0.2.254 - разные интерфейсы (название vlan 2 и vlan 4)

    подсети Internal (10.0.0.0/24) / Internal2 (10.0.2.254) разделены аппаратно

    Сетевые правила:

    Локальный компьютер <-(Маршрут)-> Все сети(и локальный компьютер)

    Internal 1 <-(Маршрут)-> Internal 2

    Internal 1 и 2  <-(Маршрут)-> Внешняя (т.е. на ASA она уже НАТит)

    Политика межсетевого экрана:

    Локальный компьютер <-(Маршрут)-> Все сети(и локальный компьютер)

    Internal 1 и Internal 2 <-(Весть трафик)-> Internal 1 и Internal 2

    Internal 1 и Internal 2  <-(http(s),pop,smtp)-> Внешняя

    Маршруты топологии сети:

    10.0.0.0/24 на 10.0.0.254

    10.0.2.0/24 на 10.0.2.254

    Маршруты активного сервера

    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0       172.16.1.1       172.16.1.2    276
             10.0.0.0    255.255.255.0         On-link        10.0.0.254    266
           10.0.0.254  255.255.255.255         On-link        10.0.0.254    266
           10.0.0.255  255.255.255.255         On-link        10.0.0.254    266
             10.0.2.0    255.255.255.0         On-link        10.0.2.254    266
           10.0.2.254  255.255.255.255         On-link        10.0.2.254    266
           10.0.2.255  255.255.255.255         On-link        10.0.2.254    266
             10.1.2.0    255.255.255.0       172.16.1.1       172.16.1.2    276
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
           172.16.1.0  255.255.255.252         On-link        172.16.1.2    276
           172.16.1.2  255.255.255.255         On-link        172.16.1.2    276
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link        10.0.0.254    266
            224.0.0.0        240.0.0.0         On-link        172.16.1.2    276
            224.0.0.0        240.0.0.0         On-link        10.0.2.254    266
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link        10.0.0.254    266
      255.255.255.255  255.255.255.255         On-link        172.16.1.2    276
      255.255.255.255  255.255.255.255         On-link        10.0.2.254    266

    Переодически пропадает связь с компьютерами в подсети 10.0.2.254 на TMG вылетает следующая ошибка:

    "Данные об оповещениях
    Описание: Таблица маршрутизации сетевой платы "toASA" включает диапазоны IP-адресов, не определенные в сети уровня массива Внешняя, к которой она привязана. По этой причине, когда пакеты будут проходить через данную сетевую плату из указанных ниже диапазонов IP-адресов, либо к этим диапазонам, они будут считаться поддельными и отбрасываться. Для устранения данной неполадки добавьте отсутствующие диапазоны IP-адресов в сеть массива.
    Пакеты из следующих диапазонов IP-адресов будут считаться поддельными и отбрасываться:
    Internal 2:10.0.2.0-10.0.2.253,10.0.2.255-10.0.2.255;

    Сеть "Internal 2" не связана с принадлежащими к ней сетевыми платами.
    Диапазоны в плате "VLAN4", не принадлежащие к сети "Internal 2": 10.0.2.0-10.0.2.253,10.0.2.255-10.0.2.255;
    Правильная настройка сети подразумевает, что диапазоны IP-адресов каждой сети уровня массива должны включать все IP-адреса, маршрутизируемые через сетевые платы этой сети согласно их таблицам маршрутизации. В противном случае допустимые пакеты могут быть отброшены как поддельные.
    Обратите внимание, что это событие может однократно создаваться после добавления маршрута, создания удаленной сети или настройки балансировки сетевой нагрузки. Его можно проигнорировать, если оно больше не возникнет."

    Для востановления работы пользователей сети 10.0.2.0/24

    Выяснино опытным путем: необходимо либо перезагрузить TMG, либо отключить сетевой интерфейс VLAN4 и включить заново (процесс занимает 8-10 мин)

    Как решить проблему, что бы она больше не возникала.

    Пробовал менять железо как серверное так и активное сетевое.

    Опыт работы с ISA/TMG более 3х лет.

    Помогите!

     

     
     

     

    13 января 2012 г. 6:36

Все ответы

  • выглядит так будто internal2 теряет соединение. проверяй таблицу роутинга и состояние сетевухи в момент сбоя.

