Příchod nového kolegy do stabilního sehraného týmu je zajímavá věc. Zcela jistě přinese oživení, člověk si uvědomí, co to znamená po dlouhé době někoho zaučovat, kolik věcí a souvislostí bere za samozřejmé (obzvláště ve firmě takové velikosti) a v neposlední řadě se objeví nové, neotřelé lidské chyby :) Zrovna včera jsem si vzpomněl na svoji první MCP zkoušku a na kapitolu, ve které se zevrubně probíral TCP/IP troubleshooting. Naběhli jsme si naprosto ukázkově.
Zadání bylo jednoduché - nainstalovat 2 servery do prostředí, kde má každý server dvě síťové karty - jednu vedoucí do Internetu (front-end, dále FE) a jednu pro privátní síť (back-end, dále BE). IP adresy jsme přidělili, FE síťovka bude mít nastavenou bránu (DGW), na BE síťovce budou definované routy pro komunikaci s management sítí adminů, dohledových systémů, backup systémů, billingu atd. Vcelku triviální (jsem si myslel...).
V hostingovém centru šlo vše dle předpokladů až do doby, kdy kolega oznámil, že "ty dva servery na sebe nevidí". Ping na default gateway OK, ping do Internetu OK. Ping přes BE síťovku na router směřující pakety do management sítí OK. Ping na druhý server NIC. Ping z jiného serveru v BE síti na dva nové NIC. Lokální firewally vypnuté. IP adresa a subnet maska správně.
Takže jsem se poprvé vydal za síťaři, jestli je v Cisco Catalystech a PIXu nastavené vše dobře (VLAN, trunk, pravidla). Vše OK. Takže následovala obligátní výměna kabelu, pak síťovky, stejné výsledky. Poté jsme přešli na druhou vrstvu a pomocí arp -a zjišťovali, jaké lokální IP adresy dokážeme přeložit na MAC adresy. Bum - jenom router směřující pakety do management sítí. Následuje druhá návštěva síťařů s tím, že jim koukám přes rameno, že opravdu nedošlo k překlepu přiřazení portů do VLAN, nastavení trunků atd. Ne, všechno správně.
Hlavnímu guru-síťařovi už začíná být divné, co tam ti "windowsáři" provádějí, tak se zvedne a jde s námi zpátky k serverům. Kouká na konfiguraci a říká taky, hm, divný. Jenže pak se projeví trénink celodenní práce v textovém režimu (že Hynku:) ) a uvidí hloupost, kterou jsme i při několikanásobné kontrole my vokýnkáři přehlédli. Nový kolega nepochopil správně zadání, zeptal se druhého, ten moc nepřemýšlel o tom, na co se ho ptá, takže mu odpověděl nesmyslně a výsledkem byla perzistentní routa navádějící celou BE síť na router směřující pakety do management sítí. Routovat lokální subnet, to fakt nikoho z nás nenapadlo, inu nový člověk, nové chyby. Proto nám fungoval ping na router do mgmt. sítí, ale víc nic.
Takže poučení pro příště - pokud si nemůžeš pingnout na stroj vedle na tom samém subnetu, tak se koukni pomocí route print, jestli ti náhodou někdo nenaroutoval onen lokální subnet někam do tramtárie.