locked
Hyper-V 2008 Guest 主機IP路由問題 RRS feed

  • 問題

  • Dear Sir, 請容我詳細描述我所遇到的問題,我不確定是否有人跟我一樣發生這樣的狀況?!
    主機:IBM X3650
    OS:Windows 2008 Enterprise x64
    RAM:10G
    網路卡:Broadcom BCM5708C * 2
                Intel 1000PT Dual Port * 1
                Intel 1000PT Single Port * 1

    網路卡Driver版本:9.12.36.0
    Guest OS:
    A:Windows 2003(BCM5708C):內部IP→192.168.1.10
    B:Windows 2008(Intel 1000PT):內部IP→192.168.1.11
    C:Windows 2008(Intel 1000PT):內部IP→192.168.1.12
    D:Windows 2008(Intel 1000PT):內部IP→192.168.1.13

    4個Guest OS皆Bridge真實網卡,也都安裝了Integration Services;Bridge所產生出來的Microsoft 虛擬網路交換器介面卡皆無指定IP Address。

    但我從另一個網段192.168.2.10去Ping A主機正常,但Ping B、C、D主機都會發生封包Lost的情況?!
    (不是完全Lost,100個封包約Lost 20~40,反覆測試都一樣)
    反過來從A、B、C、D主機去Ping 192.168.2.10則都正常?!

    測試過從Hinet的H-Link VPN及自建的Draytek VPN都有一樣的問題,以及從192.168.2.10去ping 192.168.1.0/24網段內的另一台2008主機(非VM)正常,所以排除是設備的關係。

    是什麼樣的原因會發生這樣的狀況呢?是2008在Guest OS裡面的虛擬網卡Driver有問題嗎?
    不知是否有人可以協助解決這個問題,在下感激不盡!
    • 已編輯 joychen 2009年7月6日 上午 08:18
    2009年7月6日 上午 08:07

所有回覆

  • 假設在另外一台 192.168.1.0/24網段的Server 2008主機(非VM)
    執行ping 主機 B C D時..會有此現象嗎


    論壇是網友平等互助 保證解答請至微軟技術支援服務

    2009年7月7日 上午 05:48
  • 測試過從192.168.1.0/24的其他主機ping B C D主機,並無封包lost現像

    2009年7月7日 上午 05:49
  • 直接把Guest OS 主機 B C D的網卡都先bind在Broadcom的網卡上面
    看看是不是會有這個問題發生

    另外..連結兩個網段中間的device是哪一家的?什麼型號?有使用VLAN嗎?


    論壇是網友平等互助 保證解答請至微軟技術支援服務
    2009年7月7日 上午 06:01
  • 剛試把2008內建的firewall關閉,封包lost掉到1~5之間了,但還是有跨路由packet lost的情況
    二段連線使用Hinet的H-Link VPN,無使用VLAN
    2009年7月7日 上午 07:17
  • 把B C D的網卡換成broadcom的話也是會這樣嗎?
    論壇是網友平等互助 保證解答請至微軟技術支援服務
    2009年7月7日 上午 07:22
  • 剛換了一下Broadcom的卡,試ping了一下竟然沒事了?
    但把Guest OS中的Firewall打開,又發生了Packet lost的情況
    昏了,該不會是2008的Firewall本身的問題吧?
    2009年7月7日 上午 07:50
  • 聽起來你的192.168.2.0/24 是屬於在另一端的網路環境,
    用HiLink或Draytek VPN 跟192.168.1.0/24 連接在一起嗎?
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年7月7日 上午 07:57
    版主
  • 是的~
    ^^"
    2009年7月7日 上午 07:58
  • 是所有的packet都會loss嗎?
    是的話..將防火牆設定為允許ICMP封包看看有沒有改善(可以允許檔案和印表機共用)
    微軟技術支援服務
    2009年7月7日 上午 07:59
  • 並不是所有的Packet 都會Lost,而是部分~~(100個有20~30個)
    在GuestOS為2008並且Firewall為打開的情況,2003則無(2003預設也沒打開Firewall)
    2009年7月7日 上午 08:00
  • 所以目前就是下面這樣嗎?

