8
Windows NLB - Firewall Regeln
Hallo zusammen,
wir haben in unserem Netzwerk 3 VLANs (23, 28, 29)
Wir haben nun 2 Server im 23 VLAN (xx.xx.xxx.11 + 12). Diese sind unsere beiden Service Server. Nun wollen wir bei diesen Servern einen NLB (Load Balancing) einrichten. Das heißt ja das wir 1 Cluster IP benötigen (xx.xx.xx.10 z.B.) die die Netzwerkauslastung auf beide Server verteilt.
1. Wenn wir von extern auf diese Cluster IP zugreifen wollen um das NLB nutzen zu können müssen wir ja eine NAT Adresse festlegen die wir unserem DNS geben können. So müssten wir also für die Cluster IP eine zusätzliche NAT Adresse eintragen oder?
2. Die Firewall Regeln welche nun für die Server IPs xx.xx.xx.11 + 12 freigegeben sind und ansprechen, sprechen ja in Zukunft direkt die Cluster IP an.
Also wie die Server aus dem 28 und 29 Netz zu den im 23 Netz kommunizieren dürfen und anders rum.
Wir müssten also in dem Zuge bei der Einrichtung die Firewall Regeln für 23 auf die Cluster IP erweitern, wenn ich das richtig sehe oder?
Für mich eben zum Verständnis:
Angesprochen wird die Cluster IP, diese leitet direkt zu 11+12 weiter. Ist die Cluster IP aber nicht in den Firewall Regeln definiert wird es bereits geblockt oder?
Beispiel:
xx.xx.28.1 -> über Port 443 auf -> xx.xx.23.11 -> Permit -> Zugriff gestattet
nach NLB Installation:
xx.xx.28.1 -> über Port 443 auf -> xx.xx.23.10 (Cluster IP) -> Deny -> Zugriff verweigert
Obwohl er danach eigentlich gleich die xx.xx.23.11 anspricht.
Lg
David
wir haben in unserem Netzwerk 3 VLANs (23, 28, 29)
Wir haben nun 2 Server im 23 VLAN (xx.xx.xxx.11 + 12). Diese sind unsere beiden Service Server. Nun wollen wir bei diesen Servern einen NLB (Load Balancing) einrichten. Das heißt ja das wir 1 Cluster IP benötigen (xx.xx.xx.10 z.B.) die die Netzwerkauslastung auf beide Server verteilt.
1. Wenn wir von extern auf diese Cluster IP zugreifen wollen um das NLB nutzen zu können müssen wir ja eine NAT Adresse festlegen die wir unserem DNS geben können. So müssten wir also für die Cluster IP eine zusätzliche NAT Adresse eintragen oder?
2. Die Firewall Regeln welche nun für die Server IPs xx.xx.xx.11 + 12 freigegeben sind und ansprechen, sprechen ja in Zukunft direkt die Cluster IP an.
Also wie die Server aus dem 28 und 29 Netz zu den im 23 Netz kommunizieren dürfen und anders rum.
Wir müssten also in dem Zuge bei der Einrichtung die Firewall Regeln für 23 auf die Cluster IP erweitern, wenn ich das richtig sehe oder?
Für mich eben zum Verständnis:
Angesprochen wird die Cluster IP, diese leitet direkt zu 11+12 weiter. Ist die Cluster IP aber nicht in den Firewall Regeln definiert wird es bereits geblockt oder?
Beispiel:
xx.xx.28.1 -> über Port 443 auf -> xx.xx.23.11 -> Permit -> Zugriff gestattet
nach NLB Installation:
xx.xx.28.1 -> über Port 443 auf -> xx.xx.23.10 (Cluster IP) -> Deny -> Zugriff verweigert
Obwohl er danach eigentlich gleich die xx.xx.23.11 anspricht.
Lg
David
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 320241
Url: https://administrator.de/contentid/320241
Printed on: April 27, 2024 at 00:04 o'clock
8 Comments
Latest comment
Du musst gewaltig aufpassen in welchen Modus du das NLB betreibst ! Diese Information hast du so oder so unterschlagen hier und wäre für eine zielgerichtete Antwort aber essentiall wichtig.
