Não é possível carregar o site interno pelo MPLS


8

Temos um MPLS configurado entre duas sub-redes. Tudo (ou seja, eu tenho o RDP nas duas direções e no compartilhamento de arquivos) parece estar funcionando corretamente, exceto por duas coisas, que podem estar relacionadas.

  • Os computadores Windows não preenchem a "Rede" com dispositivos da outra sub-rede.
  • No computador remoto, não podemos carregar nosso site interno localizado na rede host.

O WINS está ativado e funcionando , e os dois computadores sabem quem é o servidor DNS e quem é o servidor WINS.

O servidor da web está em 192.168.1.20(Windows Server 2003) e o computador (Windows 7) na sub-rede remota está em 192.168.2.249. O compartilhamento de arquivos e o RDP funcionam nos dois sentidos.

Portanto, a sub-rede host é 192.168.0.0/23e a sub-rede remota é 192.168.2.0/23. Cada um dos roteadores Windstream possui duas portas - uma para MPLS e outra para Internet. No momento, a porta da Internet no controle remoto não está conectada. A porta da Internet no roteador host é executada no roteador do firewall antes de entrar na rede host, mas a porta MPLS no host é conectada diretamente no tronco do switch.

Os dois roteadores Windstream têm uma porta MPLS:

  • 192.168.1.2 = Host MPLS
  • 192.168.2.2 = MPLS remoto

Os roteadores Windstream também possuem uma porta de Internet aberta, na qual eu anexei um roteador de firewall para filtrar a Internet, criando os gateways da Internet:

  • 192.168.1.1 = Host Gateway
  • 192.168.2.1 = Gateway Remoto

Li aqui que precisava listar as sub-redes nos Sites e Serviços do Active Directory, então criei as duas sub-redes como membros de um site.

Para os meus testes, os firewalls estão desativados nos dois computadores e no servidor da web.

O ISP (Windstream) confirma que o MTU está definido como 1500 e, em seus testes, seus pings são sempre enviados com um tamanho de 1500.

Então, o que posso tentar resolver esses dois problemas?

Aqui está um mapa: insira a descrição da imagem aqui

[atualização] Quando executo o Wireshark no servidor da web e assisto à solicitação da página, vejo muitas retransmissões nas chamadas http. Aqui está o relatório: insira a descrição da imagem aqui

Parece que o tráfego http do controle remoto para o host é o que está recebendo retransmissões. Mas não tenho equipamento que possa bloqueá-lo. Os firewalls estão todos desligados.

Portanto, posso telnetar para o servidor da web a partir de uma máquina na mesma sub-rede, mas não posso telnetar para ele a partir de uma máquina na sub-rede remota - ele informa:

c:\>telnet 192.168.1.20 80
Connecting To 192.168.1.20...Could not open connection to the host, on port 80: Connect failed

Trace-Route do servidor da web para o computador remoto: insira a descrição da imagem aqui

Trace-Route do computador remoto para o servidor da web: insira a descrição da imagem aqui

[atualização] Habilitei o IIS no laptop remoto e consigo extrair essa página da Web de um computador no local do host. Esse sempre foi o caso, no entanto, nos meus testes. O tráfego http, portanto, é apenas uma maneira.


Como você está roteando entre as duas sub-redes? Qual o equipamento que IGP, etc.
Brett Lykins

A Windstream instalou seus roteadores Cisco em cada extremidade. Conectei um computador diretamente à porta MPLS do controle remoto, e a porta MPLS do host é alimentada diretamente no tronco do switch da minha LAN.
bgmCoder

11
que tipo de dispositivos são 192.168.1.1 e 192.168.1.2?
Mike Pennington #

Desculpe, acabei de adicionar esses endereços com uma explicação.
precisa saber é o seguinte

Respostas:


9

Os dois roteadores Windstream têm uma porta MPLS:

  • 192.168.1.2 = Host MPLS
  • 192.168.2.2 = MPLS remoto

Os roteadores Windstream também possuem uma porta de Internet aberta, na qual eu anexei um roteador de firewall para filtrar a Internet, criando os gateways da Internet:

  • 192.168.1.1 = Host Gateway
  • 192.168.2.1 = Gateway Remoto

Resumo do Problema

Seu problema é que você possui vários roteadores na mesma sub-rede:

  • O gateway da Internet em 192.168.1.1
  • O roteador Windstream MPLS em 192.168.1.2

Este é um design defeituoso; Entendo perfeitamente que "parece que" não há nada errado com isso, mas como você está descobrindo, essa é uma maneira difícil de construir a rede.

