eyetsolutions
Goto Top

Windows NLB - Firewall Regeln

Hallo zusammen,

wir haben in unserem Netzwerk 3 VLANs (23, 28, 29)

Wir haben nun 2 Server im 23 VLAN (xx.xx.xxx.11 + 12). Diese sind unsere beiden Service Server. Nun wollen wir bei diesen Servern einen NLB (Load Balancing) einrichten. Das heißt ja das wir 1 Cluster IP benötigen (xx.xx.xx.10 z.B.) die die Netzwerkauslastung auf beide Server verteilt.

1. Wenn wir von extern auf diese Cluster IP zugreifen wollen um das NLB nutzen zu können müssen wir ja eine NAT Adresse festlegen die wir unserem DNS geben können. So müssten wir also für die Cluster IP eine zusätzliche NAT Adresse eintragen oder?
2. Die Firewall Regeln welche nun für die Server IPs xx.xx.xx.11 + 12 freigegeben sind und ansprechen, sprechen ja in Zukunft direkt die Cluster IP an.
Also wie die Server aus dem 28 und 29 Netz zu den im 23 Netz kommunizieren dürfen und anders rum.

Wir müssten also in dem Zuge bei der Einrichtung die Firewall Regeln für 23 auf die Cluster IP erweitern, wenn ich das richtig sehe oder?

Für mich eben zum Verständnis:
Angesprochen wird die Cluster IP, diese leitet direkt zu 11+12 weiter. Ist die Cluster IP aber nicht in den Firewall Regeln definiert wird es bereits geblockt oder?

Beispiel:

xx.xx.28.1 -> über Port 443 auf -> xx.xx.23.11 -> Permit -> Zugriff gestattet

nach NLB Installation:

xx.xx.28.1 -> über Port 443 auf -> xx.xx.23.10 (Cluster IP) -> Deny -> Zugriff verweigert

Obwohl er danach eigentlich gleich die xx.xx.23.11 anspricht.

Lg
David

Content-Key: 320241

Url: https://administrator.de/contentid/320241

Printed on: March 1, 2024 at 19:03 o'clock

Member: aqui
aqui Nov 07, 2016 updated at 14:09:04 (UTC)
Goto Top
Du musst gewaltig aufpassen in welchen Modus du das NLB betreibst ! Diese Information hast du so oder so unterschlagen hier und wäre für eine zielgerichtete Antwort aber essentiall wichtig.
Es hat erhebliche Auswirkungen auf die LAN Switchkonfig ob du im Unicast Mode oder im Multicast Mode arbeitest.
Der Unicast Mode erzwingt statische Mac Einträge und bei Layer 3 zusätzlich noch statische ARP Einträge.
Es gibt nicht viele Switches die das supporten !
Der Multicast Mode macht nur Sinn wenn dein Switch IGMP Snooping supportet, andernfalls wird der gesamte Traffic geflutet auf alle Ports. MC ist einfacher zu handhaben kann aber durch das MC gefährlich für den Switch werden wenn du falsche HW hast.
Vorsicht und Augen auf also bei der Infrastruktur Konfig für NLB !
Alle Details mit dem genauen Protokollhandling in beiden Modi findest du hier beschrieben:
http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series ...
Das gilt analog natürlich auch für alle anderen Switchhersteller.

Das mehr als problematische Protokollhandling ist übrigens (zu Recht) ein Grund warum MS den Support für NLB in moderneren Win Server Versionen eingestellt hat !
Member: eyetSolutions
eyetSolutions Nov 07, 2016 at 14:22:48 (UTC)
Goto Top
Ok alles klar, das wusste ich so nicht. Ich wollte den NLB auf Unicast Mode laufen lassen...

Da alles im Rechenzentrum unseres Dienstleisters steht weiß ich natürlich die Switch Konfiguration usw. nicht. Das muss ich dort erst in Erfahrung bringen. Die Netzwerkanfragen können wir soweit eingrenzen (Port etc.). Im Endeffekt wollen wir eben alle Anfragen die auf diese beiden Server eingehen auf beide aufteilen, also normalen Netzwerklastenausgleich.

