标签: routing

在尝试诊断网络问题时，我运行了一次以下 traceroute。

c:\>tracert linode.com -d

Tracing route to linode.com [67.18.186.61]
over a maximum of 30 hops:

  1    <1 ms     *       <1 ms  10.43.51.252
  2     1 ms    <1 ms    <1 ms  10.45.253.33
  3    <1 ms    <1 ms    <1 ms  10.62.254.251
  4    20 ms    23 ms    45 ms  192.118.32.52
  5    47 ms    20 ms    85 ms  207.232.60.250
  6    54 ms    24 ms    79 ms  212.143.8.69
  7     7 ms    79 ms    11 ms  212.143.8.209
  8    89 ms   110 ms   108 ms  212.143.12.75
  9 …

今天，我们有许多机器停止访问互联网。经过大量故障排除后，共同点是他们今天都更新了 dhcp 租约（我们在这里租用 8 天）。

续租后，您所期望的一切看起来都不错：它们具有有效的 IP 地址、DNS 服务器和网关。他们可以访问内部资源（文件共享、内联网、打印机等）。更多的故障排除表明他们无法 ping 或跟踪到我们的网关，但他们可以到达网关前面的核心第 3 层交换机。为机器分配静态 IP 作为临时解决方案。

最后一个问题是，到目前为止，报告只针对与网关位于同一 vlan 的客户端。我们的管理人员和教职员工与服务器和打印机在同一个 vlan 中，但是电话、密钥卡/相机、学生/wifi 和实验室都有自己的 vlan，据我所知，其他 vlan 上什么都没有已经有问题了。

我与网关供应商有单独的票证，但我怀疑他们会轻松地告诉我问题出在网络的其他地方，所以我也在这里问。我已经清除了网关和核心交换机上的 arp 缓存。欢迎任何想法。

更新：
我尝试从网关 ping 回一些受影响的主机，奇怪的是我确实得到了响应：来自一个完全不同的 IP 地址。我随机尝试了一些，最终得到了这个：

2011 年 9 月 2 日星期五 13:08:51 GMT-0500（中部夏令时）
PING 10.1.1.97 (10.1.1.97) 56(84) 字节数据。
来自 10.1.1.105 的 64 个字节：icmp_seq=1 ttl=255 time=1.35 ms
来自 10.1.1.97 的 64 个字节：icmp_seq=1 ttl=255 时间=39.9 ms（DUP！）

10.1.1.97 是 ping 的实际预期目标。10.1.1.105 应该是另一栋楼的打印机。我以前从未在 ping 响应中看到过 DUP。

我目前最好的猜测是在我们 10.1.1.0/24 子网上的一个宿舍里有一个流氓 wifi 路由器，网关坏了。

...继续。我现在已经关闭了有问题的打印机，并且从网关 ping 到受影响的主机完全失败。 …

我有一组办公室，它们都通过远端的 DSL 链接连接到主办公室，以节省成本。（我们是非营利组织，不要问）

过去，我们在处理远程站点的 ISP 与处理 OpenVPN 运行的 T1 线路的 ISP 之间的链接方面存在明显问题，因此这些链接经常出现故障。

我们的邮件服务器的公共接口位于第一个提供商的网络上，所以它工作得很好，但速度要慢得多，因为它也是 DSL。

为了解决上游网络的不可靠性问题，我编写了一个脚本，它简单地修改远程站点上的 DNS 记录，以在隧道启动时指向内部 IP，或者在通往主站点的 VPN 隧道关闭时指向公共 IP。

我怎样才能以一种更优雅的方式做到这一点，该方式将是即时的（而不是我的 cron 驱动的脚本）并且对用户透明？

编辑：远程办公室：运行各种供应商提供的 Actiontecs 和摩托罗拉的 Ubuntu 9.10 LTSP 服务器以及一些带有 Netgears 和 Linksys 防火墙的服务器。主办公室：几乎 100% Linux（在本例中为 CentOS），带有多个 Netgear FVS318/338 系列防火墙，我们的 /27 上的每个 IP 都有单独的防火墙。（另一个别问了，是我来之前）

以下问题只是我遇到问题的更大解决方案的一部分。到目前为止，所有其他元素似乎都在工作，所以我将尝试描述我有问题的非常小的部分。

我有一台 linux 机器，带有tun0（隧道接口）和eth0（witch 是我默认的互联网网关）。

目标：我的目标是接收从 tun0 传入的数据包，并将它们转发到默认网关。所以实际上非常简单的 NAT 案例，我想与伪造物理接口的 tun0“共享”互联网。

Tun 是使用创建的

sudo openvpn --mktun --dev tun0 --user USER
sudo ip addr add 10.2.0.1/24 dev tun0
sudo ip link set tun0 up

所以我让它启动并运行，我可以 ping 它等等。此外，我有 C++ 应用程序，它连接到这个 TUN 设备，可以读取和写入它。（fti：这是我遵循的教程：http : //backreference.org/2010/03/26/tuntap-interface-tutorial/）

我将一些对 8.8.8.8 发出的正确 ICMP（ping）请求转储到 C++ 中的字节数组中。现在，使用我的程序将它写入 tun0 设备。ICMP 请求有

• source (10.2.0.10) - 所以内核知道返回的路由（同一个子网）
• 目的地 (8.8.8.8) - Google 的 DNS
• 正确的校验和等（在 Wireshark /TShark 中，它在 tun0 上正确显示）

