Anticisco http://www.anticisco.ru/forum/ |
|
Cisco ASA и NLB http://www.anticisco.ru/forum/viewtopic.php?f=9&t=1857 |
Страница 1 из 1 |
Автор: | P@ve1 [ 02 июн 2011, 17:10 ] |
Заголовок сообщения: | Cisco ASA и NLB |
Добрый день. Коллеги по серверной части внедряют NLB кластер в "multicast" режиме. Из всех материалов про NLB - самое внятное нашел: http://www.cisco.com/en/US/products/hw/ ... 7203.shtml С точки зрения сетки: Кластер строится из виртуальных машин на ESX, которые развернуты на блейдовых серверах. Сервера всключены в блейдовые коммутаторы Cisco CBS 3020. Последние включены в Catalyst 4500, а к нему подключена ASA 5520. Все это располагается в DMZ VLAN-е. ASA для этой подсети является дефолтным шлюзом. Я в соответсвиии с мануалом на всех транзитных коммутаторах сделал статические mac записи с соответствующим мультикастным мак-адресом до всех серверов. А на аса сделал специальную ARP запись. НО кластер снаружи не доступен. при этом packet-tracer говорит, что пакет к кластеру пропускает)) Никаких материалов про взаимодействие ASA и NLB - не нагуглил. В качестве бэкап варианта - создание между кластером и ASA дополнительного хопа на базе Cat4500 в отдельном vrf (тогда будет в точности соответсвовать схеме из мануала) - но как то не хочется настолько усложнять систему. Может кто подскажет по NLB? PS Уродская технология |
Автор: | Lomax [ 02 июн 2011, 19:48 ] |
Заголовок сообщения: | Re: Cisco ASA и NLB |
Уберите статический ARP на асе, у меня в такой же конфигурации она нашла NLB кластер сама. ЗЫ очень уродливо |
Автор: | tsippa [ 03 июн 2011, 09:11 ] |
Заголовок сообщения: | Re: Cisco ASA и NLB |
тройной уровень резервирования на уровне железа на уровне esx и сверху кластер еще круто, чО |
Автор: | P@ve1 [ 03 июн 2011, 09:38 ] |
Заголовок сообщения: | Re: Cisco ASA и NLB |
Lomax писал(а): Уберите статический ARP на асе, у меня в такой же конфигурации она нашла NLB кластер сама. Так вот, пока я на коммутаторах не настроил статические мультикастные мак записи, указывающие на все гипервизоры - оно работало) Но трафик доходил только до 1 гипервизора - видимо того, кто первый на arp отвечал) А после добавления статических mac-записей - перестало работать снаружи. При этом из самой подсети запросы действительно идут на все члены кластера) А по поводу тройного резервирования - я так понимаю там, не столько резервирование, сколько балансировка нагрузки. |
Автор: | P@ve1 [ 03 июн 2011, 13:53 ] |
Заголовок сообщения: | Re: Cisco ASA и NLB |
Как только NLB кластер уменьшается до 1 ноды - все начинает работать)) Как только колльчество нод становится больше - облом. В логах асы ничего инетересного не нашел( |
Автор: | imperorr [ 03 июн 2011, 14:21 ] |
Заголовок сообщения: | Re: Cisco ASA и NLB |
А ты уровня debug посмотри логи =)) куда нить на Syslog server направь их и проанализируй. |
Автор: | P@ve1 [ 03 июн 2011, 14:50 ] |
Заголовок сообщения: | Re: Cisco ASA и NLB |
Я пытался смотреть через ASDM real time log viewer, c просмотром до debug уровня. Фильтруя при этом по адресу кластера - ничего интересного не нашел. А пытаться изучить весь debug поток работаеющего в продакшене файервола - это помоему не реально. |
Автор: | P@ve1 [ 08 июн 2011, 10:34 ] |
Заголовок сообщения: | Re: Cisco ASA и NLB |
Проблема успешно решена, и заключалась в следующем: Между ASA и кластером было 2-х уровневое L2 дерево коммутаторов: 4500 - блейд коммутаторы 3020. Проблема закелючалась в том, что на коммутаторах 3020 я сделал статические мак записи только на портах, в которые включены серверы - ноды кластера. А на аплинках этих же коммутаторов мак-записи не прописал. В результате трафик из внешнего мира до кластера доходил, и обратно тоже. А вот трафик адресованный адресу кластера исходящий от одной из нод - не доходил до других нод. Как выяснилось - именно посредством данного механизма ноды общаются между собой. Как только сделал соответсвующие статические записи - все сразу заработало. Никаках статических ARP записей на ASA для NLB не требуется - она появляется динамически. Требуется только в случае коммутатора/маршрутизатора. Тему можно закрывать. Надеюсь тема будет полезна - т.к. инфы в интернете по сабжу очень мало) |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |