Итак, для начала структурная схема, с тем что есть сейчас -
Теперь по порядку как мы к этому пришли и после чего возникли проблемы.
1. Вначале было гос. медицинское учреждение с рабочими станциями А и с Группой серверов М (это почтовые, web, FTP, базы данных, контроллер домена и т. д.)
2. Было принято решения разрешать доступ для учреждений области (около 150 шт) давать доступ к нашим серверам используя
PPTP/L2TP Servers на базе DFL 1600, получилось создание VPN сервера с наскока, особых проблем не возникло. Учреждения подключались (одновременно до 20 подключений, больше редко набегало) и пользовались тем что им нужно было (почта, фтп, БД)
3. Поскольку наше учреждение находится в непосредственной близости к областным больницам области было принято решение объединить нас всех оптикой, так появилось DGS 3612G и VLAN. Между группой серверов М и DGS 3612G проходят tagget VLAN а от DGS 3612G до DGS 1226 идут уже untagget, что бы не настраивать - по сути администрировать в дальнейшем их железки, ну и облегчить себе жизнь.
До этого момента никаких нареканий на работу всей сети не было. С начала внедрения DFL 1600 до пункта 4 прошло где-то 1,5 года
4. В областной больнице(подразделение Б) с подсетью на рис. 10.16.1.0/24 решают организовать удаленную запись на приём. И просят организовать доступ для учреждений области в их подсеть по определенным портам к определенному IP. Для реализации этого был создан на порту LAN3 DFL 1600 IP из их подсети и добавлены разрешающие правила и маршруты (правила только для прохода пинга и для прохода по конкретным портам для работы программы), и соответственно этот провод воткнули из DFL 1600 в DGS 3612G. Все получилось с первого раза. Программа заработала.
5.Через месяц в еще одной областной больнице (подразделение В) так же решают сделать запись на приём с помощью той же самой программы только уже для компа из подсети 10.32.1.0/24.
Поскольку свободных физических интерфейсов не осталось, было принято решение создать на интерфейсе LAN1 DFL1600 tagget VLAN и отправить его через DGS 1224T на DGS 3612G (так же как и сервера в общем). Дальше были добавлены разрешающие правила и маршруты и к моему удивлению вся эта схема да же заработала.
Итак что мы сейчас имеем
Учреждение подключившись по VPN на наш DFL 1600 (подключения реализуются по разному как и с одиночного компа под XP так и с Windows 2003 имея внутреннюю подсеть и свою таблицу маршрутизации) свободно пинговали сервера подразделения Б (подсеть 10.16.1.0/24), подразделения В (подсеть 10.32.1.0/24), так же работала их программа для удаленной записи на приём, если не ошибаюсь написаная на Oracl и они все еще имели доступ к нашим серверам из подсети 10.2.1.0/24.
Но в последнее время участились звонки из учреждений о том что пропадает связь. Т. е. само подключение как бы подключено НО полностью отсутствует соединение, которое иногда самостоятельно восстанавливается или ЧТО ЧАЩЕ в ручную переподключали соединение. Стал разбираться первое что посмотрел это загрузка ЦП - не более 3%. Дальше обратил внимание на кол-во одновременно подключеных пользователей (цифра не превышает 50 одновременных VPN подключений). Еще обратил внимание на то что сейчас у всех пользователей нет длительного соединения, т. е. в DFL 1600 заходим в
User Authentication Status и там в колонке
Idle Timeout у всех почти всегда стоит 24h или 23h (в настройках указано сбрасывать подключение после 24 часов) хотя раньше точно помню что когда заглядывал там были разные часы у каждого пользователя. Это означает что у всех пользователей происходит принудительный разрыв VPN соединений, причем слишком часто.
Единственное на что грешу (очень сильно) это на возросшее кол-во широковещательных запросов со стороны больницы Подразделения Б подсеть 10.16.1.0/24 (у нас центральный хаб в группе серверов М горит синим пламенем из-за этого) и вот так это выглядит на DFL 1600 в логах
Ну и в конце подитожу что ли
+ основной вопрос, могут ли влиять на DFL 1600 широковещательные запросы так, что он сбрасывает VPN подключения?
+ как в логах DFL 1600 увидеть момент отключения VPN пользователя, хотя врятли он будет достаточно информативен... что-то типа user drop )
+ готов выслушать любые советы или предложения, поскольку сам кроме как симитировать подключение и убедится в кривизне работы схемы, пока не представляю с какой стороны подступится...
Ну и на последок Firmware Version: 2.20.00.26-4233 Dec 12 2007
Вход
Регистрация
FAQ
Поиск
