none
Особенности адресации RRS feed

  • Вопрос

  • Есть следующая конфигурация:

    двa ISA-сервера в NLB, в режиме Edge Firewall

    внутренние IP - 192.168.100.19 и 192.168.100.20, NLB - 192.168.100.21

    внешние IP - 10.0.0.5 и 10.0.0.6, NLB - 10.0.0.7

    Внутренние сети - 192.168.0.0/16

     

    Планируется построение большой корпоративной сети, с филиалами вместе. Соответственно, надо перехoдить на более ёмкую адресацию, желательно 10.0.0.0/8

    Для пробы добавили во внутренние подсети 10.0.1.0/24, на неё прозрачное правило, разрешающее весь трафик. Результата ноль.

    На маршрутизаторе (Cisco 3550 тоже сеть описана, с прозрачным трафиком)

     

    Ни один клиент из 10.0.1.0 не может ни по одному протоколу простучаться наружу.

    На ISA в логе:

    для ping'a - 0x0 ERROR_SUCCESS по адресу пингуемого хоста (правило для этой подсети)

    для web-трафика - 0x80074e21 FWX_E_ABORTIVE_SHUTDOWN и 0x0 ERROR_SUCCESS по внутреннему адресу одной из двух ISA (через какую пытается соединиться) порт 8080 (правило для трафика с ISA во внутреннюю сеть ???)

    плюс время от времени - 0x0c0040038 FWX_E_CP_NO SERVER_REPLY 0x0 ERROR_SUCCESS по адресам WinUpdate порт 443 (правило для этой подсети)

     

    Симуляция трафика "10.0.1.20 -> ya.ru" на ISA показывает, что трафик разрешен

    tracert спотыкается об ISA (внутренний интерфейс - последний хост)

     

    Сломал всю голову, а вместе с нею google и live search - ничего не могу придумать.

    1 августа 2008 г. 11:48

Все ответы

  •  

    а на внешних интерфейсах маска какая? клиенты вообще ису то могут увидеть? на каталисте маршрут есть? в нв исе?

     

    ps и кстати cisco 3550 не маршрутизатор а коммутатор

    2 августа 2008 г. 16:24
    Отвечающий
  • В настройках сетевого подключения, относящегося к внутренней сети, выставлен шлюз по умолчанию (Defailt Gateway)?
    В идеале, на внутреннем сетевом интерфейсе шлюз по умолчанию выставляться не должен. Если у Вас шлюз по умолчанию не выставлен (что является рекомендуемой конфигурацией), соответственно, для того чтобы внутреняя сеть ISA Server включала подсеть
    10.0.1.0/24 помимо добавления этой подсети в диапазоны адресов объекта Internal Network в ISA Server необходимо внести маршрут данной подсети в таблицу маршрутизации ОС (посредством команды route add /?) на всех членах массива ISA Server (в случае использования ISA Server Enterprise Edition).
    Причем, добавлять следует именно Persistent Route (route add -p), иначе после перезагрузки сервера этот маршрут исчезнет. Убедиться в наличии маршрута искомой сети в таблице маршрутизации ОС можно с помощью команды route print.
    После проведения вышеуказанных настроек проверьте корректность маршрута посредством пинга с сервера ISA Server любой доступной станции в подсети 10.0.1.0/24.
    3 августа 2008 г. 10:44
    1. внешняя маска - 10.0.0.0/24
    2. на внутреннем интерфейсе шлюз пустой
    3. с клиентов иса пингуется, с исы клиенты пингуются; с клиентов можно telnet'ом затйти на любую ису.
    4. на каталисте маршрут:

      10.0.0.0/24 is subnetted, 1 subnets

      10.0.1.0 is directly connected, Vlan25 (для остальных так же), ACL без запретов.
    5. на исе маршруты (это на первой, на второй аналогично):
     

     Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0         10.0.0.1         10.0.0.6     20
             10.0.0.0    255.255.255.0         10.0.0.6         10.0.0.6     20
             10.0.1.0    255.255.255.0   192.168.100.18   192.168.100.19      2
       10.255.255.255  255.255.255.255         10.0.0.6         10.0.0.6     20
           172.16.0.0      255.240.0.0   192.168.100.18   192.168.100.19      2
          192.168.0.0      255.255.0.0   192.168.100.18   192.168.100.19      2

     

    Может ли проблема быть в маршруте broadcast'a ??? Вроде как он влиять не должен...

    4 августа 2008 г. 11:15
  • Топологию сети опишите подробно. А то непонятно что с чем соединено и как. Как филиалы подключены? Как Интернет? Где стоит Cisco? Ее роль? Другие сетевые устройства?