Was könnt ihr denn für solch einen Anwendungsfall als NLB empfehlen?
Member: aqui
aqui Nov 07, 2016 at 14:41:56 (UTC)
Goto Top
das wusste ich so nicht. Ich wollte den NLB auf Unicast Mode laufen lassen...
Sollte man aber damit das nachher nicht im Chaos endet !!
Unicast bedingt dann aber managebare Switches die statische Mac Einträge supporten und ggf. statische ARP Einträge sollten deinen Switches auch Layer 3 (Routing) machen.
Da alles im Rechenzentrum unseres Dienstleisters steht weiß ich natürlich die Switch Konfiguration usw. nicht.
Ääähhh wie bitte ?? Du lässt einen Dienstleister deine Infrastruktur betreiben hast aber keinerlei Ahnung was der da macht und kennst nicht mal die Konfigs die er offenlegen müsste ?? Mindestens ja wohl das grobe Design.
Dazu fällt einem jetzt erstmal nichts ein und muss man wohl auch nicht weiter kommentieren...
Hier kannst du jetzt mal live die Folgen sehen. Du änderst was der Dienstleister weiss das nicht und schon krachts.
Das muss ich dort erst in Erfahrung bringen.
Besser ist das !
Member: Vision2015
Vision2015 Nov 07, 2016 at 18:52:23 (UTC)
Goto Top
Zitat von @eyetSolutions:

Ok alles klar, das wusste ich so nicht. Ich wollte den NLB auf Unicast Mode laufen lassen...

Da alles im Rechenzentrum unseres Dienstleisters steht weiß ich natürlich die Switch Konfiguration usw. nicht. Das muss ich dort erst in Erfahrung bringen. Die Netzwerkanfragen können wir soweit eingrenzen (Port etc.). Im Endeffekt wollen wir eben alle Anfragen die auf diese beiden Server eingehen auf beide aufteilen, also normalen Netzwerklastenausgleich.

Was könnt ihr denn für solch einen Anwendungsfall als NLB empfehlen?
als erstes würde ich mit dem Dienstleister reden- und dann gemeinsam einen lösungsweg suchen.

als Dienstleister freust du dich immer, wenn dein Kunde einen alleingang versucht- das System Down geht, und du eine Saftige extra Rechnung für die Systemwiederherstellung schreiben darfst..
face-smile
Frank
Member: eyetSolutions
eyetSolutions Nov 08, 2016 at 09:22:09 (UTC)
Goto Top
Ich habe ja bisher weder das eingestellt, noch etwas umgestellt. Wir reden hier lediglich von Planung, weshalb ich ja genau diesen Thread erstellt hab.
Das dies alles mit dem Dienstleister abgesprochen werden muss und sollte ist mir durchaus bewusst und ist auch bereits parallel passiert.

Nichts desto trotz stehen eigentlich immer noch meine beiden Fragen aus:

  • Was könnt ihr denn für solch einen Anwendungsfall als NLB empfehlen?

  • Angesprochen wird die Cluster IP, diese leitet direkt zu 11+12 weiter. Ist die Cluster IP aber nicht in den Firewall Regeln definiert wird es bereits geblockt oder?

Danke
Member: Dani
Dani Nov 09, 2016 at 19:19:50 (UTC)
Goto Top
Moin,
Was könnt ihr denn für solch einen Anwendungsfall als NLB empfehlen?
alles andere nur nicht Microsoft NLB.

Wir haben nun 2 Server im 23 VLAN (xx.xx.xxx.11 + 12). Diese sind unsere beiden Service Server
Geht es darum HTTP/HTTPs anfragen zuverteilen oder kann das alles sein?

  • Barracuda
  • Kemp
  • F5
  • Citrix
  • Zen (Community Edition)
...
Die Liste kann fortgeführt werden. Was sind deine Anforderungen an das System?


Gruß,
Dani
Member: eyetSolutions
eyetSolutions Nov 10, 2016 at 09:29:00 (UTC)
Goto Top
Geht es darum HTTP/HTTPs anfragen zuverteilen oder kann das alles sein?

  • Barracuda
  • Kemp
  • F5
  • Citrix
  • Zen (Community Edition)
...
Die Liste kann fortgeführt werden. Was sind deine Anforderungen an das System?

Ja es geht vorrangig um https Anforderungen. Auf diesem Server laufen verschiedene Webservices im IIS. Die Anfragen zu diesen Webservices von intern und extern würden wir gerne auf 2 Server aufteilen. Auf diesen beiden sollen quasi die gleich Webservices laufen.
Member: aqui
aqui Nov 10, 2016 at 10:34:50 (UTC)
Goto Top
Dann einen simplen Load Balancer entweder als Blech oder virtuell.