    B C D用 broadcom網卡的話..並關閉防火牆..就會正常
    開啟防火牆的話..就會部分封包loss

    假設用intel網卡的話..防火牆打開比防火牆關閉的狀況下封包loss得更多?
    微軟技術支援服務
    2009年7月7日 上午 08:05
  • 基本上修正一下。
    現在不管是Broadcom或是Intel的卡,幾本上不太會有Lost 封包(剛測的,Intel卡丟500個可能會有1~2的Lost)
    但只要打開GuestOS的Firewall就會出現Packet lost的情況。(但也不是全Lost,100個可能會有20~30的Lost)
    2009年7月7日 上午 08:08
  • 那我建議試試看從192.168.2.0 /24 端Ping B,C,D 機器的同時,
    也多開幾個Ping 閘道還有A機器,
    甚至是192.168.1.0 /24 裡的其他機器
    觀察及確認是哪裡造成的封包遺失。

    另外,也可以試著到IBM找x3650最新版的網路驅動進行更新。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年7月7日 上午 08:09
    版主
  • 那防火牆開啟的狀況下..同網段的其他台電腦(之前提到的實體機)進行ping的動作也會loss嗎?

    可以的話把 C:\windows\system32\logfiles\Firewall\firewall.log 上傳到免費空間給大家看看
    微軟技術支援服務
    2009年7月7日 上午 08:14
  • 試過同時從192.168.2.0/24 ping 192.168.1.0/24及gateway,但並無packet lost情況,除了B C D
    Intel的Driver版本已是最新。

    剛抓了一下log,傳上來了^^"

    忘了說,從140.135.104.4 ping的,check了一下log,從140.135.104.4的ICMP封包並沒有DROP的情況
    但卻是有Packet Lost…
    • 已編輯 joychen 2009年7月7日 上午 09:29
    2009年7月7日 上午 09:14
  • 看了一下..從140.135.104.4 ping過來的ICMP封包都有被140.135.111.17(這是哪台guestOS?)接收.
    並沒有被丟掉的樣子..看起來有被Guest OS接收並回應

    2009-07-07 17:03:00 ALLOW ICMP 140.135.104.4 140.135.111.17 - - 0 - - - - 8 0 - RECEIVE
    2009-07-07 17:03:01 ALLOW ICMP 140.135.104.4 140.135.111.17 - - 0 - - - - 8 0 - RECEIVE
    2009-07-07 17:03:02 ALLOW ICMP 140.135.104.4 140.135.111.17 - - 0 - - - - 8 0 - RECEIVE
    2009-07-07 17:03:03 ALLOW ICMP 140.135.104.4 140.135.111.17 - - 0 - - - - 8 0 - RECEIVE
    2009-07-07 17:03:04 ALLOW ICMP 140.135.104.4 140.135.111.17 - - 0 - - - - 8 0 - RECEIVE
    2009-07-07 17:03:05 ALLOW ICMP 140.135.104.4 140.135.111.17 - - 0 - - - - 8 0 - RECEIVE
    2009-07-07 17:03:06 ALLOW ICMP 140.135.104.4 140.135.111.17 - - 0 - - - - 8 0 - RECEIVE
    2009-07-07 17:03:07 ALLOW ICMP 140.135.104.4 140.135.111.17 - - 0 - - - - 8 0 - RECEIVE
    2009-07-07 17:03:08 ALLOW ICMP 140.135.104.4 140.135.111.17 - - 0 - - - - 8 0 - RECEIVE


    可能要麻煩你透過Network Monitor or Wireshark之類的軟體分別在Guest OS & 發ICMP封包的電腦裡面進行封包錄製
    然後把結果傳上來看看..才能確認是不是封包被中間的東西阻擋
    2009年7月7日 上午 09:46
  • 不知道你的Guest OS上還有裝哪些軟體?
    比如防毒軟體或者其他可能跟網路有關的。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年7月7日 上午 10:03
    版主
  • GuestOS上安裝WSS SP2,無防毒軟體或其他軟體
    剛用Network Monitor 抓了一下二邊的檔案(看不出個所以然^^")
    但還是傳上來了。

