isa 2006 ee + nlb problem...

21/04/2008 - 21:13 von Jens Mander | Report spam
...hallo ng,
folgende problematik, ich habe hier ein isa2006ee-array, momentan noch
bestehend aus einem host. dieser wiederum hat 3 aktivierte nics, eine für
den internen bereich, eine externe und eine für die zukünftige optionale
intraarraykommunikation. auf dem internen interface haben wir routen
eingepflegt, damit einige clientsegemente über einen router
(router-switch-kombi) aus dem backend-bereich heraus erreichbar sind.
standard-gate ist ausschliesslich auf der externen karte gesetzt, die
richtung frontend-firewall eines anderen herstellers zeigt.

clients - switch/router - isa - frontendfirewall - internet

die kommunikation über sàmtliche nics funktioniert einwandfrei, bis zu dem
punkt, wo ich nlb auf intern und extern aktiviere. der externe traffic wird
einwandfrei abgewickelt, aber intern erreiche ich nur noch die hosts, die im
gleichen segment (backbone) wie der isa stehen. versuche ich den router zu
erreichen, der mich in die anderen bereiche bringen könnte ist feierabend.
ich kann den router schon nicht mal mehr pingen, geschweige denn ein paket
über ihn weiterleiten. deaktiviere ich nlb auf dem internen segment, dann
funzt das routing wieder einwandfrei.
da wir auch vorhaben se cure-nat-clients einzusetzen, würde ich intern
jedoch gerne das nlb alleine aus redundanz-gründen verwenden.
das nlb habe ich isa-integriert eingeschaltet und steht default-màßig auf
unicast. im gleichen segment làuft ein exchange-frontend-nlb ohne probleme
(allerdings auf multicast und mit einer eigenen nic für den heartbeat).
kann es sein, das das problem dadurch entsteht, das ich vorher permanente
routing-tabellen eingepflegt habe und die nicht an ein bestimmtes interface
gebunden wurden?
oder könnte mir der switch/router (vlan ist eingerichtet) in die suppe
spucken, da er mit den unicast-paketen nicht umgehen kann? merkwürdig ist
hingegen dann aber schon, das die kommunikation im gleichen segment
einwandfrei funzt, welche ebenfalls über ihn realiert wird.

hat jemand von euch eine idee, die mir helfen könnte?
gruss, jens mander...
 

Lesen sie die antworten

#1 Jens Baier
21/04/2008 - 22:03 | Warnen spam
Hi,

das nlb habe ich isa-integriert eingeschaltet und steht default-màßig auf
unicast.



OK, im Unicast Modus gibt es die wenigsten Probleme. Erst Multicast kann bei
bestimmten Switches / Switch Settings Probleme machen wegen der NLB MAC
Adressen etc.

kann es sein, das das problem dadurch entsteht, das ich vorher permanente
routing-tabellen eingepflegt habe und die nicht an ein bestimmtes
interface gebunden wurden?



du musst die Routen natuerlich so setzen, dass diese die VIP verwenden. Ich
denke aber eher an ein NLB Konfig Problem am ISA an sich. Du hast also
derzeit nur einen ISA im Array? Die Intra Array NIC ist in der ISA Konfig
korrekt konfiguriert? Hast Du Meldungen im ISA Dasboard, was das NLB angeht?
Was taucht denn im ISA Log auf, wenn Du pingst und Traceroute machst?

oder könnte mir der switch/router (vlan ist eingerichtet) in die suppe
spucken, da er mit den unicast-paketen nicht umgehen kann?



Also den Unicast Modus schliesse ich mal aus. ISA kann kein VLAN, aber wenn
das VLAN sich dem ISA wie ein normales Netzwerksegment praesentiert, als
waere ein Router dazwischen, gibt es auch keine Probleme.

Gruss Jens
www.nt-faq.de

Ähnliche fragen