Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 9 subscribers
  • Views 1185 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAN Port Ausfall nach Cluster schwenk

EDV Ulmerfleisch

Guten Tag

Ich weiß aktuell nicht weiter.

Wir haben ein XGS 3100 HA Cluster in 2 DV Räumen

Die XGS im jeweiligen Raum gehen über einen Cisco Switch auf unseren Core Switch und von dort auf den Telekom-Router der das Gateway von WAN1 ist (auf der XGS der Port2).

Wenn die XGS in Raum 1 die Primäre XGS ist läuft das Interface ohne Probleme.

Wenn nur ein Cluster Schwenk durchgeführt wird und die XGS in Raum 2 übernimmt geht das Interface WAN1 für ca. 10min danach geht der Port down für wieder ca. 10min. 

Danach ist es wieder für 10min erreichbar.

Dies wiederholt sich dauerhaft.

Unser Sophos Partner weiß auch keine Lösung und von Seitens der Telekom kommt die aussage sie blocken nicht und müsse funktionieren.

Die Cisco Switche sind gleich Konfiguriert und die Leitungen wurden auch ausgetauscht um defekte Kabel auszuschließen.



This thread was automatically locked due to age.
  • 0

    Das Meiste dürfte an den Cisco Switches zu sehen sein.

    Steht da im log nur "port down" oder noch etwas mehr?

    Ist der Port "physikalisch" down? (gehen die LED an FW und/oder switch aus?

    Dann würde ich auf eine Befindlichkeit am Cisco switch tippen, welche den port "errordisabled".

    Wie ist der Port konfiguriert? (LACP/VLAN/Bridge/...)

    Was passiert, wenn ein anderer Switch dazwischengeschaltet wird?

    Falls doch etwas an der Port-Physik defekt ist ... und sich deshalb aus thermischen Gründen nach 10 Minuten abschaltet ... passiert das mit einem anderen Port auch?

    PS ... ihr leitet LAN & WAN über den gleichen Switch?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    An den Switchen geht nichts Down weder physikalisch noch logisch alles grün.

    XGS Port2 Telekom

    XGS Port7 SWU 

    Es betrifft nur den XGS Port2 der Sophos im Raum 2 die andern Port laufen durchgehend ohne Probleme.

    Bei den Cisco switchen diese sind beide Baugleich und 1zu1 gleich konfiguriert.

    Interface status auf den Switchen auch dauerhaft Up kein err-diabled oder ähnliches.

    Sind in einem getrennten VLAN welches nur für die WAN Kommunikation Eingerichtet ist.

  • 0 in reply to EDV Ulmerfleisch

    Das HA nutzt virtual MACs: https://doc.sophos.com/nsg/sophos-firewall/19.5/help/en-us/webhelp/onlinehelp/HighAvailablityStartupGuide/AboutHA/HAArchitecture/index.html

    Das bedeutet, wenn das TakeOver passiert, übernimmt die zweite Appliance mit der vMAC und der vIP die Kommunikation.

    Das mögen oft Switches nicht: Das heißt, sie fangen an, das als Spoofing zu blockieren.

    Du kannst mal probieren: 

    Im HA gibt es die Option: 

    Damit schwenkt das HA zurück auf die Physikalische MAC zurück (das heißt beide Appliances nutzen ihre MAC und nur die virtuelle IP). 

    Wenn du das aktivierst, hast du kurz einen Ausfall! 

    Manchmal hilft das bei Switch Problemen. 

    __________________________________________________________________________________________________________________

Unfiltered HTML