Добрый день!
Вопрос: создали NLB на базе WINDOWS 2008. Режим работы - Multicust. В локальной сети работает все нормально. Теперь необходимо поместить его в DMZ DFL-860. Помещаем - не работает. Из того, что нашли на форуме сделано:

1. В интерфейсе ETHERNET (LAN) поставили "Receive Multicast Traffic: ON (пробовали AUTO - без разницы)
2. В настройка ARP "ARP Multicast: ACCEPT"

Не работает.
В логе пишет:

2010-06-07
17:23:06 Notice ARP
300007 ARPMatchEnetSender lan
10.2.11.95
10.2.11.90
mismatching_hwaddrs_drop
drop
hwsender=90-b1-1c-18-c4-d5 hwdest=00-00-00-00-00-00 arp=reply srcenet=03-bf-ac-10-01-05 destenet=90-94-e4-45-43-f4

10.2.11.90, 10.2.11.95 - что за адреса?
Как настроен DMZ - выделенной подсетью или transparent mode?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

10.2.11.90 - это IP адрес LAN интерфейса.

10.2.11.95 - это IP адрес кластера NLB.

Немного ввел Вас в заблуждение - кластер NLB находиться в локальной сети а не на интерфейсе DMZ. Просто пробовали и так и этак.
Схема включения такая:

По одному интерфейсу на каждом сервере имеют IP из подсети 172.16.1.хх. и они воткнуты в LAN порты ДФЛ.
Вторые инетерфейсы серверов имеют IP 10.2.11.хх и они воткнуты в локальную сеть.

эт как ? ошибки нету ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо за отклик большое!!!!

Поскольку работы очень много и занимались этим вопросом два человека получилась некоторая путаница.

Теперь ужу точно излагаю как есть:

Итак: DFL- 860

LAN 10.2.11.хх

DMZ 172.16.1хх

Если в DMZ порт втыкаем обычный WEB сервер, то все работает. (Делали для проверки правил и т.д.)

Если втыкаем в DMZ порт NLB windows 2008, то получаем в логах:

2013-06-04
13:23:10 Info TCP_OPT
3400019 TCP wan1
dmz 172.16.1.254
172.16.1.5 61344
80 mismatching_tcp_window_scale
adjust
old=2 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1
2013-06-04
13:23:09 Info TCP_OPT
3400019 TCP wan1
dmz 172.16.1.254
172.16.1.5 21442
80 mismatching_tcp_window_scale
adjust
old=2 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1
2013-06-04
13:23:09 Info TCP_OPT
3400019 TCP wan1
dmz 172.16.1.254
172.16.1.5 12866
80 mismatching_tcp_window_scale
adjust
old=2 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1


Сейчас по одному интерфейсу от серверов (172.16.1.хх) воткнуты в коммутатор, а от него уже в DMZ порт DFL-860.
Вторые интерфейсы от серверов (10.2.11.хх) воткнуты в локальную сеть.

Режим NLB - multicust Кластерный IP - 172.16.1.5

а правила между lan и dmz можно увидить ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Сейчас выложу, но вряд ли это поможет. Я уже писал, если вместо кластера втыкаем в ДМЗ обычный WEB сервер - то все работает сразу и нормально.

погодите , может проксировать надо мультикаст траффик ? по аналогии с IPTV, просто тупая идея - так сказать мозговой штурм
и парвила тоже давайте . в скриншотах - читабельно .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

И что это значит? Не понимаю просто.. Что делать?

Как бы по обрывочной информации - должно работать. Есть нюансы с маршрутизаторами CISCO. Д-линк вроде как бы пропускает multicust трафик... По крайней мере на интерфейсах стоит режим "АВТО", хотя пробовали и "On"

Не могу понять вообще как отловить то место - где "не работает"

выложите через радикал - а ссылку в соответсвующих тегах сюда ... и не надо в мега разрешении класть сливается все на маленьких экранах

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

WEB-сервер имеет IP - 172.16.1.5

простите , но на скриншотах я я так и не нашол где вы разрешате хождение траффика между интерфесами LAN и DMZ ....
можите обвести ?????

allow lan/lan-net dmz/dmz-net ваш сервис ( или созданный или предустановленый )

аналогичное наоборот .
загоните в отдельную папку - и ее на самый верх для четкости

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Добрый день!
Дело не в правиле LAN - DMZ.
У нас есть два ДФЛ-860. Один боевой - все работает. Купили второй для резерва. Потом возникла идея сотворить отказоустойчивость нашего сайта (нагрузка на него вообще то небольшая) и балансировка нагрузки - только как довесок к NLB Microsoft
Попытались с ходу сотворить NLB - не получилось. Если в локалке - все нормально, работате NLB как надо. Как только помещаем в ДМЗ зону - не работает. Пытались и в локалке NLB запустить (в смысле поместить в ЛАН зону) - не получилось.

Тогда, с целью обеспечения работоспособности боевого ВЕБ-сервера была сотворена следующая схема:

Второй (экспериментальный) ДФЛ настроен на выход в интернет через другой "белый" IP (у нас их несколько - хватает и для экспериментов).
В его ДМЗ зону втыкаем обычный ВЕБ-сервре - все работает нормально. При этом я выхожу в и-нет через один IP, а потом попадаю на второй ДФЛ и прекрасно вижу ВЕБ-сайт. Тоесть четко эмулируеться ситуация захода на наш ВЕБ-сайт пользователя из интернет.

Как только втыкаем в ДМЗ зону NLB - не работает. Информация в документации на ДФЛ весьма скудная. Да и ума похоже не хвататет.

Что пытались делать:

1. На всех интерефейсах Ethernet стои "АВТО" по поводу пропускания multicast пакетов. Ставили ON - не помогло.
2. В настройка ARP ставили "ACCEPT" в поле - "ARP Multicast" - не помогло.

Тоесть оно понятно, что ДФЛ не может корректно разрулить трафик на кластер NLB, а что делать непонятно.

Может есть другой способ настройки отказоустойчивости WEB-сервера. Тоесть сделать две копии сервера мы можем... надо чтобы ДФЛ направлял трафик на второй ВЕБ-сервер тогда, когда первый не отвечает.

Спасибо.

По поводу Windows NLB -- попробуйте поиграть настройками в Interfaces / APR / Advanced Settings в плане снятия защит от ARP-spoofing, возможно, дело в этом, но точно не знаю, опыта нет.

По поводу других методов балансировки -- у DFL есть своя система "SLB", читайте мануал, но вкратце --обычное правило для проброса порта SAT заменяется на SLB SAT и на соответствующих вкладках всё настраивается.