Когда мы переключаемся со статического маршрутизируемого частного канала без BGP на частный канал BGP, связывающий два офиса, общие ресурсы Windows и просмотр HTTP внутренних компьютеров в разных офисах завершаются ошибкой с таймаутом. Ни один из этих каналов не проходит через общедоступный Интернет.
У нас есть домен Windows Active Directory, охватывающий два офиса, каждый с отдельной частной подсетью (подсеть в Нью-Йорке - 10.71 / 16, а подсеть в Нью-Джерси - 10.72 / 16). Маршрутизатор интернет-шлюза для каждого сайта (т. Е. Шлюз по умолчанию для всех устройств на сайте) - 10.71.0.1 для Нью-Йорка и 10.72.0.1 для Нью-Джерси.
Мы работали с частным (не-BGP) каналом между двумя дополнительными маршрутизаторами в наших локальных сетях (10.71.0.2 для Нью-Йорка и 10.72.0.2 для Нью-Джерси). Чтобы две подсети работали вместе как один домен Windows AD, у нас есть статические маршруты на маршрутизаторах шлюза (в 10.71.0.1 маршрут шлюза к 10.72 проходит через 10.71.0.2, а в 10.72.0.1 маршрут шлюза к 10.71 проходит через 10.72.0.2. ). Это означает, что путь от сервера Нью-Йорка к серверу Нью-Джерси будет иметь вид: 10.71.1.15, 10.71.0.1, 10.71.0.2, 10.72.0.2, 10.72.0.1, 10.72.1.201.
Теперь мы отключаем эти статические маршруты и добавляем новый частный канал MPLS / BGP (т. Е. Без доступа к Интернету через BGP) напрямую между нашими шлюзовыми маршрутизаторами в Нью-Йорке и Нью-Джерси (т. Е. Порт шлюза в Нью-Йорке eth5 имеет общедоступный IP-адрес Verizon MPLS и ASN 65001 к Verizon AS65000, который направляет на порт eth5 маршрутизатора шлюза NJ, которому также назначен публичный IP-адрес Verizon, и ASN65002). Теперь канал BGP работает и успешно обменивается сообщениями. TRACERT показывает правильный путь. Любая машина в Нью-Йорке может пинговать любую машину в Нью-Джерси и наоборот.
Проблема в том, что теперь общие ресурсы Windows через BGP не работают с тайм-аутом, как и просмотр HTTP. Все это внутри наших частных офисных сетей без доступа к Интернету. DNS вроде в порядке. Он правильно разрешает имена в IP для проверки связи. Попытка просмотреть \ server-name или \ 10.71.1.15 не удалась (через BGP - отлично работает в локальной подсети).
Похоже, что BGP настроен правильно, но мне что-то не хватает в Windows. Отключение брандмауэра Windows на двух серверах Windows (один в Нью-Йорке и один в Нью-Джерси) для тестирования Windows Share не имеет никакого значения - все равно не удается.
Заметка: маршрутизаторы такие же, только новый канал MPLS / BGP. Я думаю, что провайдер тоже ошибся с ACL, но похоже, что я должен это доказать.