Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 39 subscribers
  • Views 8439 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

9.506 HA Cluster - STP Issues

LUHEZ

Wir haben hier ein Problem mit einem HA Cluster.

Kurz gefasst: wenn ich einen Sophos HA Node, egal ob Master oder Slave, über Webadmin herunterfahre, führt dies dazu, dass uns das einen Port am Extreme Networks Core Switch abschaltet. Im Switchlog sehen wir einen BPDU shutdown.

Da an diesem Port ein ganzer Switch hängt, ist das ganze LAN-Segment an diesem Port dann offline. 

Netzwerkschema anbei. Das rotmarkierte Core-Interface schaltet sich ab. Ich habe noch nirgends gelesen, dass die Sophos mittels STP Ports lahm legt.

Wenn ich den ausgeschalteten sophos Node wieder einschalte und dieser die Clusterverbindung hergestellt hat, wird der Switchport auch wieder aktiviert.

In den meisten Setups ist die Sophos vermutlich die erste Firewall/Router im LAN, hier befindet sich die Sophos in zwei DMZ Zonen hinter einer Cisco ASA. Sie kann also beide DMZ Zonen als Router miteinander verbinden, da sie in jeder DMZ Zone ein Bein hat.

Dieses Verhalten ist beliebig nachstellbar.



This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Alexander Busch

    Vielen Dank für den Hinweis. Werde ich mal an die Netzwerkler weitertgeben.

    Von dort habe ich heute morgen auch schon einen Hinweis bekommen:

     

    Zum einen ist Spanningtree auf den Ports unterschiedlich konfiguriert:

    Port   Mode   State      Cost  Flags     Priority Port ID Designated Bridge

    43     802.1D FORWARDING 200000 eDappd---- 128      802b    00:00:00:04:96:9c:e2:52

    44     802.1D FORWARDING 20000 eDee-w-G-- 128      802c    00:00:00:04:96:9c:e2:52

     

    ------------------------- Flags: ----------------------------

    1:                e=Enable, d=Disable

    2: (Port role)    R=Root, D=Designated, A=Alternate, B=Backup, M=Master

    3: (Config type)  b=broadcast, p=point-to-point, e=edge, a=auto

    4: (Oper. type)   b=broadcast, p=point-to-point, e=edge

    5:                p=proposing, a=agree

    6: (partner mode) d = 802.1d, w = 802.1w, m = mstp

    7:                i = edgeport inconsistency

    8:                S = edgeport safe guard active

                      s = edgeport safe guard configured but inactive

    8:                G = edgeport safe guard bpdu restrict active in 802.1w and mstp

                      g = edgeport safe guard bpdu restrict active in 802.1d

    9:                B = Boundary, I = Internal

    10:               r = restricted role, t = active role

     

    Zum anderen ist es auffällig, dass beim Abschalten einer Sophos BPDU’s durch die andere Sophos Firewall gehen.

    Zum Glück hat auf Port 44 das Safe Guard Feature einen Loop verhindert.

  • 0 in reply to LUHEZ

    Hallo,

    ist auf der UTM irgendwas in Richtung port-Bridging / "Ethernet Bridge"-Port konfiguriert?

    Sonst sollte auf der UTM gar kein STP aktiv sein.

    Im dargestellten Design sehe ich aber keinen Grund für ein PortBridging.

     


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Nein, wir haben da nichts gebridged. Die Interfaces sind standard Ethernet Interfaces.

    Wir haben einen transparenten Webfilter, die WAF und MailSec im Einsatz.

Unfiltered HTML