Es hat erhebliche Auswirkungen auf die LAN Switchkonfig ob du im Unicast Mode oder im Multicast Mode arbeitest.
Der Unicast Mode erzwingt statische Mac Einträge und bei Layer 3 zusätzlich noch statische ARP Einträge.
Es gibt nicht viele Switches die das supporten !
Der Multicast Mode macht nur Sinn wenn dein Switch IGMP Snooping supportet, andernfalls wird der gesamte Traffic geflutet auf alle Ports. MC ist einfacher zu handhaben kann aber durch das MC gefährlich für den Switch werden wenn du falsche HW hast.
Vorsicht und Augen auf also bei der Infrastruktur Konfig für NLB !
Alle Details mit dem genauen Protokollhandling in beiden Modi findest du hier beschrieben:
http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series ...
Das gilt analog natürlich auch für alle anderen Switchhersteller.
Das mehr als problematische Protokollhandling ist übrigens (zu Recht) ein Grund warum MS den Support für NLB in moderneren Win Server Versionen eingestellt hat !
Es hat erhebliche Auswirkungen auf die LAN Switchkonfig ob du im Unicast Mode oder im Multicast Mode arbeitest.
Der Unicast Mode erzwingt statische Mac Einträge und bei Layer 3 zusätzlich noch statische ARP Einträge.
Es gibt nicht viele Switches die das supporten !
Der Multicast Mode macht nur Sinn wenn dein Switch IGMP Snooping supportet, andernfalls wird der gesamte Traffic geflutet auf alle Ports. MC ist einfacher zu handhaben kann aber durch das MC gefährlich für den Switch werden wenn du falsche HW hast.
Vorsicht und Augen auf also bei der Infrastruktur Konfig für NLB !
Alle Details mit dem genauen Protokollhandling in beiden Modi findest du hier beschrieben:
http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series ...
Das gilt analog natürlich auch für alle anderen Switchhersteller.
Das mehr als problematische Protokollhandling ist übrigens (zu Recht) ein Grund warum MS den Support für NLB in moderneren Win Server Versionen eingestellt hat !
Ok alles klar, das wusste ich so nicht. Ich wollte den NLB auf Unicast Mode laufen lassen...
Da alles im Rechenzentrum unseres Dienstleisters steht weiß ich natürlich die Switch Konfiguration usw. nicht. Das muss ich dort erst in Erfahrung bringen. Die Netzwerkanfragen können wir soweit eingrenzen (Port etc.). Im Endeffekt wollen wir eben alle Anfragen die auf diese beiden Server eingehen auf beide aufteilen, also normalen Netzwerklastenausgleich.
Was könnt ihr denn für solch einen Anwendungsfall als NLB empfehlen?
Da alles im Rechenzentrum unseres Dienstleisters steht weiß ich natürlich die Switch Konfiguration usw. nicht. Das muss ich dort erst in Erfahrung bringen. Die Netzwerkanfragen können wir soweit eingrenzen (Port etc.). Im Endeffekt wollen wir eben alle Anfragen die auf diese beiden Server eingehen auf beide aufteilen, also normalen Netzwerklastenausgleich.
Was könnt ihr denn für solch einen Anwendungsfall als NLB empfehlen?
das wusste ich so nicht. Ich wollte den NLB auf Unicast Mode laufen lassen...
Sollte man aber damit das nachher nicht im Chaos endet !!Unicast bedingt dann aber managebare Switches die statische Mac Einträge supporten und ggf. statische ARP Einträge sollten deinen Switches auch Layer 3 (Routing) machen.
Da alles im Rechenzentrum unseres Dienstleisters steht weiß ich natürlich die Switch Konfiguration usw. nicht.
Ääähhh wie bitte ?? Du lässt einen Dienstleister deine Infrastruktur betreiben hast aber keinerlei Ahnung was der da macht und kennst nicht mal die Konfigs die er offenlegen müsste ?? Mindestens ja wohl das grobe Design.Dazu fällt einem jetzt erstmal nichts ein und muss man wohl auch nicht weiter kommentieren...
