当我们从静态路由的专用非 BGP 电路切换到连接两个办公室的 BGP 专用电路时,跨办公室的内部计算机的 Windows 共享和 HTTP 浏览会因超时而失败。这两个电路都不会跨越公共互联网。
我们有一个横跨两个办公室的 Windows Active Directory 域,每个办公室都有一个单独的私有子网(纽约子网为 10.71/16,新泽西子网为 10.72/16)。每个站点的 Internet 网关路由器(即站点中所有设备的默认网关)在纽约为 10.71.0.1,在新泽西为 10.72.0.1。
我们一直在 LAN 上的两个额外路由器(纽约的 10.71.0.2 和新泽西州的 10.72.0.2)之间使用私有(非 BGP)电路。为了使两个子网作为一个 Windows AD 域一起工作,我们在网关路由器上设置了静态路由(在 10.71.0.1 上,到 10.72 的网关路由通过 10.71.0.2;在 10.72.0.1 上,到 10.71 的网关路由通过 10.72.0.2)。这意味着从纽约服务器到新泽西州服务器的路径将是:10.71.1.15、10.71.0.1、10.71.0.2、10.72.0.2、10.72.0.1、10.72.1.201。
现在我们禁用这些静态路由,并直接在我们的纽约和新泽西网关路由器之间添加一条新的 MPLS/BGP 专用(即无法通过 BGP 访问互联网)电路(即纽约网关路由器端口 eth5 具有 Verizon MPLS 公共 IP 地址和 ASN 65001 到 Verizon AS65000,后者路由到我们的新泽西网关路由器端口 eth5,后者也分配了 Verizon 公共 IP 地址和 ASN65002)。现在 BGP 电路已启动并顺利交换消息。TRACERT 显示正确路径。纽约的任何机器都可以 ping 新泽西的任何机器,反之亦然。
问题是,现在通过 BGP 的 Windows 共享因超时而失败,HTTP 浏览也是如此。这都是我们私人办公室网络内部的,无法访问互联网。DNS 似乎没问题。它可以正确地将名称解析为 IP 以进行 ping。尝试浏览 \server-name 或 \10.71.1.15 均失败(通过 BGP - 在本地子网上工作正常)。
看起来 BGP 配置正确,但我忽略了 Windows 的一些信息。在两台 Windows Server(一台在纽约,一台在新泽西)上关闭 Windows 防火墙进行 Windows Share 测试没有任何效果——仍然失败。
笔记:路由器是一样的,只是一个新的 MPLS/BGP 电路。我认为提供商在 ACL 方面也犯了一个错误,但看起来我必须证明这一点。