Есть ли ошибки в маршрутизации?

Question

[Иван]

Добрый день.
Компания арендует несколько dedicated серверов в ЦОД провайдера, Доступ осуществляется через один из портов оптического терминала. Все настройки vlan сделаны провайдером, для нас всё выглядит как будто все серверы подключены к одному коммутатору.
Используется сеть 192.168.1.0/24
Возникла необходимость ввести новую сеть 10.1.1.0/24, для чего на шлюзах были прописаны маршруты, суть на картинке.
Кто есть кто:
ClearOS1 -- виртуалка на первом Hyper-V
ClearOS2, 10.1.1.2, 192.168.1.4, 192.168.1.5 -- виртуалки на втором Hyper-V
192.168.1.2, 192.168.1.3, 10.1.1.3 -- физические сервера
SW1 -- физический коммутатор
SW2 -- виртуальный коммутатор Hyper-V
Проблема:
В данный момент сеть работает нестабильно, 10.1.1.2 или 10.1.1.3 иногда перестают быть доступны. Лечится только перезагрузкой второго Hyper-V. Не могу понять, проблема в изначально неправильной коммутации, или с оборудованием.
Вопрос:
Сеть изначально скоммутирована с ошибкой? Как должно быть по уму?

Comments

[Виктор Бельский]

Alias адреса на маршрутизаторах какие? Что указано шлюзом по умолчанию на серверах (в цод и у вас),нет ли статических маршрутов и натируются ли пакеты при передачи из одной сети в другую?

[Иван]

Виктор Бельский, Alias адресов нет, статические маршруты только те, что на картинке, пакеты не натируются.
Шлюз для 192 сети 192.168.1.1 (и в ЦОД и на площадке)
Шлюз для 10 сети 10.1.1.1

[Иван]

Если мысль разделить сети следующим образом : Сеть 192.168.1.0 в ЦОД сделать приватной (создать отдельный виртуальный коммутатор, подключить к ClearOS2 и всем нужным виртуалками), добавить к ClearOS2 eth2 с адресом 192.168.1.250, а eltex подключить напрямую к ClearOS1, для чего дать ей новый eth2 10.1.1.250.
Это будет более правильно? Какие маршруты тогда нужно прописать?

Answer 1

[Алексей]

Вы смешиваете физическую и логическую схему в одну. На данный момент мне не до конца понятна логическая схема, для неё важны vlan, маршруты, IP-адреса, интерфейсы.
Над маршрутизаторами ClearOS какие-то странные маршруты указаны, они были самостоятельно добавлены? Например, ClearOS1 должен считать, что у него за интерфейсом eth1 с адресом 192.168.1.1 находится сеть 10.1.1.0/24, правильно я понял?

Пока похоже, что у вас две сети просто перемешаны между собой и не разделены на разные vlan. Ну или хотя бы не настроены secondary-IP, что, по-моему, не очень хорошо делать в этом случае.

Comments

[Иван]

Вы всё правильно поняли. Две сети перемешаны между собой без vlan. Странные маршруты добавлены вручную, чтобы участники обоих сетей видели друг друга.
Это создаёт петлю?
Возникла проблема с работой vlan через eltex провайдера, поэтому решили обойтись маршрутами.
Если добавить на ClearOS1 eth2 c адресом 10.1.1.254, а на ClearOS2 eth2 с адресом 192.168.1.254, будет более правильно? Или всё равно будет петля из-за того что обе сети подключены к одному коммутатору?

[Алексей]

Иван, если не предполагается использование сети 10.1.1.0/24 на площадке организации, и если нельзя нормально vlan пробросить...

