| bombording |
15-09-2011 22:06 1753840 |
[решено] Проблемы с маршрутизацией.
Добрый вечер.
Имеется локальная сеть. В локалке две подсети 192.168.50.* (основная) и 192.168.7.*.
Все эти подсети сидят на одном из свичей. Просто некоторые сервера используют одну подсеть, а некоторые вторую.
Шлюзом для 192.168.50.* служит ISA с двумя сетевыми картами. Одна WAN (to провайдер), вторая LAN то 192.168.50.*. Правила настроены, всё работает.
Возникла необходимость настроить маршрутизацию и дать некоторым компьютерам из 192.168.50.* в сети общаться с 192.168.7.*.
Итак. Даю адаптеру LAN (192.168.50.230.) дополнительный ip адрес из 192.168.7.*. Захожу в ISA, в свойствах сети Internal прописываю(добавляю) подсеть 192.168.7.0 - 192.168.7.255.
Не работает.
Подскажите, что делаю не так?
Возможно тема уже поднималась, но решил создать новую тему.
|
хорошее описание.
давайте для начала Logging поглядим. |
| bombording |
15-09-2011 22:50 1753881 |
cameron,
В логах пусто, (в данный момент).
Единственное, в событиях имеется ошибка:
Цитата:
ISA Server detected a network adapter connected to multiple networks: Address 192.168.50.230 belongs to network 'Internal' and address 192.168.7.80 belongs to network 'External'. Verify that all the IP addresses on the network adapter are in the same network, or change the IP addresses on the network adapter.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
|
Цитата:
Description: ISA Server detected routes through the network adapter LAN that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.7.0-192.168.7.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.
The routing table for the network adapter WAN includes IP address ranges that are not defined in the array-level network External, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network.
The following IP address ranges will be dropped as spoofed:
Internal:192.168.7.0-192.168.7.255;
|
А у серверов из подсети 192.168.7.* обязательно должен стоять ISA сервер в качестве шлюза?
|
Цитата:
Цитата bombording
А у серверов из подсети 192.168.7.* обязательно должен стоять ISA сервер в качестве шлюза? »
|
а каким другим волшебным способом туда пакеты пойдут?
можно конечно всем массово написать route add если не хотите ставить её гейтом.
итак:
вы добавили интерфейсу ещй один адрес, прописали его в Internal сети и у вас наблюдается ошибка что 192.168.7.0/24 является External, после этих действий? |
Самый простой способ - расширить маску подсети, чтобы она включала в себя обе этих сети, тогда и маршрутизация не потребуется :) Но это как крайний вариант.
Покажи результат route print с ISA сервера после выполнения команд, описанных cameron.
|
bombording,
Простите господа и дамы присяжные заседатели, но я не возьму в толк, а причём здесь иса!? Если проблемы с маршрутизацией то и писать нужно в топик по соответствующей серверной винде. ;) ISA не занимается маршрутизацией.
|
Цитата:
Цитата Anton04
ISA не занимается маршрутизацией. »
|
не все это знают ;) |
Anton04, просто многие видят в ISA нечто, связанное с маршрутизацией и считают ее маршрутизатором :)
bombording, укажи версию сервера, чтобы я мог перенести тему в соответствующую ветку.
|
| bombording |
16-09-2011 14:07 1754288 |
Я так понимаю, необходимо поднимать службу маршрутизации?
Delirium, Windows 2003, ISA 2006
|
Ну вот это уже другое дело. Да, необходимо поднимать службу маршрутизации.
И скажу по секрету, ISA при настройке всего навсего отображает в графическом интерфейсе результаты команды route print, и все действия, которые делаются через ISA, можно спокойно сделать в командной строке утилитой route.
P.S. Переношу тему в Windows Server 2003.
|
| bombording |
19-09-2011 09:35 1755905 |
Delirium, её нужно поднимать на шлюзе? А ничего что там так же установленна ISA ?
|
bombording, а в чем, по твоему пониманию, разница между шлюзом и маршрутизатором? Просто мне кажется, что ты немного путаешься в терминах и понятиях.
Цитата:
Цитата bombording
А ничего что там так же установленна ISA ? »
|
Абсолютно ничего страшного.
|
| bombording |
19-09-2011 09:52 1755921 |
Delirium, шлюз позволяет обмениваться пакетами с ISP. А маршрутизатор умный и позволяет разграничивать сети.
|
| bombording |
19-09-2011 10:29 1755943 |
Выяснилось что на шлюзе уже поднята служба маршрутизации.
В разделе IP маршрутизация добавил ip адрес из подсети 192.168.7.*
Пинги из основной сети (192.168.50.*) в сеть 192.168.7.* стали ходить. А вот из 192.168.7.* в 192.168.50.* нет...
Код:
Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.