Após a discussão no chat, o problema exato é que os pacotes TCP SYN do SAINTJOSEPH são entregues corretamente; no entanto, a inspeção de estado no firewall do PaloAlto descarta a resposta TCP SYN-ACK do SAINTSERVIUS, devido ao roteamento assimétrico em seu ambiente. Isso é ilustrado nos dois diagramas a seguir.

TCP SYN de SAINTJOSEPH para SAINTSERVIUS :

sspx_Before02

O firewall do PaloAlto descarta o TCP SYN-ACK do SAINTSERVIUS para SAINTJOSEPH :

sspx_Before03

Isso tracertdeixa muito claro que o SAINTSERVIUS usa como padrão 192.168.1.1 (o firewall do PaloAlto):

Soluções de longo prazo

Você deve ter apenas um único roteador no próximo salto para cada sub-rede ; no entanto, você atualmente tem dois. Isso resulta nas descargas mostradas na captura de tela do wireshark (que indica que os pacotes TCP SYN-ACK nunca chegam à rede MPLS da Windstream).

Estas são duas soluções de longo prazo que discutimos ... Também estou incluindo o hack rápido que fizemos para validar que o problema é a queda de pacotes com estado no PaloAltos. Suponho que você esteja usando várias interfaces no PaloAlto.

  • Opção A: Mantenha os firewalls do PaloAlto alinhados com suas conexões entre escritórios (mais manutenção)
  • Opção B: Mova os firewalls do PaloAlto na frente das conexões à Internet (menos manutenção, mas também menos confortável)
  • Opção C: Corte rápido de roteamento estático do Windows

Melhor Design, Opção A (é necessário redirecionar o MPLS)

Essa é outra maneira de organizar a sub-rede do SAINTSERVIUS (mantendo seu esquema de numeração com sub-redes / 23, embora não seja necessário ...). Essa opção mantém o roteamento entre escritórios nos firewalls do PaloAlto, o que lhe parece mais familiar no momento.

sspx_After01

Esta é uma solução a longo prazo. Você precisaria trabalhar com a Windstream para reajustar sua infraestrutura. Isto é muito trabalho. Na minha opinião, é menos preferível manter os firewalls no meio do tráfego entre escritórios.

Melhor design, opção B (é necessário redirecionar o MPLS)

Essa é outra maneira de organizar a sub-rede do SAINTSERVIUS (mantendo seu esquema de numeração com sub-redes / 23, embora não seja necessário ...). Essa opção transfere o roteamento da LAN entre escritórios para seus comutadores PowerConnect e conta com os firewalls do PaloAlto para proteger contra ameaças da Internet.

sspx_After02

Esta é uma solução a longo prazo. Você precisaria trabalhar com a Windstream para reajustar sua infraestrutura. Isso é muito trabalhoso, mas oferece a vantagem de não precisar lidar com firewalls para a comunicação entre escritórios.

Solução alternativa abaixo do ideal, opção C (o que você usou após nosso bate-papo)

Abra uma cmd.exejanela e adicione esta rota no SAINTSERVIUS como administrador:

route ADD 192.168.2.0 MASK 255.255.254.0 192.168.1.2

Considerações finais

Devo mencionar que você é uma das poucas pessoas que seguiu com detalhes suficientes sobre sua pergunta. Quando você começou, não tínhamos detalhes suficientes para responder à pergunta. Agora, os problemas são muito claros; obrigado por dedicar tempo / esforço para documentar bem o problema.

Nota pessoal: Se desejar cópias eletrônicas dos diagramas no formato SVG / Inkscape , não hesite em entrar em contato comigo pelo meu email pessoal (listado no meu perfil de usuário ).


As duas sub-redes estão a uma milha de distância uma da outra em edifícios diferentes. O ISP me disse que eu deveria ter um gateway da Internet para cada sub-rede e o MPLS deveria se juntar a eles em suas LANs internas. Então você está dizendo que eu só preciso de um roteador de Internet (Palo-Alto) e as duas sub-redes devem passar por ele como um único gateway para toda a rede?
precisa

11
@BGM, por favor se juntar a mim em uma sala de chat criado para este problema
Mike Pennington

Obrigado, Sr. Pennington, você me prestou um ótimo serviço.
precisa saber é o seguinte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.