Verständnisfrage: ARP und IP

[axxis]

Morgen liebe Leute,

hier mal eine Verständnisfrage:

Ich habe ein Netz 10.1.0.0/16 und ein Netz 10.2.0.0/16.

Beide sind an einem Gateway (Firewall) angeschlossen. Rechner aus 10.2.0.0 haben keine direkte Route zu 10.1.0.0 sondern schicken Traffic erstmal zum Gateway.

Im 10.1.0.0er Netz habe ich zwei Webserver - 10.1.0.11 und 10.1.0.12- sowie eine virtuelle IP 10.1.0.10, die auf den aktiven Webserver zeigt.

Bsp: 10.1.0.10 zeigt auf 10.1.0.11 und ich lasse die .10 auf die .12 zeigen, dann kann ich aus dem 10.2.0.0er Netz nicht mehr auf die 10.1.0.10 zugreifen, weder http noch ping. Problem habe ich behoben, als ich den ARP-Cache der Firewall (also dem Gateway) geleert hatte.

Nun meine Frage:

Wenn im ARP-Cache der Firewall die 10.1.0.10 noch auf die MAC von 10.1.0.11 zeigt, obwohl die .10 schon auf die 10.1.0.12 zeigt, müsste es doch eigentlich trotzdem funktionieren oder?

Auf beiden System ist ja der gleiche Inhalt.

Oder werden die Pakete auf Grund der MAC Adresse zwar an die 10.1.0.11 geleitet und diese sagt dann "Destination IP ist die .12, bin ich nicht, droppe ich"?

Gruß

axxis

[Crash2001]

Evtl kannst du einstellen, wie lange es dauert, bis der ARP-Cache refresht wird. Der Wert sollte nicht zu hoch eingestellt werden, damit Änderungen im Netz auch erkannt werden.

Ich habe jetzt nicht so ganz verstanden, was du mit dieser virtuellen IP meinst. Soll das HSRP oder so was in der Art sein, oder vergibst du manuell eine zusätzliche IP mal auf dem einen und mal auf dem anderen Server, oder ist das irgendwo eine Art Weiterleitung dann auf die 10.1.0.11 / .12? Und falls ja, von wo? :confused:

Davon hängt es nämlich ab, was da gemacht wird.

[RipperFox]

Ich kenn deine Failover/Clusterlösung nicht, aber:

Wenn der Rechner ausfällt, der die virtuelle IP zur Zeit veröffentlichte,

sollte der verbleibende das am fehlenden Heartbeat merken und schön vorsorglich ARP-Replys für die virtuelle IP ins Netz blasen.

Damit werden die ARP-Caches der anderen Rechner automatisch aktualisiert und Du hast das Problem nicht.

Grüße

Ripper

[axxis]

Moin,

es verhält sich so, wie Crash vermutete. Ich vergebe per Hand die IP, entweder auf dem einen Knoten oder auf dem anderen. Eigentlich sollte das Ganze per hearbeat, pacemaker, openAIS passieren, da wir die Kiste leider von Externen betreuen lassen, klappt das nicht.

Der ARP-Cache auf dem Gateway wird aller 10min geflushed.

Meine Frage ist eigentlich nur, ob z.B. die .11 ein Paket annimmt und auch drauf antwortet, welches zwar in Schicht 2 ihre MAC enthält, in Schicht 3 aber die .10, die zu dem Zeitpunkt nicht mehr auf der .11 sondern woanders (.12) sitzt.

Gruß

axxis

[Crash2001]

Ich meine, dass das Paket gedroppt wird, da es nicht an den Host addressiert ist, bzw er die entsprechende IP-Adresse zu dem Zeitpunkt dann ja gar nicht mehr hat.

Das ganze würde sich wohl umgehen lassen, wenn du von der Maschine die die IP bekommen hat einfach kurz einen Ping wohin schickst, so dass das Gateway dies mitbekommt.

Alternativ halt die Flush-Zeit runtersetzen auf dem Gateway.

[axxis]

Nachdem ich manuell den ARP Cache geflushed habe, ging es auch.

Dann muss es wohl so sein, MAC ist ok, aber die IP habe ich nicht -> Drop.

ARP Flush Time werde ich versuchen runterzusetzen.

Gruß

axxis