无法通过 MPLS 加载内部网站

网络工程 路由 防火墙 聚光灯
2021-07-13 22:38:15

我们在两个子网之间设置了 MPLS。除了可能相关的两件事外,一切(即我有 RDP 双向和文件共享)似乎都在正常工作。

  • Windows 计算机不会使用来自其他子网的设备填充“网络”。
  • 从远程计算机,我们无法加载位于主机网络上的内部网站。

WINS 已启用并正常工作,两台计算机都知道谁是 DNS 服务器,谁是 WINS 服务器。

Web 服务器位于192.168.1.20(Windows Server 2003),远程子网中的计算机 (Windows 7) 位于192.168.2.249文件共享和 RDP 双向工作。

因此,主机子网是192.168.0.0/23,远程子网是192.168.2.0/23每个 Windstream 路由器都有两个端口——一个用于 MPLS,一个用于 Internet。目前,远程的 Internet 端口未连接。主机路由器上的 Internet 端口在进入主机网络之前穿过我们的防火墙路由器,但主机上的 MPLS 端口直接插入交换机中继。

两个 Windstream 路由器各有一个 MPLS 端口:

  • 192.168.1.2 = 主机 MPLS
  • 192.168.2.2 = 远程 MPLS

Windstream 路由器也每个都有一个开放的互联网端口,我已经连接了一个防火墙路由器来过滤互联网,使互联网网关:

  • 192.168.1.1 = 主机网关
  • 192.168.2.1 = 远程网关

我在这里读到我需要在 Active Directory 站点和服务中列出子网,因此我创建了两个子网作为一个站点的成员。

对于我的测试,两台计算机和网络服务器上的防火墙都已关闭。

ISP (Windstream) 确认 MTU 设置为 1500,并且在他们的测试中,他们的 ping 总是以 1500 的大小发送。

那么我可以尝试什么来解决这两个问题呢?

这是一张地图: 在此处输入图片说明

[更新] 当我在网络服务器上运行 Wireshark 并观察对网页的请求时,我看到 http 调用中有很多重传。这是报告: 在此处输入图片说明

看起来从远程到主机的 http 流量是重新传输的原因。但是我没有可以阻止它的设备。防火墙全部关闭。

所以,我可以从同一子网上的一台机器 telnet 到 web 服务器,但我不能从远程子网上的机器 telnet 到它 - 它报告:

c:\>telnet 192.168.1.20 80
Connecting To 192.168.1.20...Could not open connection to the host, on port 80: Connect failed

从网络服务器到远程计算机的跟踪路由: 在此处输入图片说明

从远程计算机到网络服务器的跟踪路由: 在此处输入图片说明

[更新] 我启用IIS上的远程笔记本电脑,而我能够实现自己的网页从电脑在主机位置。然而,在我的测试中,情况一直如此。因此,http 流量只是一种方式。

1个回答

两个 Windstream 路由器各有一个 MPLS 端口:

  • 192.168.1.2 = 主机 MPLS
  • 192.168.2.2 = 远程 MPLS

Windstream 路由器也每个都有一个开放的互联网端口,我已经连接了一个防火墙路由器来过滤互联网,使互联网网关:

  • 192.168.1.1 = 主机网关
  • 192.168.2.1 = 远程网关

问题总结

您的问题是您在同一子网上有多个路由器:

  • 位于 192.168.1.1 的 Internet 网关
  • 位于 192.168.1.2 的 Windstream MPLS 路由器

这是一个错误的设计;我完全理解这“似乎”没有任何问题,但是正如您发现的那样,这是构建网络的一种艰难方法。

继续我们的聊天讨论,确切的问题是 SAINTJOSEPH 的 TCP SYN 数据包被正确传递;但是,由于您的环境中的路由不对称,对您的 PaloAlto 防火墙的状态检查会丢弃 SAINTSERVIUS 的 TCP SYN-ACK 响应。下面的两个图表说明了这一点。

从 SAINTJOSEPH 到 SAINTSERVIUS 的 TCP SYN

sspx_Before02

您的 PaloAlto 防火墙将 TCP SYN-ACK 从 SAINTSERVIUS 丢弃到 SAINTJOSEPH

sspx_Before03

tracert清楚地表明 SAINTSERVIUS 默认通过 192.168.1.1(PaloAlto 防火墙):

长期解决方案

每个子网应该只有一个路由器下一跳但是,您目前有两个。这会导致在您的wireshark 屏幕截图中显示丢失(这表明 TCP SYN-ACK 数据包永远不会到达 Windstream 的 MPLS 网络)。

这是我们讨论过的两个长期解决方案……我还包括了我们为验证问题是 PaloAltos 上的有状态数据包丢失所做的快速破解。我假设您在 PaloAlto 上使用多个接口。

  • 选项 A:使 PaloAlto 防火墙与您的办公室间连接保持一致(更多维护)
  • 选项 B:将 PaloAlto 防火墙移到 Internet 连接前(较少维护,但也不太舒服)
  • 选项 C:快速 Windows 静态路由黑客

更好的设计,选项 A(需要 MPLS 重新寻址)

这是为 SAINTSERVIUS 布置子网的另一种方法(保留 /23 子网的编号方案,尽管这不是必需的......)。此选项在 PaloAlto 防火墙上保持办公室间路由,您现在感觉更熟悉了。

sspx_After01

这是一个长期的解决方案。您将不得不与 Windstream 合作来重新定位您的基础设施。这是很多工作。在我看来,将防火墙置于办公室间流量的中间不太可取。

更好的设计,选项 B(需要 MPLS 重新寻址)

这是为 SAINTSERVIUS 布置子网的另一种方法(保留 /23 子网的编号方案,尽管这不是必需的......)。此选项将办公室间 LAN 路由卸载到您的 PowerConnect 交换机,并依靠 PaloAlto 防火墙来防御互联网威胁。

sspx_After02

这是一个长期的解决方案。您将不得不与 Windstream 合作来重新定位您的基础设施。这是很多工作,但它提供了不必为您的办公室间通信处理防火墙的优势。

次优解决方法,选项 C(您在我们聊天后使用的)

打开一个cmd.exe窗口并以管理员身份在 SAINTSERVIUS 上添加此路由:

route ADD 192.168.2.0 MASK 255.255.254.0 192.168.1.2

结束语

我应该提到,您是为数不多的对您的问题提供足够详细信息的人之一。在您开始时,我们没有足够的详细信息来回答问题。现在,问题很清楚了;感谢您花时间/精力很好地记录问题。

个人说明:如果您想要 SVG / Inkscape格式的图表的电子副本,请随时通过我的个人电子邮件(列在我的用户资料中与我联系

其它你可能感兴趣的问题
上一篇Arista MLAG ISSU 升级 - 主要/次要交换机? 下一篇具有默认路由的主动/主动 BGP