我正在将刀片中心中的 DMZ 中的一些虚拟机移动到我的新 cisco UCS。我们正在使用 Hyper-V,并且在旧的刀片中心上运行 Server 2012,在新的 UCS 上运行 Server 2012r2。
我们有一个 Cisco ASA 5515 防火墙,asa 版本 9.1(4),它是我们用于 LAN 和 DMZ 流量的网关。
在旧的刀片中心中,我们有一台存在于 DMZ 中的虚拟机,并配置了一个网络接口。在此网络接口上,它有一个主 IP,比如 172.10.1.10,以及配置的一些附加 IP,172.10.1.11、172.10.1.12。
所有这些工作正常,路由正常,没有问题。
我们将一台机器从刀片中心迁移到 UCS,但现在它在 DMZ 上的辅助 IP 出现了问题。
所以 UCS 中的这台机器存在于 DMZ 中,有一个网络接口配置了主 IP,比如 172.10.1.15,辅助 IP 为 172.10.1.16、172.10.1.17。
我可以从网络上的任何地方 ping 主 IP (.15)。但是,除了 UCS 环境中的其他机器外,我无法从任何地方 ping(或以任何方式连接)到辅助 IP(.16、.17)。
重要提示:我在我的 LAN 上的 UCS 环境中有一个虚拟机。它具有所有工作正常的主要和次要 IP。例如,它的主要是 192.168.1.20,它的次要是 192.168.1.21 和 192.168.1.22。我可以从任何地方击中 .21 和 .22。
问题似乎只出在 UCS 环境中的 DMZ 辅助 IP。
我认为这不是 Windows/HyperV 问题。
未对 ASA 进行任何配置更改。
UCS 供应商确信这在 UCS 中不是问题。
有没有人见过这样的事情?任何建议表示赞赏!
编辑:添加了 asa 版本
编辑:如果我从工作站跟踪到主 IP,我得到 1 跳,没问题。如果我跟踪到辅助 IP,它无法路由,我只会得到星星。
tracert 172.10.1.15
Tracing route to test.domain.com [172.10.1.15] over a maximum of 30 hops:
1 2 ms 1 ms <1 ms test.domain.com [172.10.1.15]
Trace complete.
tracert 172.10.1.16
Tracing route to test.domain.com [172.10.1.16] over a maximum of 30 hops:
1 * * * Request timed out.
2 * * * Request timed out.
3 * * * Request timed out.
4 * * * Request timed out.
5 * * * Request timed out.
6 * * * Request timed out.
7 * * * Request timed out.
8 * * * Request timed out.
9 * * * Request timed out.
编辑:我可以通过 SSH 连接到我的 ASA,如果我在刀片中心对 DMZ 机器执行 ping 操作,主 IP 和辅助 IP 的响应都很好。如果我 ping UCS 中的 DMZ 机器,主 IP 会响应,辅助 IP 不会。
编辑:从刀片中心的 DMZ 机器,我无法 ping 到 UCS 环境中系统上的主要或次要 DMZ IP;但是,我可以在主 IP 和辅助 IP 上从 UCS 中的 DMZ 机器 ping 到刀片中心中的 DMZ 机器。
编辑:如果我从刀片中心的系统跟踪到 UCS 中的系统,我会得到:
Tracing route to test.domain.com [172.10.1.15]
over a maximum of 30 hops:
1 Server1 [172.10.1.10] reports: Destination host unreachable.
Trace complete.
DoubleEdit:对于 joeqwerty 关于 ARP 的问题,我确实在 ASA 中看到了至少一组主要和次要 IP 的 arp 条目。 看起来如果我在服务器的 NIC 上交换主要和次要 IP 地址,它会在防火墙中构建 ARP,然后它似乎可以工作! 但是 ASA 不应该为这些辅助 IP 做 ARP 吗?
