У нас довольно небольшая сеть с управляемыми и неуправляемыми коммутаторами (Netgear GS748T, Linksys SLM2024, DGS-1008D, DES-1008D, DES-1026G, SRW224G4), около 8-10 хостов Hyper-V с несколькими виртуальными машинами, несколько хостов с VWMare и около 100 локальных пользователей и еще 100 пользователей vpn (не подключенных постоянно). Недавно мы представили Forefront TMG (сделав его центральной точкой) в нашей сети и внесли большие изменения в VLAN (с одной сети 192.168.1.X на 5-10 VLAN, разбивающих сеть на тестовые машины, критически важные серверы, iSCSI, Heart Bit - HV кластера, доверенные пользователи, ненадежные пользователи и т. д.). Большинство, если не все сетевые карты используют объединение, агрегацию и магистраль.
В течение последних недель, месяцев сеть была нестабильной из-за проблем с iSCSI в ночное время, когда выполнялось резервное копирование. Вчера наша сеть решила выйти из строя днем и была недоступна 2 часа. За это время коммутаторы зависали 2 раза и требовали аппаратного сброса, и в целом сеть в это время работала некорректно. Через 2 часа все вернулось к нормальному состоянию, но похоже, что это вернется в ближайшее время.
Коммутаторы мало что предлагают monitoring capabilities, ни резервные копии дисков iscsi. Некоторые ошибки в TMG:
Forefront TMG отключил не-TCP-соединение от 172.16.10.5 из-за превышения лимита подключений для этого IP-адреса. Для IP-адресов связанных прокси-серверов и компьютеров Forefront TMG с взаимосвязью NAT следует настроить более крупные пользовательские ограничения на подключение.
Forefront TMG отключил не-TCP-соединение от 172.16.10.12, так как было превышено ограничение на количество подключений для этого IP-адреса. Для IP-адресов связанных прокси-серверов и связанных друг с другом компьютеров Forefront TMG с отношением NAT следует настроить более крупные пользовательские ограничения на количество подключений.
Количество одновременных TCP-подключений с исходного IP-адреса 178.215.xxx.xxx превысило настроенный предел. В результате Forefront TMG не разрешает создание новых TCP-подключений с этого исходного IP-адреса. Этот IP-адрес, вероятно, принадлежит злоумышленнику или зараженному хосту. См. Документацию по продукту для получения дополнительной информации о предотвращении наводнения Forefront TMG.
Количество запрещенных подключений с исходного IP-адреса 77.1xxx.xxx превысило настроенный предел. Это может указывать на то, что узел заражен или пытается атаковать компьютер Forefront TMG.
Forefront TMG отключил не-TCP-соединение от 172.16.10.10 из-за превышения лимита подключений для этого IP-адреса. Для IP-адресов связанных прокси-серверов и компьютеров Forefront TMG с взаимосвязью NAT следует настроить более крупные пользовательские ограничения на подключение.
Forefront TMG отключил не-TCP-соединение от 172.16.10.16, поскольку было превышено ограничение на количество подключений для этого IP-адреса. Для IP-адресов связанных прокси-серверов и компьютеров Forefront TMG с взаимосвязью NAT следует настроить более крупные пользовательские ограничения на подключение.
Количество запрещенных подключений с исходного IP-адреса 195.ZZZ превысило настроенный предел. Это может указывать на то, что узел заражен или пытается атаковать компьютер Forefront TMG.
Количество запрещенных подключений с исходного IP-адреса 85.ZZZ превысило настроенный предел. Это может указывать на то, что узел заражен или пытается атаковать компьютер Forefront TMG.
Forefront TMG отключил не-TCP-соединение от 172.16.231.12, поскольку превышено ограничение на количество подключений для этого IP-адреса. Для IP-адресов связанных прокси-серверов и связанных друг с другом компьютеров Forefront TMG с отношением NAT следует настроить более крупные пользовательские ограничения на количество подключений.
Forefront TMG не смог распаковать тело ответа из stooq.pl, потому что ответ был сжат методом, который не поддерживается Forefront TMG. Это происходит, когда веб-сервер настроен на отправку ответов, сжатых методом, не поддерживаемым Forefront TMG, независимо от типа запрошенного сжатия.
Если вы хотите, чтобы Forefront TMG блокировал такие ответы, настройте политику HTTP правила политики, чтобы блокировать заголовок Content-Encoding в ответах. В противном случае такие ответы будут отправлены клиенту без декомпрессии и могут быть кэшированы. Вы можете отменить или уменьшить частоту предупреждения, генерируемого этим событием, в Forefront TMG Management.
Средство проверки подключения «Ферма: Sharepoint.xxx.pl - Ферма» сообщило об ошибке при попытке подключиться к 14cms.xxx.xx. Причина: истекло время ожидания запроса.
Средство проверки подключения «DHCP1» сообщило об ошибке при попытке подключиться к DHCP1.xxx.xx. Причина: истекло время ожидания запроса.
Мы уже поиграли с TMG и установили более высокие ограничения для наших серверов AD / DNS, поскольку мы видели эти сообщения раньше, но похоже, что это происходит повсюду.
«За это время переключатели повисли 2 раза, и потребовались аппаратные перезагрузки»
Я не пытаюсь быть элитарным здесь, но Linksys / D-Link / Netgear даже не оборудование среднего класса. iSCSI и виртуализация требуют очень стабильной и быстрой сети для правильной работы.
Я настоятельно рекомендую вам купить лучшее сетевое оборудование (Cisco, HP и т. Д.).
Посмотрите сообщения об ошибках в TMG, относящиеся к внутреннему трафику (с 172.16.x.x - хорошее место для начала). Выясните, к каким хостам они относятся, и подходят ли эти действия брандмауэру для трафика на этих хостах.
Никогда Предположим, что брандмауэр поставляется с соответствующей конфигурацией из коробки особенно если этот брандмауэр должен быть развернут внутри.
Я бы также предложил использовать отдельные коммутаторы для вашей сети хранения iSCSI, вместо того, чтобы пытаться разделить трафик с помощью VLAN. Намного проще разобраться, и вам действительно нужно правильно направлять трафик iSCSI, если вы используете его для жестких дисков виртуальных машин!