大家好
先說說我的環境
A辨公室
小烏龜->防火牆(sonicwall tz500)->core switch(HP 5120A)->edge switch(netgear jcs524)->Server(lan3)
->NAS(lan3)
->Other(lan3)
->User(lan4)
->Wifi(lan4)
B辨公室
小烏龜->防火牆(sonicwall tz500)->core switch(HP 5120A)->edge switch(netgear jcs524)->Server(lan2)
->NAS(lan2)
->Other(lan2)
->User(lan1)
->Wifi(lan1)
兩地皆使用防火牆做DHCP主機(lan1及lan4),HP 5210切VLAN1、2及3、4並用實體CAT5e對接,設ROUTE並測通
兩地user DNS都是指到該地core switch並測通能連到另一地的設備
問題
1.A辨公室反應連不到B辨公室NAS(A辨公室網路能出外網,LAN3設備正常使用)當下PING不到B辨公室LAN1、2,但5分鐘後又通了
B辨公室也會有上述情形(反過來)
2.wifi連上線並有取得dchp派發資訊,但一直是無網路狀態(數分鐘後回復正常能上網及連內網設備)
檢查過switch設定A、B能互PING,對接實體線沒問題,route設定沒問題
2地防火牆也都沒有當機,dhcp正常派發
請問要往哪個方向去排除問題,以上問題皆是偶爾(一週2次時間不定)的頻率
補上網路拓樸
https://ithelp.ithome.com.tw/upload/images/20200828/20100493Cu6P5DN82h.jpg
已邀請的邦友 {{ invite_list.length }}/5
仔細分析了一下樓主的架構
以下是猜測的情況:
網路是這樣的,會通就會通,不會通就是設定錯誤,很簡單的
但樓主是時通時不通(表示設定錯的機會不大),這樣比較棘手
在下認為,雖然防火牆沒有當機
但是發生問題時,本地通訊都正常,但異地就有問題
以較可能出在Routing的部分
所以仔細檢查路由設定及封包負載的情況或許能查到根源
改善方法:
如果可能將兩台防火牆做成 HA (A-A模式)
然後防火牆對外做 SD-WAN (如果有此功能)
下面的路由交換一樣回到防火牆做(順便資安檢核)比較好
免得路由在內部網路一下A一下B,難免容易有困擾
M大,防火牆路由表是空的,CORE SW的路由表有設路由,所以ROUTING還是在防火牆上嗎?
網路不是很熟,我的認知就是你的這句『會通就是會通,不通就是查設定』
照樓主說的,路由應該在5120上
確實有些5120機種是有靜態路由的功能
但是是軟體路由還是硬體路由就不是很清楚了
一般這會跟路由效能有關(memory大小也有關)
軟體路由有可能會因為封包量大而掉封包
而且轉發無定向0.0.0.0路由時容易混亂
建議樓主可以升級coreswitch韌體
看看是否能夠改善
另外要請問Core互連用的是哪一段VLAN?
總之,網路架構越單純越好管
有太多出口很容易發生狀況
CORE互連是A指B interface, B指A interface,沒有特別的VLAN
CORE互連是A指B interface, B指A interface,沒有特別的VLAN
有interface就有VLAN
看interface的IP就知是哪一段
通常兩邊互聯的接口應該同一網段
同一段嗎? 我看到的是A指B(192.188.100.2),B指A(192.188.400.2)
這應該只是指去對方getway
猜想是前人設的,這份資料很難猜當初設計的想法
兩邊CORE都有相同的網段(是想做IRF嗎?看接線又不像)
網段用的又非標準class C (圖有錯,看半天才弄明白)
設定上既然會通應該沒錯,但流量兩邊跑來跑去
會有路由不正常的時候也是有可能
如果設計網路能做成兩邊網段不同,路由會容易釐清些
建議找當初或目前適合的SI去現場做技術服務
如果不想改架構,又沒預算換設備
上次說升級韌體可以試一試
謝謝M大的建議,先試著升級SW韌體看看有沒有改善。
其它就找SI來報價看公司反應
iThome鐵人賽
看影片追技術