…Tach Allerseits,<\/p>\n
bei meiner ISA-Implemantation in Oberhausen “spuckte” uns ein Router ein wenig in die Suppe. Das Netz meines Kunden war bis heute durch einen Router mit integriertem IP-Paketfilter vom Internet\u00a0getrennt. Dies wurde von uns durch eine Back-to-Back-L\u00f6sung mit einem ISA2006SE-Server erg\u00e4nzt. Ich traf heute morgen die Hardware in bestem Zustand an, OS inkl. aktuellem Patchlevel zu allen Schandtaten bereit. Flux das LAN-Kabel des Routers gezogen und mit der externen Seite des ISAs verbunden (erst direkt aufgepatcht, sp\u00e4ter testweise mit zwischengeschaltetem Switch). Die Back-to-Back-L\u00f6sung sollte somit auch eine physikalische Trennung erfahren, folgende Topologie wurde von uns angestrebt:<\/p>\n
Internet – Router (mit 2 ISP-Anbindungen) – ISA – Intranet<\/p>\n
An den Router des ISPs sind zwei externe\u00a0ADSL-Modems der Telekom\u00a0angeschlossen. Als wir das LAN-Kabel\u00a0des Routers zogen und neu patchten, stellte sich folgender (f\u00fcr mich zumindest) \u00e4u\u00dferst merkw\u00fcrdiger Effekt ein: die Modems verloren die Synchronisation mit der Gegen\u00fcberstelle. Flux das LAN-Kabel auf den Core-Switch des Kunden zur\u00fcckgepatcht – beide Modems syncen einwanfrei. Dieses Verhalten ist reproduzierbar. Es wurde kein Crossover-Kabel\u00a0zwischen Router und ISA verwendet. Ein eigenst\u00e4ndiger Switch zwischen Router und ISA schaffte keine Abhilfe.\u00a0Ich h\u00e4tte in dem Fall gedacht, das die Modems “aus Sicht” des Routers extern sind und nichts mit der internen Verkabelung zu tun haben. Aber sobald ich den Router vom Core-Switch runternehme ist Ende im Gel\u00e4nde angesagt, der Sync mit der DSL-Gegenstelle geht ins Nirvana (jau, wir haben wirklich lange gewartet).<\/p>\n
Als Notl\u00f6sung (uns w\u00e4re die physikalische Trennung lieber\u00a0gewesen) haben wir folgendes gemacht: Der Router bleibt mit seiner LAN-Seite auf den Core-Switch gepatcht, der ISA mit seiner externen NIC ebenfalls. Die verwendeten IPs der internen NIC des Routers, sowie der externen NIC des ISAs sind aus einem komplett anderen IP-Segment. Wo wir schon keine physikalische Trennung hinbekommen k\u00f6nnen, haben wir sie wenigstens “virtuell” vollzogen.<\/p>\n
Verr\u00fcckte Geschichte das. Falls hierzu jemand ein paar Infos hat, bin f\u00fcr jede “Erleuchtung” dankbar (hentrup@aixperts.de<\/a>).<\/p>\n Karsten Hentrup aka Jens Mander…<\/p>\n |<-|<\/p>\n","protected":false},"excerpt":{"rendered":" …Tach Allerseits, bei meiner ISA-Implemantation in Oberhausen “spuckte” uns ein Router ein wenig in die Suppe. Das Netz meines Kunden war bis heute durch einen Router mit integriertem IP-Paketfilter vom Internet\u00a0getrennt. Dies wurde von uns durch eine Back-to-Back-L\u00f6sung mit einem … Continue reading