firewall + switch rallenta reti

[stefano.to]

ciao a tutti

ho questo problema e vorrei sapere cosa ne dite

ho 3 lan e 1 dmz

LAN1 192.168.100.0/24
LAN2 192.168.150.0/24
LAN3 192.168.250.0/24

DMZ 192.168.99.0/24

Tra LAN1-2-3 e la DMZ c'è un fw checkpoint; inoltre tra LAN1 e LAN2/LAN3 c'è anche un fw checkpoint, mentre tra LAN2 e LAN3 semplicemente il router.

La LAN1 è collegata ad uno switch CISCO ed è composta di una trentina di host. La stessa cosa per la DMZ composta da una decina di host.

Il problema è la comparsa di ritardi nelle connessioni tra host. sia tra LAN1 e DMZ che dentro la LAN1 stessa. Verificato che non dipendono dalle macchine, mi e vi domando:


1) una errata configurazione delle regole di un FW può introdurre tempi di latenza tali da superare i 60 secondi mandando in timeout i processi ?

2) uno switch cisco intelligente (eventualmente collegato ad un firewall checkpoint) può avere degli errori di configurazione tali da introdurre la stessa latenza all'interno di una rete?



Grazie infinite
Stefano

[bum]

dovresti se riesci a fare uno schizzo della rete per essere sicuri di star ragionando sulla sessa (e giusta) configurazione di rete.

[stefano.to]

ecco uno schizzo della rete

tra lan1 e il router un fw, tra dmz e il router un fw, lan2 e lan3 attaccate al router interno

[bum]

Credo che reglole di inoltro sul firewall errate e policy mal configurate possano essere una causa di ritardi così pesanti, altre cause possono essere il mal funzionamento degli switch di lan1 e dmz.

assicurati che tutti gli apparati che appilicano un instradamento con default router facciano instradamento verso l'ip corretto

comunque per avere un indea di cosa succeda in lan 1 o dmz usa un programma per sniffare i pacchetti tipo wireshark per vedere realmente che succede e magari beccare qualche icmp.

Altra cosa: perchè la dmz sta li in fondo? io l'avrei piazzata subito dopo il promo firewall

[stefano.to]

grazie

non sono il tecnico di rete, sono il sistemista, ma vorrei capire un attimo per dargli notizie

scusa un ultima domanda: quali pacchetti devo esaminare per capire cosa succede? E quali icmp? Tipo i cdp neighbour ? Ma come capisco se ci sono problemi ?

grazie ancora

[bum]

Ciao,
direi di vedere se ti viene dato qualche icmp di redirect o di destinazione/net non raggiungibile.
o addirittira qualche source quench visto che i processi vanno in time out!!

Io proverei a vedere se la comunicazione tra le due lan funziona bene, "segui" i pacchetti di un host da lan 1 a dmz e vedi un po che succede tra le domande e risposte che vedi tra i due host ecc..


Ma i problemi li riconosci conoscendo un po come dovrebbe avvenire la comunicazione tra gli host che usano tcp/udp

comunque se usi wireshark non dovresti aver problemi seguendo la comunicazione tra 2 host a capire se va bene.

Non ti propongo di postare qui la traccia di wireshark perchè non lo ritengo sicuro per la tua rete VVoVe:
e per chi la utilizza.

[b00malek]

Originariamente inviato da stefano.to

Il problema è la comparsa di ritardi nelle connessioni tra host. sia tra LAN1 e DMZ che dentro la LAN1 stessa.



Stefano

Anche tar macchine della stessa LAN???

Controlla la speed/duplex delle porte dello switch.