Прежде всего, прошу прощения за свои ошибки в английском. Помогите, пожалуйста, решить проблему с конфликтами ARP-запросов.
У меня корпус IBM BladeCenter E, в котором установлены блейд-серверы. На задней стороне корпуса находятся два модуля коммутатора Cisco Catalyst 3012 для коммутаторов IBM BladeCenter. Каждый блейд-сервер оснащен двумя сетевыми адаптерами Broadcom BCM5709S NetXtreme II. Одна сетевая карта подключена к объединительной плате шасси с одним коммутатором, другая сетевая карта подключена ко второму коммутатору. Коммутаторы подключены к основным коммутаторам Cisco Catalyst 6509. Также у нас есть межсетевой экран Cisco ASA 5520 с версией ОС 8.0.4. Этот межсетевой экран ASA также подключен к ядру с помощью одного интерфейса. Интерфейс этого ASA находится в одной сети с блейд-серверами. Таким образом, Cisco ASA отделяет сегмент сети серверов от других сегментов.
Две серверные сетевые карты объединены в группу Smart Load Balancing и Failover. Привет коллеги! Прежде всего, прошу прощения за свои ошибки в английском. Помогите, пожалуйста, решить проблему с конфликтами ARP-запросов.
У нас есть корпус IBM BladeCenter E, в котором установлены блейд-серверы. На задней стороне корпуса находятся два модуля коммутатора Cisco Catalyst 3012 для коммутаторов IBM BladeCenter. Каждый блейд-сервер оснащен двумя сетевыми адаптерами Broadcom BCM5709S NetXtreme II. В объединительной плате одна сетевая карта подключена к одному коммутатору, другая сетевая карта подключена ко второму коммутатору. Коммутаторы подключены к основным коммутаторам Cisco Catalyst 6509. Также у нас есть межсетевой экран Cisco ASA 5520 с версией ОС 8.0.4. Этот межсетевой экран ASA также подключен к ядру с помощью одного интерфейса. Интерфейс этого ASA находится в одной сети с блейд-серверами. Таким образом, Cisco ASA отделяет сегмент сети серверов от других сегментов.
Цель - обеспечить устойчивость. Вот почему мы используем обе сетевые карты одновременно в групповой конфигурации. Параметры объединения:
Тип - Интеллектуальная балансировка нагрузки и отказоустойчивое включение LiveLink - НЕТ Возможности разгрузки команды - LSO, CO
BACS 3 v.11.6.10.0 Версия драйвера bxnd52x.sys 5.0.13.0
Из-за физической топологии объединительной платы две блейд-платы NIC подключены к двум отдельным коммутаторам Cisco, поэтому вы не можете использовать режимы LAG или Generic Trunking для объединения. А из-за фиксированной конфигурации объединительной платы вы не можете изменить эту физическую топологию внутри шасси. Единственный способ - использовать SLB, но это приводит нас к проблеме с ASA, который принимает пакеты с одного IP-адреса, но с разными MAC-адресами, и рассматривает это как атаку подделки. Он постоянно регистрирует события коллизии запросов ARP.
ASA-4-405001: Получен конфликт запросов ARP от 10.0.0.10/aaaa.bbbb.cccc на внутреннем интерфейсе
Я бы попросил совета, что делать в этой ситуации? Есть ли способ настроить объединение только для аварийного переключения (например, режим NFT на сетевых адаптерах Intel) и отключить свойство SLB? Что делает ASA при обнаружении упомянутых событий: действительно ли он отбрасывает пакеты или просто сообщает мне о странностях в сети? Могу ли я отключить это событие на ASA? Может быть, есть способ статически настроить ASA с двумя MAC, чтобы не рассматривать атаку?
Спасибо!