    13 января 2012 г. 9:22
    Отвечающий
  • Согласен, что похоже на потерю соединения; хотелось бы увидеть таблицу маршрутизации в момент сбоя.

    Вопросы:

    1. Что у вас входит в сеть "Внешняя" - можно скриншот?

    2. Зачем статический маршрут на 10.1.2.0/24?

    3. Интерфейсы TMG Vlan2 и Valn4 - это физически одно устройство (+802.1q) или две разные платы?

    4. Зачем Вы разделяете Vlan2 и 4 если у Вас все равно там маршрутизация и права доступа идентичны?

    13 января 2012 г. 15:00
  • 1. "Внешняя" встроеный сетевой объект, представляющий Интернет.

     

    2. Как я писал выше это была попытка хоть как то заставить это работать, могу убрать на стабильность появления ошибки это ни ак не повлияет :)

    3. 2 разные

    4. Вопрос справедливый, как я писал выше "Описание сети (в упрошеном ввиде что бы не путать):" Сушествуют ряд политик доступа по заднным портам на определеные внешние IP адерса для этой подсети


    • Изменено root10 16 января 2012 г. 6:05
    16 января 2012 г. 6:03
  • 1. картинки не грузятся

    4. в правилах можно использовать не только network но и любые другие объекты, в том числе отдельные компы, поэтому если должен быть раздельный доступ только во внешнюю сеть то разделять на отдельные сети смысла нет

    16 января 2012 г. 8:14
    Отвечающий
  • Да возможно, но у меня все равно больше 250 ПК

    Все создается в с целью в дальнейшем полностью разделить подсети и запретить любой трафик между ними.

    18 января 2012 г. 10:41
  • таблица роутинга во время сбоя?

    18 января 2012 г. 14:42
    Отвечающий
  • IPv4 таблица маршрута

    ===========================================================================

    Активные маршруты:

    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика

              0.0.0.0          0.0.0.0       172.16.1.1       172.16.1.2    276

             10.0.0.0    255.255.255.0         On-link        10.0.0.254    266

           10.0.0.195  255.255.255.255         On-link        10.0.0.195    306

           10.0.0.254  255.255.255.255         On-link        10.0.0.254    266

           10.0.0.255  255.255.255.255         On-link        10.0.0.254    266

             10.0.2.0    255.255.255.0         On-link        10.0.2.254    266

           10.0.2.254  255.255.255.255         On-link        10.0.2.254    266

           10.0.2.255  255.255.255.255         On-link        10.0.2.254    266

            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306

            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306

      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306

           172.16.1.0  255.255.255.252         On-link        172.16.1.2    276

           172.16.1.2  255.255.255.255         On-link        172.16.1.2    276

           172.16.1.3  255.255.255.255         On-link        172.16.1.2    276

            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306

            224.0.0.0        240.0.0.0         On-link        10.0.0.254    266

            224.0.0.0        240.0.0.0         On-link        172.16.1.2    276

            224.0.0.0        240.0.0.0         On-link        10.0.0.195    306

            224.0.0.0        240.0.0.0         On-link        10.0.2.254    266

      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306

      255.255.255.255  255.255.255.255         On-link        10.0.0.254    266

      255.255.255.255  255.255.255.255         On-link        172.16.1.2    276

      255.255.255.255  255.255.255.255         On-link        10.0.0.195    306

      255.255.255.255  255.255.255.255         On-link        10.0.2.254    266

    ===========================================================================

    Постоянные маршруты:

      Сетевой адрес            Маска    Адрес шлюза      Метрика

              0.0.0.0          0.0.0.0       172.16.1.1  По умолчанию

    ===========================================================================

    IPv6 таблица маршрута

    ===========================================================================

    Активные маршруты:

     Метрика   Сетевой адрес            Шлюз

      1    306 ::1/128                  On-link

      1    306 ff00::/8                 On-link

    ===========================================================================

    Постоянные маршруты:

      Отсутствует

    23 января 2012 г. 5:46
  • Забавно что ошибка происходить не со всеми компьютерами в подсети, а с выборочными как правило одни и теже.

    Пробовал добавлять их в исключения IP - не помогло..

    Пробовал переустанавливать систему на проблемных рабочих станциях - не помогло.

    Временно помогает - перезапуск службы межсетевого экрана TMG.

    14 февраля 2012 г. 9:18