然后，我有以下路线：

iptables -F # flush
iptables …

由于许多年前为了节省一些钱而做出的一系列糟糕的网络设计决策（主要是），我的网络显然是次优架构的。我正在寻找改善这种不太愉快的情况的建议。

我们是一家非营利组织，拥有基于 Linux 的 IT 部门和有限的预算。（注意：我们运行的所有 Windows 设备都不能与 Internet 通信，我们也没有任何 Windows 管理员。）

关键点：

• 我们有一个主要办公室和大约 12 个远程站点，这些站点基本上使用物理隔离的交换机将 NAT 的子网加倍。（没有 VLANing 并且使用当前交换机执行此操作的能力有限）
• 这些位置有一个“DMZ”子网，在每个站点的相同分配的 10.0.0/24 子网上进行 NAT。这些子网无法与任何其他位置的 DMZ 通信，因为我们不会将它们路由到服务器和相邻“防火墙”之间的任何地方。
• 其中一些位置有多个 ISP 连接（T1、电缆和/或 DSL），我们在 Linux 中使用 IP 工具手动路由这些连接。这些防火墙都在 (10.0.0/24) 网络上运行，并且大多是“专业消费者”级防火墙（Linksys、Netgear 等）或 ISP 提供的 DSL 调制解调器。
• 连接这些防火墙（通过简单的非托管交换机）是一台或多台必须可公开访问的服务器。
• 连接到主办公室的 10.0.0/24 子网的是电子邮件服务器、远程办公 VPN、远程办公室 VPN 服务器、到内部 192.168/24 子网的主路由器。这些必须是基于流量类型和连接源的特定 ISP 连接的访问​​。
• 我们所有的路由都是手动或使用 OpenVPN 路由语句完成的
• 办公室间流量通过主“路由器”服务器中的 OpenVPN 服务，该服务器涉及自己的 NAT。
• 远程站点每个站点只安装一台服务器，由于预算限制，无法负担多台服务器。这些服务器都是LTSP服务器几个5-20个终端。
• 192.168.2/24 和 192.168.3/24 子网大部分但不完全位于可以执行 VLAN 的 Cisco 2960 交换机上。其余的是 DLink DGS-1248 交换机，我不确定我是否足够信任它以用于 VLAN。由于只有高级网络工作人员了解 VLAN 的工作原理，因此内部还存在一些关于 VLAN 的问题。

所有常规互联网流量都通过 …

在 CentOS 5.7 64bit 中是否有可能在一个接口（例如 eth0）上有第二个 IP 地址 - 别名接口配置 - 在不同的子网中？

这是 eth0 的原始配置

more etc/sysconfig/network-scripts/ifcfg-eth0
# Broadcom Corporation NetXtreme BCM5721 Gigabit Ethernet PCI Express
DEVICE=eth0
BOOTPROTO=static
BROADCAST=192.168.91.255
HWADDR=00:1D:09:FE:DA:04
IPADDR=192.168.91.250
NETMASK=255.255.255.0
NETWORK=192.168.91.0
ONBOOT=yes

这是 eth0:0 的配置

more etc/sysconfig/network-scripts/ifcfg-eth0:0
# Broadcom Corporation NetXtreme BCM5721 Gigabit Ethernet PCI Express
DEVICE=eth0:0
BOOTPROTO=static
BROADCAST=10.10.191.255
DNS1=10.10.15.161
DNS2=10.10.18.36
GATEWAY=10.10.191.254
HWADDR=00:1D:09:FE:DA:04
IPADDR=10.10.191.210
NETMASK=255.255.255.0
NETWORK=10.39.191.0
ONPARENT=yes

由于有两个不同的网关，resolv.conf 文件应该如何更改？还需要其他什么改变吗？

转发表和路由表有什么区别？

我的台式机运行 Trisquel GNU/Linux 6.0（基本上是 Ubuntu 12.04 的自由版本），我使用 OpenVPN 连接到商业 VPN 提供商以访问互联网。

它目前通过 VPN 路由我的所有流量，这很棒，但我正在寻找一种方法来允许对一个特定 IP 地址的请求绕过 VPN。我确定有一种方法，但重复的网络搜索还没有找到任何东西（我能找到的最好的是在 Windows 的 Cisco VPN 客户端上执行此操作的说明）。

你能帮我吗？

谢谢。

Citrix Netscaler 有一个有趣的属性，它将信息嵌入到发送到主机的 TCP 数据包中。此属性以这样一种方式回传给 Netscaler，Netscaler 可以使用它来确定这必须采用哪个虚拟服务器、主机和路由。

向主机回显专有信息的能力具有有趣的应用。

• Citrix Netscaler 如何实现这一点（它在哪里填充位），以及数据包中的哪些其他位置 Netscaler（或类似设备）理论上可以填充数据？

• 哪些设备会（或不会）允许此自定义数据原封不动地通过？

RFC 1034要求我们为 DNS 服务器分配至少两个 IP 地址。但是，如果我们使用任播寻址，就可以通过单个 IP 地址实现冗余。BGP 任播似乎可以很好地扩展到数百甚至数千台服务器。

如果是这样，为什么我们仍然需要多个 IP 地址用于 DNS 服务器？如果我们已经有了任播，它是否真的增强了冗余（有助于提高可用性），还是只是一个神话？

如果我们只使用一个 IP 地址，我们预计会面临哪些问题和错误？