Kami memiliki pengaturan MPL antara dua subnet. Semuanya (yaitu, saya memiliki RDP baik arah maupun berbagi file) tampaknya berfungsi dengan benar kecuali untuk dua hal, yang mungkin terkait.
- Komputer Windows tidak mengisi "Jaringan" dengan perangkat dari subnet lainnya.
- Dari komputer jarak jauh, kami tidak dapat memuat situs web internal kami yang terletak di jaringan host.
MENANG diaktifkan dan berfungsi , dan kedua komputer tahu siapa server DNS dan siapa server MENANG.
192.168.1.20Server web di (Windows Server 2003) dan komputer (Windows 7) di subnet jarak jauh di 192.168.2.249. Berbagi file dan RDP bekerja dua arah.
Jadi, subnet host adalah 192.168.0.0/23dan subnet jarak jauh 192.168.2.0/23. Masing-masing router Windstream memiliki dua port - satu untuk MPLS dan satu untuk internet. Saat ini, port internet di remote tidak terhubung. Port internet pada router host berjalan melalui router firewall kami sebelum memasuki jaringan host, tetapi port MPLS pada host terhubung langsung ke switch-trunk.
Kedua Windstream Routers masing-masing memiliki port MPLS:
192.168.1.2= Host MPLS192.168.2.2= MPLS jarak jauh
Router Windstream juga masing-masing memiliki port internet terbuka yang telah saya lampirkan Firewall Router untuk memfilter internet, membuat gateway internet:
192.168.1.1= Host Gateway192.168.2.1= Remote Gateway
Saya membaca di sini bahwa saya perlu mendaftar subnet di Situs dan Layanan Direktori Aktif, jadi saya telah membuat dua subnet sebagai anggota dari satu situs.
Untuk pengujian saya, firewall dimatikan pada kedua komputer plus server web.
ISP (Windstream) mengonfirmasi bahwa MTU diatur ke 1500, dan dalam pengujiannya, ping mereka selalu dikirim dengan ukuran 1500.
Jadi apa yang bisa saya coba untuk menyelesaikan dua masalah ini?
Ini peta:
[pembaruan]
Ketika saya menjalankan Wireshark di server web dan menonton permintaan untuk halaman web, saya melihat banyak transmisi ulang pada panggilan http. Inilah laporannya:
Sepertinya lalu lintas http dari remote ke host adalah apa yang mendapatkan pengiriman ulang. Tapi saya tidak punya peralatan yang bisa memblokirnya. Firewall tidak aktif.
Jadi, saya bisa telnet ke server web dari mesin di subnet yang sama, tapi saya tidak bisa telnet ke sana dari mesin di subnet jarak jauh - ia melaporkan:
c:\>telnet 192.168.1.20 80
Connecting To 192.168.1.20...Could not open connection to the host, on port 80: Connect failed
Trace-Route dari server web ke komputer jarak jauh:
Trace-Route dari komputer jarak jauh ke server web:
[update] saya diaktifkan IIS pada laptop jarak jauh, dan saya saya mampu menarik halaman web yang dari komputer di lokasi tuan rumah. Namun, ini selalu menjadi masalah dalam pengujian saya. Lalu lintas http, oleh karena itu, hanya satu arah.
Jawaban:
Ringkasan Masalah
Masalah Anda adalah bahwa Anda memiliki beberapa router di subnet yang sama:
Ini adalah desain yang salah; Saya sepenuhnya mengerti bahwa "sepertinya" tidak ada yang salah dengan ini, tetapi ketika Anda menemukan, ini adalah cara yang sulit untuk membangun jaringan.
Menindaklanjuti diskusi obrolan kami, masalah sebenarnya adalah bahwa paket TCP SYN SAINTJOSEPH dikirimkan dengan benar; Namun, inspeksi stateful pada firewall PaloAlto Anda menjatuhkan respons TCP SYN-ACK SAINTSERVIUS, karena perutean asimetris di lingkungan Anda. Ini diilustrasikan dalam dua diagram berikut.
TCP SYN dari SAINTJOSEPH ke SAINTSERVIUS :
Firewall PaloAlto Anda menjatuhkan TCP SYN-ACK dari SAINTSERVIUS ke SAINTJOSEPH :
Ini
tracertmembuatnya sangat jelas bahwa SAINTSERVIUS default melalui 192.168.1.1 (firewall PaloAlto):Solusi Jangka Panjang
Anda hanya perlu memiliki satu router next-hop untuk setiap subnet ; Namun, saat ini Anda memiliki dua. Ini menghasilkan tetes yang ditunjukkan pada tangkapan layar wireshark Anda (yang menunjukkan bahwa paket TCP SYN-ACK tidak pernah mencapai jaringan MPLS Windstream).
Ini adalah dua solusi jangka panjang yang kami bahas ... Saya juga termasuk peretasan cepat yang kami lakukan untuk memvalidasi bahwa masalahnya adalah penurunan paket stateful pada PaloAltos. Saya berasumsi Anda menggunakan banyak antarmuka di PaloAlto.
Desain Lebih Baik, Opsi A (diperlukan pengalamatan ulang MPLS)
Ini adalah cara lain untuk mengeluarkan subnet untuk SAINTSERVIUS (mempertahankan skema penomoran Anda dengan / 23 subnet, meskipun tidak diperlukan ...). Opsi ini membuat perutean antar kantor pada firewall PaloAlto, yang terasa lebih akrab bagi Anda saat ini.
Ini adalah solusi jangka panjang. Anda harus bekerja dengan Windstream untuk mengatur ulang infrastruktur Anda. Ini banyak pekerjaan. Menurut pendapat saya, menjaga firewall di tengah lalu lintas antar kantor Anda kurang disukai.
Desain Lebih Baik, Opsi B (diperlukan pengalamatan ulang MPLS)
Ini adalah cara lain untuk mengeluarkan subnet untuk SAINTSERVIUS (mempertahankan skema penomoran Anda dengan / 23 subnet, meskipun tidak diperlukan ...). Opsi ini membongkar perutean antar kantor LAN ke sakelar PowerConnect Anda, dan bergantung pada firewall PaloAlto untuk melindungi dari ancaman internet.
Ini adalah solusi jangka panjang. Anda harus bekerja dengan Windstream untuk mengatur ulang infrastruktur Anda. Ini banyak pekerjaan, tetapi menawarkan keuntungan karena tidak harus berurusan dengan firewall untuk komunikasi antar kantor Anda.
Penanganan yang Suboptimal, Opsi C (apa yang Anda gunakan setelah obrolan kami)
Buka
cmd.exejendela dan tambahkan rute ini di SAINTSERVIUS sebagai Administrator:route ADD 192.168.2.0 MASK 255.255.254.0 192.168.1.2Kata penutup
Saya harus menyebutkan bahwa Anda adalah satu dari sedikit orang yang menindaklanjuti dengan detail yang cukup tentang pertanyaan Anda. Ketika Anda mulai, kami tidak memiliki cukup detail untuk menjawab pertanyaan. Sekarang, masalahnya sangat jelas; terima kasih telah meluangkan waktu / upaya dalam mendokumentasikan masalah dengan baik.
Catatan pribadi: Jika Anda ingin salinan elektronik diagram sebagai format SVG / Inkscape , jangan ragu untuk menghubungi saya di email pribadi saya (tercantum di profil pengguna saya ).
sumber