     

    Потом покажите таблицы маршрутизации клиентов и ISA, а также их ipconfig /all

    После опишите, что не работет.

    5 августа 2008 г. 3:04
    Модератор
  • Топология тут: http://content.foto.mail.ru/mail/aidenthanno/misc/i-64.jpg

    Роль Cisco 3550 - маршрутизация внутреннего трафика между подсетями.

    Другие коммутаторы - Cisco Catalyst 29**

    (не надо бить меня ногами за то, что белые адреса во внутренней сети - наследие былых времён, которе сразу не убьёшь)

     

    ipconfig /all на клиенте

    Windows IP Configuration

       Host Name . . . . . . . . . . . . : EX-ALPHA
       Primary Dns Suffix  . . . . . . . : xxx.ru
       Node Type . . . . . . . . . . . . : Hybrid
       IP Routing Enabled. . . . . . . . : No
       WINS Proxy Enabled. . . . . . . . : No
       DNS Suffix Search List. . . . . . : xxx.ru

     

    Ethernet adapter Gigabit1:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (NDIS
     VBD Client)
       Physical Address. . . . . . . . . : 00-1A-64-79-AD-80
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       Link-local IPv6 Address . . . . . : fe80::69c9:2225:65d6:a440%10(Preferred)
       IPv4 Address. . . . . . . . . . . : 10.0.1.21(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 10.0.1.1
       DNS Servers . . . . . . . . . . . : 10.0.1.4
                                           10.0.1.3
       Primary WINS Server . . . . . . . : 10.0.1.4
       Secondary WINS Server . . . . . . : 10.0.1.3
       NetBIOS over Tcpip. . . . . . . . : Enabled

     

    Tunnel adapter Local Area Connection* 8:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Physical Address. . . . . . . . . : 02-00-54-55-4E-01
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

     

    Tunnel adapter Local Area Connection* 11:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

     

     

    Таблица маршрутизации на клиенте

    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0         10.0.1.1        10.0.1.21    261
             10.0.1.0    255.255.255.0         On-link         10.0.1.21    261
            10.0.1.21  255.255.255.255         On-link         10.0.1.21    261
           10.0.1.255  255.255.255.255         On-link         10.0.1.21    261
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link         10.0.1.21    261
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link         10.0.1.21    261
    ===========================================================================
    Persistent Routes:
      Network Address          Netmask  Gateway Address  Metric
              0.0.0.0          0.0.0.0         10.0.1.1  Default

     

     

    ipconfig /all на ISA 1

    Windows IP Configuration

       Host Name . . . . . . . . . . . . : isa1
       Primary Dns Suffix  . . . . . . . : xxx.ru
       Node Type . . . . . . . . . . . . : Unknown
       IP Routing Enabled. . . . . . . . : Yes
       WINS Proxy Enabled. . . . . . . . : Yes
       DNS Suffix Search List. . . . . . : xxx.ru

    Ethernet adapter Internet:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
       Physical Address. . . . . . . . . : 02-BF-0A-00-00-07
       DHCP Enabled. . . . . . . . . . . : No
       IP Address. . . . . . . . . . . . : 10.0.0.7
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       IP Address. . . . . . . . . . . . : 10.0.0.5
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 10.0.0.1

    Ethernet adapter Local:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Marvell Yukon 88E8050 PCI-E ASF Gigabit E
    thernet Controller
       Physical Address. . . . . . . . . : 02-BF-C0-A8-64-15
       DHCP Enabled. . . . . . . . . . . : No
       IP Address. . . . . . . . . . . . : 192.168.100.21
       Subnet Mask . . . . . . . . . . . : 255.255.255.248
       IP Address. . . . . . . . . . . . : 192.168.100.20
       Subnet Mask . . . . . . . . . . . : 255.255.255.248
       Default Gateway . . . . . . . . . :
       DNS Servers . . . . . . . . . . . : 192.168.3.252
                                           192.168.3.251

     

     

