Сообщения без ответов | Активные темы Текущее время: 11 дек 2019, 07:10



Ответить на тему  [ Сообщений: 8 ] 
Cisco ASA и NLB 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Добрый день.

Коллеги по серверной части внедряют NLB кластер в "multicast" режиме.
Из всех материалов про NLB - самое внятное нашел:
http://www.cisco.com/en/US/products/hw/ ... 7203.shtml

С точки зрения сетки:
Кластер строится из виртуальных машин на ESX, которые развернуты на блейдовых серверах.
Сервера всключены в блейдовые коммутаторы Cisco CBS 3020.
Последние включены в Catalyst 4500, а к нему подключена ASA 5520.

Все это располагается в DMZ VLAN-е. ASA для этой подсети является дефолтным шлюзом.
Я в соответсвиии с мануалом на всех транзитных коммутаторах сделал статические mac записи с соответствующим мультикастным мак-адресом до всех серверов. А на аса сделал специальную ARP запись.

НО кластер снаружи не доступен.
при этом packet-tracer говорит, что пакет к кластеру пропускает))

Никаких материалов про взаимодействие ASA и NLB - не нагуглил.

В качестве бэкап варианта - создание между кластером и ASA дополнительного хопа на базе Cat4500 в отдельном vrf (тогда будет в точности соответсвовать схеме из мануала) - но как то не хочется настолько усложнять систему.

Может кто подскажет по NLB?

PS
Уродская технология


02 июн 2011, 17:10
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Уберите статический ARP на асе, у меня в такой же конфигурации она нашла NLB кластер сама.

ЗЫ
очень уродливо :)


02 июн 2011, 19:48
Профиль ICQ

Зарегистрирован: 04 июн 2009, 23:52
Сообщения: 274
тройной уровень резервирования :D
на уровне железа
на уровне esx
и сверху кластер еще
круто, чО


03 июн 2011, 09:11
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Lomax писал(а):
Уберите статический ARP на асе, у меня в такой же конфигурации она нашла NLB кластер сама.


Так вот, пока я на коммутаторах не настроил статические мультикастные мак записи, указывающие на все гипервизоры - оно работало) Но трафик доходил только до 1 гипервизора - видимо того, кто первый на arp отвечал) А после добавления статических mac-записей - перестало работать снаружи. При этом из самой подсети запросы действительно идут на все члены кластера)

А по поводу тройного резервирования - я так понимаю там, не столько резервирование, сколько балансировка нагрузки.


03 июн 2011, 09:38
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Как только NLB кластер уменьшается до 1 ноды - все начинает работать))
Как только колльчество нод становится больше - облом.
В логах асы ничего инетересного не нашел(


03 июн 2011, 13:53
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4526
А ты уровня debug посмотри логи =)) куда нить на Syslog server направь их и проанализируй.


03 июн 2011, 14:21
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Я пытался смотреть через ASDM real time log viewer, c просмотром до debug уровня. Фильтруя при этом по адресу кластера - ничего интересного не нашел. А пытаться изучить весь debug поток работаеющего в продакшене файервола - это помоему не реально.


03 июн 2011, 14:50
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Проблема успешно решена, и заключалась в следующем:

Между ASA и кластером было 2-х уровневое L2 дерево коммутаторов: 4500 - блейд коммутаторы 3020.
Проблема закелючалась в том, что на коммутаторах 3020 я сделал статические мак записи только на портах, в которые включены серверы - ноды кластера. А на аплинках этих же коммутаторов мак-записи не прописал. В результате трафик из внешнего мира до кластера доходил, и обратно тоже. А вот трафик адресованный адресу кластера исходящий от одной из нод - не доходил до других нод. Как выяснилось - именно посредством данного механизма ноды общаются между собой.
Как только сделал соответсвующие статические записи - все сразу заработало.
Никаках статических ARP записей на ASA для NLB не требуется - она появляется динамически.
Требуется только в случае коммутатора/маршрутизатора.

Тему можно закрывать.
Надеюсь тема будет полезна - т.к. инфы в интернете по сабжу очень мало)


08 июн 2011, 10:34
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB