Không thể tải trang web nội bộ qua MPLS

8

Chúng tôi có một MPLS được thiết lập giữa hai mạng con. Mọi thứ (nghĩa là tôi có RDP cả hai hướng cũng như chia sẻ tệp) dường như hoạt động chính xác ngoại trừ hai điều có thể liên quan.

  • Các máy tính Windows không điền "Mạng" với các thiết bị từ mạng con khác.
  • Từ máy tính từ xa, chúng tôi không thể tải trang web nội bộ của chúng tôi nằm trên mạng máy chủ.

WINS được kích hoạt và hoạt động , và cả hai máy tính đều biết ai là máy chủ DNS và ai là máy chủ WINS.

Máy chủ web đang ở 192.168.1.20(Windows Server 2003) và máy tính (Windows 7) trong mạng con từ xa đang ở 192.168.2.249. Chia sẻ tệp và RDP hoạt động theo cả hai cách.

Vì vậy, mạng con máy chủ là 192.168.0.0/23và mạng con từ xa là 192.168.2.0/23. Mỗi bộ định tuyến Windstream có hai cổng - một cho MPLS và một cho internet. Ngay bây giờ, cổng internet ở xa không được kết nối. Cổng internet trên bộ định tuyến máy chủ chạy qua bộ định tuyến tường lửa của chúng tôi trước khi vào mạng máy chủ, nhưng cổng MPLS tại máy chủ cắm trực tiếp vào trung kế chuyển mạch.

Hai Bộ định tuyến Gió đều có cổng MPLS:

  • 192.168.1.2 = Máy chủ MPLS
  • 192.168.2.2 = MPLS từ xa

Mỗi bộ định tuyến Windstream đều có một cổng internet mở mà tôi đã gắn Bộ định tuyến Tường lửa để lọc internet, tạo các cổng internet:

  • 192.168.1.1 = Cổng máy chủ
  • 192.168.2.1 = Cổng từ xa

Tôi đọc ở đây rằng tôi cần liệt kê các mạng con trong Trang web và Dịch vụ của Active Directory, vì vậy tôi đã tạo hai mạng con là thành viên của một trang web.

Đối với thử nghiệm của tôi, tường lửa được tắt trên cả hai máy tính cộng với máy chủ web.

ISP (Windstream) xác nhận rằng MTU được đặt thành 1500 và trong thử nghiệm của họ, các lệnh ping của họ luôn được gửi với kích thước 1500.

Vì vậy, những gì tôi có thể cố gắng để giải quyết hai vấn đề này?

Đây là bản đồ: nhập mô tả hình ảnh ở đây

[cập nhật] Khi tôi chạy Wireshark trên máy chủ web và xem yêu cầu cho trang web, tôi thấy rất nhiều truyền lại trên các cuộc gọi http. Đây là báo cáo: nhập mô tả hình ảnh ở đây

Có vẻ như lưu lượng truy cập http từ xa đến máy chủ lưu trữ là những gì đang được truyền lại. Nhưng tôi không có thiết bị nào có thể chặn nó. Các tường lửa đều tắt.

Vì vậy, tôi có thể telnet đến máy chủ web từ một máy trên cùng mạng con, nhưng tôi không thể telnet đến nó từ một máy trên mạng con từ xa - nó báo cáo:

c:\>telnet 192.168.1.20 80
Connecting To 192.168.1.20...Could not open connection to the host, on port 80: Connect failed

Trace-Route từ máy chủ web đến máy tính từ xa: nhập mô tả hình ảnh ở đây

Trace-Route từ máy tính từ xa đến máy chủ web: nhập mô tả hình ảnh ở đây

[cập nhật] tôi kích hoạt IIS trên máy tính xách tay từ xa, và tôi có khả năng kéo trang web đó từ một máy tính tại địa điểm tiếp nhận. Điều này luôn luôn là trường hợp, tuy nhiên, trong các thử nghiệm của tôi. Lưu lượng http, do đó, chỉ là một cách.

routing  firewall  mpls  lan 
bgmCoder
nguồn
Làm thế nào bạn định tuyến giữa hai mạng con? Thiết bị gì IGP, v.v.
Brett Lykins
Windstream đã cài đặt bộ định tuyến Cisco của họ ở hai đầu Tôi đã kết nối máy tính trực tiếp với cổng MPLS của điều khiển từ xa và cổng MPLS của máy chủ cung cấp trực tiếp vào trung kế chuyển mạch LAN của tôi.
bgmCoder
1
192.168.1.1 và 192.168.1.2 là loại thiết bị nào?
Mike Pennington
Xin lỗi, tôi chỉ thêm những địa chỉ đó với một lời giải thích.
bgmCoder

Câu trả lời:

9

Hai Bộ định tuyến Gió đều có cổng MPLS:

  • 192.168.1.2 = Máy chủ MPLS
  • 192.168.2.2 = MPLS từ xa

Mỗi bộ định tuyến Windstream đều có một cổng internet mở mà tôi đã gắn Bộ định tuyến Tường lửa để lọc internet, tạo các cổng internet:

  • 192.168.1.1 = Cổng máy chủ
  • 192.168.2.1 = Cổng từ xa

Tóm tắt sự cố

Vấn đề của bạn là bạn đã có nhiều bộ định tuyến trên cùng một mạng con:

  • Cổng Internet tại 192.168.1.1
  • Bộ định tuyến MPLS Windstream tại 192.168.1.2

Đây là một thiết kế bị lỗi; Tôi hoàn toàn hiểu rằng "có vẻ như" không có gì sai với điều này, nhưng như bạn đang khám phá, đây là một cách khó để xây dựng mạng.

