DMZ 机器上的辅助 IP 不起作用

tag-icon tag-icon networking virtualization cisco-asa ip-address
DMZ 机器上的辅助 IP 不起作用

我正在将一些虚拟机从 bladecenter 中的 DMZ 移到我的新 cisco UCS。我们正在使用 Hyper-V,并在旧 bladecenter 上运行 Server 2012,在新 UCS 上运行 Server 2012r2。

我们有一个 Cisco ASA 5515 防火墙,ASA 版本 9.1(4),它是我们的 LAN 和 DMZ 流量的网关。

在旧的 bladecenter 中,我们在 DMZ 中有一个虚拟机,配置了一个网络接口。在这个网络接口上,它有一个主 IP,比如说 172.10.1.10,还配置了一些附加 IP,172.10.1.11、172.10.1.12。

所有这些都正常工作,并且路由正常,没有问题。

我们将一台机器从 bladecenter 迁移到了 UCS,但现在 DMZ 上的辅助 IP 出现了问题。

因此,UCS 中的这台机器存在于 DMZ 中,有一个配置了主 IP(比如说 172.10.1.15)的网络接口,以及辅助 IP 172.10.1.16、172.10.1.17。

我可以从网络上的任何地方 ping 通主 IP (.15)。但是,除了 UCS 环境中的其他计算机外,我无法从任何地方 ping(或以任何方式连接)辅助 IP(.16、.17)。

重要提示:我的 LAN 上的 UCS 环境中有一个虚拟机。它有主 IP 和辅助 IP,它们都运行良好。例如,它的主 IP 是 192.168.1.20,辅助 IP 是 192.168.1.21 和 192.168.1.22。我可以从任何地方访问 .21 和 .22。

问题似乎仅出在 UCS 环境中的 DMZ 辅助 IP 上。

我不认为这是 Windows/HyperV 的问题。

未对 ASA 进行任何配置更改。

UCS 供应商确信这不是 UCS 的问题。

有人见过这样的事吗?任何建议都值得赞赏!

编辑:添加了 asa 版本

编辑:如果我从工作站 tracert 到主 IP,我会得到 1 跳,没有问题。如果我 tracert 到辅助 IP,路由失败,我只得到星星。

tracert 172.10.1.15
Tracing route to test.domain.com [172.10.1.15] over a maximum of 30 hops:
1  2 ms   1 ms   <1 ms  test.domain.com [172.10.1.15]
Trace complete.

tracert 172.10.1.16
Tracing route to test.domain.com [172.10.1.16] over a maximum of 30 hops:
1  *  *  *  Request timed out.
2  *  *  *  Request timed out.
3  *  *  *  Request timed out.
4  *  *  *  Request timed out.
5  *  *  *  Request timed out.
6  *  *  *  Request timed out.
7  *  *  *  Request timed out.
8  *  *  *  Request timed out.
9  *  *  *  Request timed out.

编辑:我可以通过 SSH 进入我的 ASA,如果我 ping bladecenter 中的 DMZ 机器,主 IP 和辅助 IP 都可以正常响应。如果我 ping UCS 中的 DMZ 机器,主 IP 可以响应,辅助 IP 则不会。

编辑:从 bladecenter 中的 DMZ 机器,我无法 ping 到 UCS 环境中系统上的主或辅助 DMZ IP;但是,我可以在主 IP 和辅助 IP 上从 UCS 中的 DMZ 机器 ping 到 bladecenter 中的 DMZ 机器。

编辑:如果我从 bladecenter 中的系统到 UCS 中的系统进行 tracert,我会得到以下信息:

Tracing route to test.domain.com [172.10.1.15]
over a maximum of 30 hops:

  1  Server1 [172.10.1.10]  reports: Destination host unreachable.

Trace complete.

DoubleEdit:对于 joeqwerty 关于 ARP 的问题,我确实在 ASA 中看到了至少一组主 IP 和辅助 IP 的 arp 条目。 看起来,如果我交换服务器 NIC 上的主 IP 地址和辅助 IP 地址,它会在防火墙中构建 ARP,然后它似乎就可以工作了! 但是 ASA 难道不应该对这些辅助 IP 执行 ARP 吗?

答案1

感谢 joeqwerty 帮助我指明正确的方向。

问题有两个方面,ASA 无法正确动态创建 ARP 条目。我们解决了这个问题,但后来发现 VLAN 也存在问题。

相关内容