Temos um MPLS configurado entre duas sub-redes. Tudo (ou seja, eu tenho o RDP nas duas direções e no compartilhamento de arquivos) parece estar funcionando corretamente, exceto por duas coisas, que podem estar relacionadas.
- Os computadores Windows não preenchem a "Rede" com dispositivos da outra sub-rede.
- No computador remoto, não podemos carregar nosso site interno localizado na rede host.
O WINS está ativado e funcionando , e os dois computadores sabem quem é o servidor DNS e quem é o servidor WINS.
O servidor da web está em 192.168.1.20(Windows Server 2003) e o computador (Windows 7) na sub-rede remota está em 192.168.2.249. O compartilhamento de arquivos e o RDP funcionam nos dois sentidos.
Portanto, a sub-rede host é 192.168.0.0/23e a sub-rede remota é 192.168.2.0/23. Cada um dos roteadores Windstream possui duas portas - uma para MPLS e outra para Internet. No momento, a porta da Internet no controle remoto não está conectada. A porta da Internet no roteador host é executada no roteador do firewall antes de entrar na rede host, mas a porta MPLS no host é conectada diretamente no tronco do switch.
Os dois roteadores Windstream têm uma porta MPLS:
192.168.1.2= Host MPLS192.168.2.2= MPLS remoto
Os roteadores Windstream também possuem uma porta de Internet aberta, na qual eu anexei um roteador de firewall para filtrar a Internet, criando os gateways da Internet:
192.168.1.1= Host Gateway192.168.2.1= Gateway Remoto
Li aqui que precisava listar as sub-redes nos Sites e Serviços do Active Directory, então criei as duas sub-redes como membros de um site.
Para os meus testes, os firewalls estão desativados nos dois computadores e no servidor da web.
O ISP (Windstream) confirma que o MTU está definido como 1500 e, em seus testes, seus pings são sempre enviados com um tamanho de 1500.
Então, o que posso tentar resolver esses dois problemas?
Aqui está um mapa:
[atualização]
Quando executo o Wireshark no servidor da web e assisto à solicitação da página, vejo muitas retransmissões nas chamadas http. Aqui está o relatório:
Parece que o tráfego http do controle remoto para o host é o que está recebendo retransmissões. Mas não tenho equipamento que possa bloqueá-lo. Os firewalls estão todos desligados.
Portanto, posso telnetar para o servidor da web a partir de uma máquina na mesma sub-rede, mas não posso telnetar para ele a partir de uma máquina na sub-rede remota - ele informa:
c:\>telnet 192.168.1.20 80
Connecting To 192.168.1.20...Could not open connection to the host, on port 80: Connect failed
Trace-Route do servidor da web para o computador remoto:
Trace-Route do computador remoto para o servidor da web:
[atualização] Habilitei o IIS no laptop remoto e consigo extrair essa página da Web de um computador no local do host. Esse sempre foi o caso, no entanto, nos meus testes. O tráfego http, portanto, é apenas uma maneira.
Respostas:
Resumo do Problema
Seu problema é que você possui vários roteadores na mesma sub-rede:
Este é um design defeituoso; Entendo perfeitamente que "parece que" não há nada errado com isso, mas como você está descobrindo, essa é uma maneira difícil de construir a rede.
Após a discussão no chat, o problema exato é que os pacotes TCP SYN do SAINTJOSEPH são entregues corretamente; no entanto, a inspeção de estado no firewall do PaloAlto descarta a resposta TCP SYN-ACK do SAINTSERVIUS, devido ao roteamento assimétrico em seu ambiente. Isso é ilustrado nos dois diagramas a seguir.
TCP SYN de SAINTJOSEPH para SAINTSERVIUS :
O firewall do PaloAlto descarta o TCP SYN-ACK do SAINTSERVIUS para SAINTJOSEPH :
Isso
tracertdeixa muito claro que o SAINTSERVIUS usa como padrão 192.168.1.1 (o firewall do PaloAlto):Soluções de longo prazo
Você deve ter apenas um único roteador no próximo salto para cada sub-rede ; no entanto, você atualmente tem dois. Isso resulta nas descargas mostradas na captura de tela do wireshark (que indica que os pacotes TCP SYN-ACK nunca chegam à rede MPLS da Windstream).
Estas são duas soluções de longo prazo que discutimos ... Também estou incluindo o hack rápido que fizemos para validar que o problema é a queda de pacotes com estado no PaloAltos. Suponho que você esteja usando várias interfaces no PaloAlto.
Melhor Design, Opção A (é necessário redirecionar o MPLS)
Essa é outra maneira de organizar a sub-rede do SAINTSERVIUS (mantendo seu esquema de numeração com sub-redes / 23, embora não seja necessário ...). Essa opção mantém o roteamento entre escritórios nos firewalls do PaloAlto, o que lhe parece mais familiar no momento.
Esta é uma solução a longo prazo. Você precisaria trabalhar com a Windstream para reajustar sua infraestrutura. Isto é muito trabalho. Na minha opinião, é menos preferível manter os firewalls no meio do tráfego entre escritórios.
Melhor design, opção B (é necessário redirecionar o MPLS)
Essa é outra maneira de organizar a sub-rede do SAINTSERVIUS (mantendo seu esquema de numeração com sub-redes / 23, embora não seja necessário ...). Essa opção transfere o roteamento da LAN entre escritórios para seus comutadores PowerConnect e conta com os firewalls do PaloAlto para proteger contra ameaças da Internet.
Esta é uma solução a longo prazo. Você precisaria trabalhar com a Windstream para reajustar sua infraestrutura. Isso é muito trabalhoso, mas oferece a vantagem de não precisar lidar com firewalls para a comunicação entre escritórios.
Solução alternativa abaixo do ideal, opção C (o que você usou após nosso bate-papo)
Abra uma
cmd.exejanela e adicione esta rota no SAINTSERVIUS como administrador:route ADD 192.168.2.0 MASK 255.255.254.0 192.168.1.2Considerações finais
Devo mencionar que você é uma das poucas pessoas que seguiu com detalhes suficientes sobre sua pergunta. Quando você começou, não tínhamos detalhes suficientes para responder à pergunta. Agora, os problemas são muito claros; obrigado por dedicar tempo / esforço para documentar bem o problema.
Nota pessoal: Se desejar cópias eletrônicas dos diagramas no formato SVG / Inkscape , não hesite em entrar em contato comigo pelo meu email pessoal (listado no meu perfil de usuário ).
fonte