Hier kannst du jetzt mal live die Folgen sehen. Du änderst was der Dienstleister weiss das nicht und schon krachts.
Das muss ich dort erst in Erfahrung bringen.
Besser ist das !
Zitat von @eyetSolutions:
Ok alles klar, das wusste ich so nicht. Ich wollte den NLB auf Unicast Mode laufen lassen...
Da alles im Rechenzentrum unseres Dienstleisters steht weiß ich natürlich die Switch Konfiguration usw. nicht. Das muss ich dort erst in Erfahrung bringen. Die Netzwerkanfragen können wir soweit eingrenzen (Port etc.). Im Endeffekt wollen wir eben alle Anfragen die auf diese beiden Server eingehen auf beide aufteilen, also normalen Netzwerklastenausgleich.
Was könnt ihr denn für solch einen Anwendungsfall als NLB empfehlen?
als erstes würde ich mit dem Dienstleister reden- und dann gemeinsam einen lösungsweg suchen.Ok alles klar, das wusste ich so nicht. Ich wollte den NLB auf Unicast Mode laufen lassen...
Da alles im Rechenzentrum unseres Dienstleisters steht weiß ich natürlich die Switch Konfiguration usw. nicht. Das muss ich dort erst in Erfahrung bringen. Die Netzwerkanfragen können wir soweit eingrenzen (Port etc.). Im Endeffekt wollen wir eben alle Anfragen die auf diese beiden Server eingehen auf beide aufteilen, also normalen Netzwerklastenausgleich.
Was könnt ihr denn für solch einen Anwendungsfall als NLB empfehlen?
als Dienstleister freust du dich immer, wenn dein Kunde einen alleingang versucht- das System Down geht, und du eine Saftige extra Rechnung für die Systemwiederherstellung schreiben darfst..
Frank
Ich habe ja bisher weder das eingestellt, noch etwas umgestellt. Wir reden hier lediglich von Planung, weshalb ich ja genau diesen Thread erstellt hab.
Das dies alles mit dem Dienstleister abgesprochen werden muss und sollte ist mir durchaus bewusst und ist auch bereits parallel passiert.
Nichts desto trotz stehen eigentlich immer noch meine beiden Fragen aus:
Danke
Das dies alles mit dem Dienstleister abgesprochen werden muss und sollte ist mir durchaus bewusst und ist auch bereits parallel passiert.
Nichts desto trotz stehen eigentlich immer noch meine beiden Fragen aus:
- Was könnt ihr denn für solch einen Anwendungsfall als NLB empfehlen?
- Angesprochen wird die Cluster IP, diese leitet direkt zu 11+12 weiter. Ist die Cluster IP aber nicht in den Firewall Regeln definiert wird es bereits geblockt oder?
Danke
Moin,
Die Liste kann fortgeführt werden. Was sind deine Anforderungen an das System?
Gruß,
Dani
Was könnt ihr denn für solch einen Anwendungsfall als NLB empfehlen?
alles andere nur nicht Microsoft NLB.Wir haben nun 2 Server im 23 VLAN (xx.xx.xxx.11 + 12). Diese sind unsere beiden Service Server
Geht es darum HTTP/HTTPs anfragen zuverteilen oder kann das alles sein?- Barracuda
- Kemp
- F5
- Citrix
- Zen (Community Edition)
Die Liste kann fortgeführt werden. Was sind deine Anforderungen an das System?
Gruß,
Dani
Geht es darum HTTP/HTTPs anfragen zuverteilen oder kann das alles sein?
Die Liste kann fortgeführt werden. Was sind deine Anforderungen an das System?
- Barracuda
- Kemp
- F5
- Citrix
- Zen (Community Edition)
Die Liste kann fortgeführt werden. Was sind deine Anforderungen an das System?
Ja es geht vorrangig um https Anforderungen. Auf diesem Server laufen verschiedene Webservices im IIS. Die Anfragen zu diesen Webservices von intern und extern würden wir gerne auf 2 Server aufteilen. Auf diesen beiden sollen quasi die gleich Webservices laufen.
Dann einen simplen Load Balancer entweder als Blech oder virtuell.