    Таблица маршрутизации на ISA 1

    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0         10.0.0.1         10.0.0.5     20
             10.0.0.0    255.255.255.0         10.0.0.5         10.0.0.5     20
             10.0.0.5  255.255.255.255        127.0.0.1        127.0.0.1     20
             10.0.0.7  255.255.255.255        127.0.0.1        127.0.0.1     20
             10.0.1.0    255.255.255.0   192.168.100.18   192.168.100.20      2
       10.255.255.255  255.255.255.255         10.0.0.5         10.0.0.5     20
            127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
           172.16.0.0      255.240.0.0   192.168.100.18   192.168.100.20      2
          192.168.0.0      255.255.0.0   192.168.100.18   192.168.100.20      2
       192.168.100.16  255.255.255.248   192.168.100.20   192.168.100.20     20
       192.168.100.20  255.255.255.255        127.0.0.1        127.0.0.1     20
       192.168.100.21  255.255.255.255        127.0.0.1        127.0.0.1     20
      192.168.100.255  255.255.255.255   192.168.100.20   192.168.100.20     20
         194.85.XXX.0    255.255.248.0   192.168.100.18   192.168.100.20      2
            224.0.0.0        240.0.0.0         10.0.0.5         10.0.0.5     20
            224.0.0.0        240.0.0.0   192.168.100.20   192.168.100.20     20
      255.255.255.255  255.255.255.255         10.0.0.5         10.0.0.5      1
      255.255.255.255  255.255.255.255   192.168.100.20   192.168.100.20      1
    Default Gateway:          10.0.0.1
    ===========================================================================
    Persistent Routes:
      Network Address          Netmask  Gateway Address  Metric
          192.168.0.0      255.255.0.0   192.168.100.18       2
           172.16.0.0      255.240.0.0   192.168.100.18       2
         194.85.XXX.0    255.255.248.0   192.168.100.18       2
             10.0.1.0    255.255.255.0   192.168.100.18       2

     
     
     
     
    ipconfig /all на ISA2
    Windows IP Configuration
       Host Name . . . . . . . . . . . . : isa2
       Primary Dns Suffix  . . . . . . . : xxx.ru
       Node Type . . . . . . . . . . . . : Unknown
       IP Routing Enabled. . . . . . . . : Yes
       WINS Proxy Enabled. . . . . . . . : No
       DNS Suffix Search List. . . . . . : xxx.ru
    Ethernet adapter internet:
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
       Physical Address. . . . . . . . . : 02-BF-0A-00-00-07
       DHCP Enabled. . . . . . . . . . . : No
       IP Address. . . . . . . . . . . . : 10.0.0.7
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       IP Address. . . . . . . . . . . . : 10.0.0.6
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 10.0.0.1
    Ethernet adapter local:
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
       Physical Address. . . . . . . . . : 02-BF-C0-A8-64-15
       DHCP Enabled. . . . . . . . . . . : No
       IP Address. . . . . . . . . . . . : 192.168.100.21
       Subnet Mask . . . . . . . . . . . : 255.255.255.248
       IP Address. . . . . . . . . . . . : 192.168.100.19
       Subnet Mask . . . . . . . . . . . : 255.255.255.248
       Default Gateway . . . . . . . . . :
       DNS Servers . . . . . . . . . . . : 192.168.3.252
                                           192.168.3.251

     

    Таблица маршрутизации на ISA 2
    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0         10.0.0.1         10.0.0.6     20
             10.0.0.0    255.255.255.0         10.0.0.6         10.0.0.6     20
             10.0.0.6  255.255.255.255        127.0.0.1        127.0.0.1     20
             10.0.0.7  255.255.255.255        127.0.0.1        127.0.0.1     20
             10.0.1.0    255.255.255.0   192.168.100.18   192.168.100.19      2
       10.255.255.255  255.255.255.255         10.0.0.6         10.0.0.6     20
            127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
           172.16.0.0      255.240.0.0   192.168.100.18   192.168.100.19      2
          192.168.0.0      255.255.0.0   192.168.100.18   192.168.100.19      2
       192.168.100.16  255.255.255.248   192.168.100.19   192.168.100.19     20
       192.168.100.19  255.255.255.255        127.0.0.1        127.0.0.1     20
       192.168.100.21  255.255.255.255        127.0.0.1        127.0.0.1     20
      192.168.100.255  255.255.255.255   192.168.100.19   192.168.100.19     20
         194.85.200.0    255.255.248.0   192.168.100.18   192.168.100.19      2
            224.0.0.0        240.0.0.0         10.0.0.6         10.0.0.6     20
            224.0.0.0        240.0.0.0   192.168.100.19   192.168.100.19     20
      255.255.255.255  255.255.255.255         10.0.0.6         10.0.0.6      1
      255.255.255.255  255.255.255.255   192.168.100.19   192.168.100.19      1
    Default Gateway:          10.0.0.1
    ===========================================================================
    Persistent Routes:
      Network Address          Netmask  Gateway Address  Metric
           172.16.0.0      255.240.0.0   192.168.100.18       2
          192.168.0.0      255.255.0.0   192.168.100.18       2
         194.85.200.0    255.255.248.0   192.168.100.18       2
             10.0.1.0    255.255.255.0   192.168.100.18       2

     

     
    Что не работает:
     

