pixel1001
Goto Top

Mehrere Netzwerksegmente Routen bei direkter Anbindung von Servern in 2 Segmenten

Hallo liebe Admins,

nach der Erweiterung unseres Firmennetzwerkes stehe ich vor einem Routing Problem, welches ich gerne mit eurer Hilfe lösen möchte.

Hier eine Teilübersicht des Netzes:
9a614e1721a268d03a05af30b3fe7387

Bisher hatten wir nur zwei Netzwerksegmente (192.168.70.0/24 und 192.168.72.0/24) welche mit einem W2K3-Server geroutet wurden. Nachdem das Netz immer weiter gewachsen ist habe ich mich zu einer Segmentierung nach Abteilungen entschlossen. Dazu wurde ein Router mit Firewall angeschafft und wie in der Zeichnung dargestellt angeschlossen. Die Server, hier nur zwei schematisch dargestellt, haben in den zwei Segmenten jeweils ein NIC angebunden, da hier die Performance im Vordergrund steht. Die weiteren Segmente benötigen auch Dienste von diesen Servern, aber bei weiten nicht die Performance. Außerdem soll die Firewall auch nur die Dienste durchlassen(was ja kein Problem darstellt).

Nun zum eigentlichen Problem:

Pinge ich in den Netzen 192.168.70.0/24 und 192.168.72.0/24 die Dienstserver an funktioniert natürlich die Verbindung.
Weitere Pings in eines der Netze (192.168.77.0/24 und 192.168.78.0/24) von den Netzen (192.168.70.0/24 und 192.168.72.0/24)
funktioniert auch. Aber Pinge ich den Dienstserver mit dem Namen an, geht der Ping nur in ein Segment. Also ein Ping auf SRVFILES funktioniert nur auf 192.168.72.20 und nicht auf 192.168.70.20, bei dem SRVDB ist die Verbindung nur auf das Segment 192.168.70.0/24 möglich. Soweit ich das Problem erkenne liegt es am Standardgateway auf den Servern, die in der Routingtabelle einmal auf 192.168.72.1(SRVFILES) und das andere mal auf 192.168.70.1(SRVDB) zeigen. Das liegt aus meiner Sicht wieder an der Reihenfolge der Netzwerkadapter(Anbieterreihenfolge) auf den Servern.

So, aber wie bekomme ich es gelöst, dass die Zugriffe über den DNS-Namen der ja beide IP's liefern kann, immer sauber funktionieren.
Welches Segment (ob nun 70 oder 72) dabei verwendet wird ist relativ egal, da die Server alle in einem Raum mit 4-er Gbit Trunks verbunden sind, welche bis in die Abteilungen verkabelt sind. Nur die FW hat 1GBit NIC's in den wichtigen Segmenten, der Rest hat einen 1GBit Uplink mit VLAN-Tagging.


Die Umgebung ist eine Windowslandschaft mit DHCP und DNS, eine Domäne. Der Router ist ein LINUX-Teil.

Ich hoffe mir kann hier jemand einen Tipp geben.

Liebe Grüße,

Pixel.

Content-Key: 195002

Url: https://administrator.de/contentid/195002

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: 108012
108012 28.11.2012 um 02:09:04 Uhr
Goto Top
Hallo Pixel,

was ist das denn für ein Linux-Teil? (die Router Hardware)
Und was sind das für GB NiC´s in den wichtigen Segmenten? z.B. Intel Server Adapter
Was für Switche und wo genau setzt Du diese denn ein?
Sind das Layer 3 Switche oder warum routen die Server?
Sind die Switche gestapelt (stacked)? Wenn ja, als Kette (chain) oder als Ring (ring)

Ich frage das rein aus Interesse heraus, ich hoffe Du nimmst mir das nicht übel!

Gruß
Dobby
Mitglied: Pixel1001
Pixel1001 28.11.2012 aktualisiert um 09:57:20 Uhr
Goto Top
Hallo Dobby,

Das Linux-Teil ist ein Collax-CPS Server. Zu den NiC's: Das Netz hat natürlich nicht nur 2 Server und die NiC's sind in die Server schon als Trunk angebunden. Hier sind 18 Hardware-Server im Einsatz und die Umgebungen sind auch virtualisiert. Also von VM-Ware, Xen bis Virtuozzo(unter Windows auf IBM Servern) wird hier historisch alles eingesetzt. Ein SAN wohnt hier auch noch. Die alten Server routen heute nicht mehr. Die Switche (10 Stück) sind allesamt HP-Procurve, welche in einer Kette mit einem 4er Trunk verbunden sind und in der realen Welt 12 V-LAN's beherbergen. Die Objektanbindungen sind hier mit LWL realisiert.
Das ist aber nicht das Problem, und im oben gezeigten Bild wird nur das Grundproblem mit den zwei Lager und Vertriebs-Netzen skizziert. Die existieren hier natürlich auch unter anderen Namen.

Eigentlich kann ich das Problem auch lösen, wenn ich in alle Server die V-LAN's lege, nur habe ich hier bei Virtuozzo vom Support ein Bauchschmerz-naja-kann-gehen als Antwort bekommen, da bei der Installation das Tagging, bzw. der Treiber noch nicht da waren. Es reicht eigentlich auch ein DNS-Filter, welcher im entsprechenden Netz nur die Gateway-Adressen der Server kennt.
LG,
Pixel