Solucionado: Ping para VIP e alias IP do ACE

josearoeira · ‎03-08-2012

Bom dia,

Eu estou realizando uma pequena implementação de um módulo ACE e estou com um problema. Tenho configurado no módulo as seguintes VLANs (com suas respectivas interfaces VLANs):

- VLAN 500 (clients): é por esta VLAN que as requisições chegarão.

- VLAN 620 e VLAN 630 (server VLANs): nestas VLANs estão dois server farms (um em cada). Dependendo do VIP buscado nas requisições, há o balanceamento para um ou para outro.

- Há um ACE Standby (peer)

- Cada interface VLAN possui um "alias IP"

O problema que estou tendo é o seguinte.

A partir da VLAN 500, se pingo o SVI da VLAN 500 ou o alias IP e o IP do SVI da VLAN 500 no ACE standby, tenho resposta. Tudo certo até aqui!

A partir da mesma VLAN 500, se pingo o SVI das VLANs dos servidores - 620/630 -, ou os respectivos alias IP, o ping falha. No entanto, o ping, da mesma VLAN 500, para o IP do SVI das VLANS de servidores, no ACE standby funciona!!!

Alguma idéia do que pode estar causando esse comportamento?

Agradeço desde já,

Jose Aroeira

Pedro Ivo Santos Mauri · ‎03-09-2012

Olá José,

O que acontece é um comportamento normal no ACE:

"Não é possível pingar uma interface/SVI do ACE através da qual o ping não tenha chegado"

Por isso você consegue pingar o alias IP e o active VIP da VLAN de "clients", pois o ping chega diretamente nessa interface/SVI. Já o ping a partir da VLAN de "clients" para o alias IP ou active VIP do lado dos servidores, chega pela interface de "clients", sendo destinada à outra interface do próprio ACE. O comportamente padrão do ACE barra esse ping.

Porque, então, vocês conseguem pingar o SVI de servidores do peer (ACE standby) a partir da VLAN de "clients" ?

A razão é que quem recebe o ping é o ACE primário. Como o ACE primário não possui esse IP em nenhuma de suas interfaces e faz ARP lookup em sua tabela. Ele encontra uma entrada apontando para o seu peer, e reencaminha o pacote para o peer, pela interface que se conecta à VLAN de servidores (pois a tabela ARP aponta um MAC nessa subrede). Assim, o peer recebe o ping pela mesma interface/SVI, que possui o IP a ser pingado.

Em resumo, esse comportamento é esperado e o ambiente está funcionando corretamente!

Abraço,

Pedro

Ver solução na publicação original

Pedro Ivo Santos Mauri · ‎03-09-2012

Olá José,

O que acontece é um comportamento normal no ACE:

"Não é possível pingar uma interface/SVI do ACE através da qual o ping não tenha chegado"

Por isso você consegue pingar o alias IP e o active VIP da VLAN de "clients", pois o ping chega diretamente nessa interface/SVI. Já o ping a partir da VLAN de "clients" para o alias IP ou active VIP do lado dos servidores, chega pela interface de "clients", sendo destinada à outra interface do próprio ACE. O comportamente padrão do ACE barra esse ping.

Porque, então, vocês conseguem pingar o SVI de servidores do peer (ACE standby) a partir da VLAN de "clients" ?

A razão é que quem recebe o ping é o ACE primário. Como o ACE primário não possui esse IP em nenhuma de suas interfaces e faz ARP lookup em sua tabela. Ele encontra uma entrada apontando para o seu peer, e reencaminha o pacote para o peer, pela interface que se conecta à VLAN de servidores (pois a tabela ARP aponta um MAC nessa subrede). Assim, o peer recebe o ping pela mesma interface/SVI, que possui o IP a ser pingado.

Em resumo, esse comportamento é esperado e o ambiente está funcionando corretamente!

Abraço,

Pedro

josearoeira · ‎03-09-2012

Olá Pedro,

Muito obrigado pelo esclarecimento.

De fato um ping através do ACE está funcionando!

Obrigado.

Ping para VIP e alias IP do ACE

Quick links