    Ping с клиента до ISA

    C:\Users\Administrator>ping isa1.xxx.ru

    Pinging isa1.xxx.ru [192.168.100.20] with 32 bytes of data:
    Reply from 192.168.100.20: bytes=32 time<1ms TTL=127
    Reply from 192.168.100.20: bytes=32 time<1ms TTL=127
    Reply from 192.168.100.20: bytes=32 time<1ms TTL=127
    Reply from 192.168.100.20: bytes=32 time<1ms TTL=127

    Ping statistics for 192.168.100.20:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 0ms, Average = 0ms

     

    C:\Users\Administrator>ping isa2.xxx.ru

    Pinging isa2.xxx.ru [192.168.100.19] with 32 bytes of data:
    Reply from 192.168.100.19: bytes=32 time<1ms TTL=127
    Reply from 192.168.100.19: bytes=32 time=1ms TTL=127
    Reply from 192.168.100.19: bytes=32 time<1ms TTL=127
    Reply from 192.168.100.19: bytes=32 time<1ms TTL=127

    Ping statistics for 192.168.100.19:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 1ms, Average = 0ms

     

    C:\Users\Administrator>ping nlb.xxx.ru

    Pinging nlb.xxx.ru [192.168.100.21] with 32 bytes of data:
    Reply from 192.168.100.21: bytes=32 time<1ms TTL=127
    Reply from 192.168.100.21: bytes=32 time<1ms TTL=127
    Reply from 192.168.100.21: bytes=32 time<1ms TTL=127
    Reply from 192.168.100.21: bytes=32 time<1ms TTL=127

    Ping statistics for 192.168.100.21:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 0ms, Average = 0ms

     

     

    ping наружу

    C:\Users\Administrator>ping ya.ru

    Pinging ya.ru [213.180.204.8] with 32 bytes of data:
    Request timed out.
    Request timed out.
    Request timed out.
    Request timed out.

    Ping statistics for 213.180.204.8:
        Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)

     

    tracert наружу

    C:\Users\Administrator>tracert ya.ru

    Tracing route to ya.ru [213.180.204.8]
    over a maximum of 30 hops:

      1    <1 ms    <1 ms    <1 ms  10.0.1.1
      2    <1 ms    <1 ms    <1 ms  isa2.xxx.ru [192.168.100.19]
      3     *        *        *     Request timed out.
      4     *        *        *     Request timed out.
      5     *        *        *     Request timed out.
      6     *        *        *     Request timed out.
      7     *        *        *     Request timed out.
      8     *        *        *     Request timed out.
      9     *        *        *     Request timed out.
     10     *        *        *     Request timed out.
     11     *        *        *     Request timed out.
     12     *        *        *     Request timed out.
     13     *        *        *     Request timed out.
     14     *        *        *     Request timed out.
     15     *        *        *     Request timed out.
     16     *        *        *     Request timed out.
     17     *        *        *     Request timed out.
     18     *        *        *     Request timed out.
     19     *        *        *     Request timed out.
     20     *        *        *     Request timed out.
     21     *        *        *     Request timed out.
     22     *        *        *     Request timed out.
     23     *        *        *     Request timed out.
     24     *        *        *     Request timed out.
     25     *        *        *     Request timed out.
     26     *        *        *     Request timed out.
     27     *        *        *     Request timed out.
     28     *        *        *     Request timed out.
     29     *        *        *     Request timed out.
     30     *        *        *     Request timed out.

    Trace complete.

     

    Правило на ISA разрешает весь трафик с группы компьютеров 10.0.1.0-10.0.1.255 во все сети (по этому правилу работает несколько хостов в 192.168.0.0/24 - у них всё отлично, просто добавили новую подсеть в него)

     

    И ни по одному протоколу наружу выйти не удаётся со всех хостов в 10.0.1.0/24

    Что при этом пишет ISA в логах - в первом посте

    6 августа 2008 г. 8:01
  • Судя по всему маршруты у вас прописаны правильно.

     

    Проблема скорее всего в настройках ISA, а именно в настройках сети Internal: по умолчанию там частенько прописана сеть 10.0.0.0/8 - проверьте и удалите (кроме реальных внутренней сети 10.0.1.0/24 )

    7 августа 2008 г. 7:47
    Модератор
  • Networks

    Internal           10.0.1.0 - 10.0.1.255

                       172.16.0.0 - 172.31.255.255

                       192.168.0.0 - 192.168.255.255

                       194.85.XXX.0 - 194.85.XXY.255

     

    Так как прописано на ISA'x в Configuration -> Networks
    8 августа 2008 г. 11:36
  • Сниффером посмотрите трассу запроса-ответа перед ISA и после.

    8 августа 2008 г. 12:57
    Модератор