Самый простой и нормальный вариант, по-моему:
1) Cоздать SW3
2) Подключить к нему все хосты из 10.1.1.0/24 и один новый интерфейс (eth2) от ClearOS2
3) На eth2 задать адрес 10.1.1.1, на eth1 - 192.168.1.254
4) На ClearOS1 добавить маршрут 10.1.1.0/24 nexthop 192.168.1.254
5) Удалить старые маршруты через интерфейсы

Если хочется чего-то повеселее, то есть такой костыльный вариант (немного получше следующего):
1) На SW2 создаёте новый vlan, допустим, номер 219.
2) Порты с хостами из сети 10.1.1.0/24 добавляете в 219 влан.
3) Создаёте на ClearOS2 влан интерфейс eth2.219
4) На интерфейсе eth2.219 указываете адрес 10.1.1.1
5) На интерфейсе eth1 указываете адрес 192.168.1.254
6) Для всех хостов из сети 10.1.1.0/24 маршрут по умолчанию указываете на 10.1.1.1
7) Добавляете на ClearOS1 маршрут вида
10.1.1.0/24 nexthop 192.168.1.254
8) Удаляете старые маршруты через интерфейсы

Или другой костыльный вариант (если есть техническая возможность):
1) Добавляете на ClearOS2 secondary IP на интерфейс eth1
2) На этот интерфейс eth1:2 указываете адрес 192.168.1.254
3) Добавляете на ClearOS1 маршрут вида
10.1.1.0/24 nexthop 192.168.1.254
4) Удаляете старые маршруты через интерфейсы

В любом из этих костыльных случаев предвижу ругань нового админа. От первого варианта проще перейти к правильному в дальнейшем. Но вообще лучше делать хороший вариант сразу, чтобы потом не исправлять исторически сложившееся легаси долго и мучительно.

[Иван]

Алексей, спасибо за содержательный ответ.
Сам думал в сторону первого варианта, но мешает то, что сервер 10.1.1.3 физический, и поэтому его нельзя вынести в отдельную приватную сеть вместе 10.1.1.1. и 10.1.1.2, изолировав таким образом. Если SW2 и SW3 будут объединены, будет петля?

А если поступить наоборот и выделить в частную сеть 192.168.1.0 в ЦОД?
Суть на картинке

HV -- гипервизоры
Eth в квадратике -- сетевые карты гипервизоров
VM -- виртуалки
vSW -- виртуальные коммутаторы Hyper-V
SW -- физический коммутатор
SRV, PC -- физические компьютеры

Такая коммутация правильная?
Можно ли разрулить траффик маршрутами, при условии, что в сети 192.168.100.0 в ЦОД находится ограниченный список адресов, и для каждого можно прописать отдельный маршрут на обоих шлюзах?
Или всё же можно объединить vSW21 и vSW22?

Answer 2

[Сергей Бирюков]

1 вопрос - у вас в картинке где ЦОД есть адреса 10.1.1.x и 192.168.1.x (а именно .4 и .5). Это правда или Вы ошиблись?

2 вопрос - Коробочка ONT ELTEX настроена в режиме моста (BRIDGE)?
По уму она должна быть настроена в режиме роутера с 2 интерфейсами (например 10.1.1.254 и 192.168.1.254).
Тогда на СlearOS Вы должны прописывать GW не на порт (dev eth1), а на IP адрес шлюза, который принадлежит подсети, в которой данный ClearOS находится:
- для ClearOS1: route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.1.1.254 metric 1 eth1
- для ClearOS2: route add -net 10.1.1.0 netmask 255.255.255.0 gw 192.168.1.254 metric 1 eth1

Если вы делите 2 сети, то, на границе сетей, должен быть маршрутизатор с 2 интерфейсами принадлежащим этим сетям.

Comments

[Иван]

1) Да, всё верно. В ЦОД есть участники обоих сетей, и они все подключены в один (виртуальный) коммутатор.

2) да, коробка настроена мостом, её можно просто игнорировать на схеме.
В текущем режиме есть петля? Если настроить коробку роутером, её не будет?

[Сергей Бирюков]

Иван, не петля, а невозможность добраться до сервера, т.к. роутер ClearOS1 не принадлежит к искомой сети 10.1.1.х.
Да нужно делить сети по адресам и настраивать роутер, чтобы в ЦОД были только 10.1.1.х, а в офисе организации только 192.168.1.х
Тогда проблема решится