    點我下載

    附上Tracert的router list
    Tracing route to btportal.bt.com.tw [140.135.111.17]
    over a maximum of 30 hops:

      1     1 ms    <1 ms    <1 ms  my.router [140.135.104.253]            ---->Client網段和GuestOS連接的Router
      2    81 ms    58 ms    59 ms  140.135.111.249                              ---->GuestOS網段和Client連接的Router
      3    58 ms    58 ms    57 ms  btportal.bt.com.tw [140.135.111.17]  ---->GuestOS

    再補充一下,上面是未打開GuestOS的Firewall的
    但剛發現打開GuestOS的Firewall後,竟然會有一定的機率(?)變以下這樣

    Tracing route to btportal.bt.com.tw [140.135.111.17]
    over a maximum of 30 hops:

      1    <1 ms    <1 ms    <1 ms  140.135.104.253
      2   115 ms    79 ms    70 ms  140.135.111.249
      3    84 ms    65 ms    69 ms  140.135.111.253
      4     *        *        *     Request timed out.
      5     *        *        *     Request timed out.
      6     *        *        *     Request timed out.
      7    58 ms    58 ms   106 ms  140.135.111.17

    不明白的是怎會多一個hop到140.135.111.253(Internet連線Gateway)?!
    且這種狀況只有在GuestOS打開Firewall才會發生!?

    • 已編輯 joychen 2009年7月7日 上午 10:41
    2009年7月7日 上午 10:16
  • 看了一下封包..在Guest OS端是正常的..只要有收到 ICMP Request封包後都有回ICMP Reply..而Client都有收到

    現在的問題是
    有些ICMP Request封包從Client端發出後(Client.cap中有一段都是Client發可是沒有GuestOS回應)
    但是Guest OS沒有收到(在GuestOS.cap中沒有看到Client發出的封包),自然就會出現ping不到的狀況

    想問一下
    1.封包是在GuestOS防火牆開的時候錄的嗎?還是關的時候?
    2.140.135.111.253是連接Internet的Gateway嗎? , 是否tracert的第一個結果是走你建立的VPN? 第二個結果不是?
    3.ping的時候是直接ping IP 還是 ping FQDN


    微軟技術支援服務
    2009年7月8日 上午 02:35
  • 1.封包是在GuestOS防火牆開的時候錄的
    2.這也是我疑問的地方,當GuestOS防火牆關的時候一切都正常,tracert的路徑如同我上面附的第一個路徑;但當我打開GuestOS的Firewall的時候,卻有部分的封包會繞到第二條tracert的路徑,也就是多了一個140.135.111.253的點
    3.我ping的時候都是直接ping IP,所以可以扣除解析FQDN的問題(試過Pathping -n,結果跟tracert是一樣的結果,同上)

    想不通哩....怎會繞到140.135.111.253,即使繞到140.135.111.253,但跟B C D也是同一個網段,理論上不應出現DROP封包的情況

    2009年7月8日 上午 02:41
  • 140.135.111.253這個點是否有防火牆設置..是不允許ICMP封包過去的?


    微軟技術支援服務
    2009年7月8日 上午 03:08
  • 140.135.111.253是防火牆沒錯,但和B C D為同一網段,也有開ICMP的Policy;
    想不通的是怎會多了一個這個節點,我Network Monitor抓的封包有下ICMP的filter,還是有其他的原因造成當GuestOS firewall開啟時,多去routing 140.135.111.253?
    有點牽強的解釋的感覺。

    目前是將GuestOS firewall關閉使用中,不知其他人有無碰過這個問題
    2009年7月8日 上午 03:14
  • 如果可以的話麻煩在測試一個動作看看

    將開防火牆和沒開防火牆的封包(不使用filter & 兩邊都收)傳上來看看好了

    補充一點..在Guest OS裡面有看到一些ICMP Redirect的封包..我猜可能跟這有點關係


    微軟技術支援服務

    2009年7月8日 上午 03:36
  • 不好意思再問個問題..Guest OS的Default Gateway是設定哪一個?(111.253?)


    微軟技術支援服務
    2009年7月8日 上午 03:56