…Tach Allerseits,
bei meiner ISA-Implemantation in Oberhausen “spuckte” uns ein Router ein wenig in die Suppe. Das Netz meines Kunden war bis heute durch einen Router mit integriertem IP-Paketfilter vom Internet getrennt. Dies wurde von uns durch eine Back-to-Back-Lösung mit einem ISA2006SE-Server ergänzt. Ich traf heute morgen die Hardware in bestem Zustand an, OS inkl. aktuellem Patchlevel zu allen Schandtaten bereit. Flux das LAN-Kabel des Routers gezogen und mit der externen Seite des ISAs verbunden (erst direkt aufgepatcht, später testweise mit zwischengeschaltetem Switch). Die Back-to-Back-Lösung sollte somit auch eine physikalische Trennung erfahren, folgende Topologie wurde von uns angestrebt:
Internet – Router (mit 2 ISP-Anbindungen) – ISA – Intranet
An den Router des ISPs sind zwei externe ADSL-Modems der Telekom angeschlossen. Als wir das LAN-Kabel des Routers zogen und neu patchten, stellte sich folgender (für mich zumindest) äußerst merkwürdiger Effekt ein: die Modems verloren die Synchronisation mit der Gegenüberstelle. Flux das LAN-Kabel auf den Core-Switch des Kunden zurückgepatcht – beide Modems syncen einwanfrei. Dieses Verhalten ist reproduzierbar. Es wurde kein Crossover-Kabel zwischen Router und ISA verwendet. Ein eigenständiger Switch zwischen Router und ISA schaffte keine Abhilfe. Ich hätte in dem Fall gedacht, das die Modems “aus Sicht” des Routers extern sind und nichts mit der internen Verkabelung zu tun haben. Aber sobald ich den Router vom Core-Switch runternehme ist Ende im Gelände angesagt, der Sync mit der DSL-Gegenstelle geht ins Nirvana (jau, wir haben wirklich lange gewartet).
Als Notlösung (uns wäre die physikalische Trennung lieber gewesen) haben wir folgendes gemacht: Der Router bleibt mit seiner LAN-Seite auf den Core-Switch gepatcht, der ISA mit seiner externen NIC ebenfalls. Die verwendeten IPs der internen NIC des Routers, sowie der externen NIC des ISAs sind aus einem komplett anderen IP-Segment. Wo wir schon keine physikalische Trennung hinbekommen können, haben wir sie wenigstens “virtuell” vollzogen.
Verrückte Geschichte das. Falls hierzu jemand ein paar Infos hat, bin für jede “Erleuchtung” dankbar (hentrup@aixperts.de).
Karsten Hentrup aka Jens Mander…
|<-|