我有五台机器:10.0.0.5、10.0.0.6、10.0.0.7、10.0.0.8 和 192.168.0.4。
10.xxx(DMZ)机器都是在 2008R2 Hyper-V 下运行的虚拟机(带有 IIS)。192.168.0.4 是我的运行 Windows 7 Professional 的工作站。
从防火墙/路由的角度来看,DMZ 机器最终通过 LocalDirector 430 连接到 Cisco ASA(是的,这是一个古老而错误的设置。)192.168.0.4 机器通过内部网络的其余部分连接到 ASA。
从 10.0.0.5 到 10.0.0.7&8 的 ping 失败,反之亦然。从 10.0.0.6 到所有相关机器的 ping 成功,反之亦然。从 192.168.0.4(以及同一网络上的其他几台工作站)到上述所有其他机器的 ping 成功。
我已检查以下内容:
防火墙日志(没有显示任何表明任何阻止的条目,并且四台 DMZ 机器的 ACL 实际上是从一个组定义的。)
防火墙变化(过去 2 多天内没有变化,但这种情况就是从那时开始发生的。)
Windows 更新:最糟糕的是,它们通过补丁管理应用程序推送到机器上,但尚未应用。
MAC 地址冲突(我们遇到了 Hyper-V 服务器互相干扰彼此的动态 MAC 的问题。)
10.0.0.5 主机共享的虚拟机状态;没有问题,这意味着虚拟机中的网络控制器主持人很好。
重新启动 LocalDirector(旧的设备就像重新启动一样……只要它们能够重新启动。)
清除 ASA 上的 ARP 缓存后,我才意识到这显然是正确的,因为我能够从其他地方 ping 该机器。
VLAN 状态:一切正常 - 并且根据以往的经验,如果不是,10.0.0.5 将无法与 10.0.0.6 通信。
重新启动 10.0.0.5、7 和 8(两个同时发生故障?为什么不行!)
与端口 80 的各种来回连接(因为所有 DMZ 机器都运行 IIS;)这些连接反映了 ping 的成功/失败。
从另一台 DMZ 机器(Linux 机器)ping 10.0.0.5;这也失败了。说实话,现在我输入了它,我不确定这是否告诉了我什么新东西。
病毒扫描状态;这不应该导致此问题,但是此时我已经没有主意了。
我在这整个混乱中遗漏了什么?为什么其他随机 DMZ 机器无法访问 10.0.0.5?截至昨天晚上,这工作正常(日志证明)。感觉解决方案应该很简单,但我问过的每个人都被难住了。
答案1
所以,最后解决方案为此,请在 Hyper-V 管理器设置中删除 Hyper-V 网络适配器,重新添加它,并使用适当的 IP 地址重新配置它等。
我还是不知道为什么当简单的重启不起作用时,这种方法有效,但它打破了一些东西——突然间所有的机器都可以互相通信了。希望这个奇怪的问题(以及它的答案)能帮助别人。