Theo dõi cuộc thảo luận trò chuyện của chúng tôi, vấn đề chính xác là các gói TCP SYN của SAINTJOSEPH được phân phối chính xác; tuy nhiên, kiểm tra trạng thái trên tường lửa PaloAlto của bạn làm giảm phản hồi TCP SYN-ACK của SAINTSERVIUS, do định tuyến không đối xứng trong môi trường của bạn. Điều này được minh họa trong hai sơ đồ sau.

TCP TCP từ SAINTJOSEPH đến SAINTSERVIUS :

sspx_B Before02

Tường lửa PaloAlto của bạn giảm TCP SYN-ACK từ SAINTSERVIUS xuống SAINTJOSEPH :

sspx_B Before03

Điều này tracertcho thấy rất rõ rằng SAINTSERVIUS mặc định thông qua 192.168.1.1 (tường lửa PaloAlto):

Giải pháp dài hạn

Bạn chỉ nên có một bộ định tuyến kế tiếp cho mỗi mạng con ; tuy nhiên, bạn hiện có hai. Điều này dẫn đến những giọt được hiển thị trong ảnh chụp màn hình dây dẫn của bạn (điều này cho thấy các gói TCP SYN-ACK không bao giờ đến được mạng MPLS của Windstream).

Đây là hai giải pháp dài hạn mà chúng tôi đã thảo luận ... Tôi cũng bao gồm cả việc hack nhanh mà chúng tôi đã thực hiện để xác thực rằng sự cố là các gói tin có trạng thái rơi trên PaloAltos. Tôi giả sử bạn đang sử dụng nhiều giao diện trên PaloAlto.

  • Tùy chọn A: Giữ tường lửa PaloAlto nội tuyến với các kết nối liên kết của bạn (bảo trì nhiều hơn)
  • Tùy chọn B: Di chuyển tường lửa PaloAlto trước các kết nối internet (ít bảo trì hơn, nhưng cũng không thoải mái hơn)
  • Tùy chọn C: Hack định tuyến tĩnh Windows nhanh

Thiết kế tốt hơn, Tùy chọn A (Yêu cầu địa chỉ lại MPLS)

Đây là một cách khác để bố trí mạng con cho SAINTSERVIUS (giữ lại sơ đồ đánh số của bạn với / 23 mạng con, mặc dù không bắt buộc ...). Tùy chọn này giữ định tuyến liên tục trên tường lửa PaloAlto, cảm giác quen thuộc hơn với bạn ngay bây giờ.

sspx_After01

Đây là một giải pháp lâu dài. Bạn sẽ phải làm việc với Windstream để tập hợp lại cơ sở hạ tầng của bạn. Đây là rất nhiều công việc. Theo tôi, giữ cho tường lửa ở giữa lưu lượng giao thông của bạn là ít thích hợp hơn.

Thiết kế tốt hơn, Tùy chọn B (Yêu cầu địa chỉ lại MPLS)

Đây là một cách khác để bố trí mạng con cho SAINTSERVIUS (giữ lại sơ đồ đánh số của bạn với / 23 mạng con, mặc dù không bắt buộc ...). Tùy chọn này giảm tải định tuyến LAN liên kết với các bộ chuyển mạch PowerConnect của bạn và dựa vào tường lửa PaloAlto để bảo vệ chống lại các mối đe dọa từ internet.

sspx_After02

Đây là một giải pháp lâu dài. Bạn sẽ phải làm việc với Windstream để tập hợp lại cơ sở hạ tầng của bạn. Đây là rất nhiều công việc, nhưng nó cung cấp lợi thế của việc không phải đối phó với tường lửa cho giao tiếp liên lạc của bạn.

Giải pháp tối ưu tối ưu, Tùy chọn C (những gì bạn đã sử dụng sau khi trò chuyện của chúng tôi)

Mở một cmd.execửa sổ và thêm tuyến đường này trên SAINTSERVIUS với tư cách Quản trị viên:

route ADD 192.168.2.0 MASK 255.255.254.0 192.168.1.2

Đóng nhận xét

Tôi nên đề cập rằng bạn là một trong số ít những người theo dõi với đầy đủ chi tiết về câu hỏi của bạn Khi bạn bắt đầu, chúng tôi không có đủ chi tiết để trả lời câu hỏi. Bây giờ, các vấn đề rất rõ ràng; cảm ơn bạn đã dành thời gian / công sức để ghi chép lại vấn đề.

Lưu ý cá nhân: Nếu bạn muốn một bản sao điện tử của sơ đồ dưới định dạng SVG / Inkscape , vui lòng liên hệ với tôi qua email cá nhân của tôi (được liệt kê trong hồ sơ người dùng của tôi ).

Mike Pennington
nguồn
Hai mạng con cách nhau khoảng một dặm trong các tòa nhà khác nhau. ISP nói với tôi rằng tôi nên có một cổng internet cho mỗi mạng con và MPLS nên kết nối chúng trên mạng LAN nội bộ của chúng. Vì vậy, bạn đang nói rằng tôi chỉ cần một bộ định tuyến internet (Palo-Alto) và cả hai mạng con nên đi qua nó như một cổng duy nhất cho toàn bộ mạng?
bgmCoder
1
@BGM, vui lòng tham gia cùng tôi trong một phòng trò chuyện được tạo cho vấn đề này
Mike Pennington
Cảm ơn bạn, ông Pennington, bạn đã làm cho tôi một dịch vụ tuyệt vời.
bgmCoder
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.