C:\>route print
IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ... ...... Intel(R) PRO/1000 MT Network Connection
0x10004 ... ...... Marvell Yukon 88E8050 PCI-E ASF Gigabit Ethe
rnet Controller
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 wan ip wan ip 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.50.0 255.255.255.0 192.168.50.244 192.168.50.244 1
192.168.50.244 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.50.255 255.255.255.255 192.168.50.244 192.168.50.244 1
192.168.7.0 255.255.255.0 192.168.7.99 192.168.50.244 1
192.168.7.99 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.7.255 255.255.255.255 192.168.7.99 192.168.50.244 1
wan ip 255.255.255.240 wan ip wan ip 10
wan ip 255.255.255.255 127.0.0.1 127.0.0.1 10
wan ip 255.255.255.255 wan ip wan ip 10
224.0.0.0 240.0.0.0 192.168.50.244 192.168.50.244 1
224.0.0.0 240.0.0.0 wan ip wan ip 10
255.255.255.255 255.255.255.255 192.168.50.244 192.168.50.244 1
255.255.255.255 255.255.255.255 wan ip wan ip 1
Основной шлюз: wan ip
===========================================================================
Постоянные маршруты:
Отсутствует
|
было бы классно показать правила файервола и правила маршрутизации в ISA.
ну и Monitoring - Logging бы тоже не помешал.
|
| bombording |
19-09-2011 11:15 1755978 |
В логах только один алерт:
Цитата:
ISA Server detected a network adapter connected to multiple networks: Address 192.168.50.244 belongs to network 'Internal' and address 192.168.7.99 belongs to network 'External'. Verify that all the IP addresses on the network adapter are in the same network, or change the IP addresses on the network adapter.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
|
В ISA правил для сетей всего три:
1. NAT - Internal, VPN to -> External
2. Route - Local Host to -> All Networks
3. для VPN |
Цитата:
Цитата bombording
В логах только один алерт: »
|
я про алерты не спрашивала.
да и по поводу этого алерта тоже уже писала.
Цитата:
Цитата bombording
1. NAT - Internal, VPN to -> External
2. Route - Local Host to -> All Networks
3. для VPN »
|
ну а правила файервола? |
Цитата:
Цитата bombording
А вот из 192.168.7.* в 192.168.50.* нет... »
|
с подсети 7.* также выложи tracert 192.168.50.***, увидишь, где затыкается. А вообще, как сказала cameron, мониторинг должен показать, почему пакеты не идут. |
| bombording |
20-09-2011 09:35 1756615 |
Logging Показал что запросы блокировал ISA Firewall. Создал правило вида 192.168.7.0-192.168.7.255 разрешён весь трафик в 192.168.50.0-192.168.50.255
Теперь всё работает.
Спасибо Вам!!!
|
| bombording |
22-09-2011 09:32 1757905 |
Коллеги, я поспешил.
На следующий день маршрутизация упала. Пингуется только один хост из 192.168.7.* подсети. Пинги к остальным хостам не проходят (раньше проходили). Monitoring говорит что всё нормально и ссылается на правила которые я создал в Firewall.:
Цитата:
192.168.50.0-192.168.50.255 Allow All Traffic to 192.168.7.0-192.168.7.255
192.168.7.0-192.168.7.255 Allow All Traffic to 192.168.50.0-192.168.50.255
|
Помогите пожалуйста. |
Цитата:
Цитата bombording
На следующий день маршрутизация упала. Пингуется только один хост из 192.168.7.* подсети »
|
Покажите вывод ipconfig /all с компьютера который пингуется и с компьютера который не пингуется. |
| bombording |
22-09-2011 09:55 1757925 |
Telepuzik,
Который пингуется
Цитата:
C:\Users\Administrator>ipconfig /all
Windows IP Configuration
Host Name . . . . . . . . . . . . : dc
Primary Dns Suffix . . . . . . . : domen.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : domen.local
Ethernet adapter Local Area Connection* 9:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft Failover Cluster Virtual Adapte
r
Physical Address. . . . . . . . . : *
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Ethernet adapter Local Area Connection 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (NDIS
VBD Client) #2
Physical Address. . . . . . . . . : *
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 172.16.0.1(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :
NetBIOS over Tcpip. . . . . . . . : Enabled
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (NDIS
VBD Client)
Physical Address. . . . . . . . . : 00-19-99-20-E6-C9
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.7.99(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.7.100
DNS Servers . . . . . . . . . . . : 192.168.7.99
192.168.7.10
NetBIOS over Tcpip. . . . . . . . : Enabled
Tunnel adapter isatap.{B63854E5-3D6E-43AB-BA0F-5D9A4E898BF8}:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : *
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Tunnel adapter isatap.{AE60E2E6-BA5C-45CA-8DD6-5F971A89CFEB}:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
Physical Address. . . . . . . . . : *
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Tunnel adapter Local Area Connection* 12:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physical Address. . . . . . . . . : *
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Tunnel adapter isatap.{E1BCD52F-AAB8-4409-B202-41DB71D94C3E}:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #3
Physical Address. . . . . . . . . : *
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
|
|
bombording,
А нельзя ли сократить лог, убирая незначащую информацию типа
Цитата:
Цитата bombording
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #3
Physical Address. . . . . . . . . : *
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes »
|
А также:
Цитата:
Цитата Telepuzik
и с компьютера который не пингуется »
|
|
| bombording |
23-09-2011 09:47 1758588 |
monkkey, Спасибо. Я учту.
Коллеги спасибо за помощь. Были проблемы с сетевыми настройками, у тех хостов которые не пингуются.
|
Время: 18:25.
© OSzone.net 2001-
