Checkpoint CLusterXL pakiety HA

wszystko inne - NIE licząc sprzętu typu SOHO!!!
Wiadomość
Autor
martino76
CCIE
CCIE
Posty: 883
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

Checkpoint CLusterXL pakiety HA

#1

#1 Post autor: martino76 »

Witam,

Podłączyłem CP FW do ASA i widzę na ASA i zauważyłem następujące logi gdzie source byl 0.0.0.0 a destination localny subnet na jednym z jterfejsow na ASA

Kod: Zaznacz cały

%ASA-2-106016: Deny IP spoof from (IP_address) to IP_address on 
interface interface_name.
Zrobiłem packet capture by dowiedzieć się więcej i okazało się, ze to CP wysyła co 10ms pakiety Check Point High Availability Protocol na port 8166.

Czy jest możliwość wyłączenia tego, mam dedykowany link pomiędzy dwoma checkpointami do synchronizacji i zastanawiam się po cholerę CP wysyła tyle tych pakietów. ASA pluje logami o spoofing jak szalona.

Interfejs w stronę ASA w topologi checkpoint mam ustawiony jako cluster plus VIP.


Pozdro,

Lepie_pierogi
fresh
fresh
Posty: 3
Rejestracja: 19 gru 2015, 09:53

#2

#2 Post autor: Lepie_pierogi »

Wygląda mi to na CP Clustering Protocol przestawiony z domyślnego trybu multicast na broadcast. No chyba że masz tam jakąś mega starą wersję CP, to zdaje się jesteś skazany na broadcast. SK20576 opisuje co trzeba zrobić żeby to sprawdzić i zmienić: https://supportcenter.checkpoint.com/su ... id=sk20576 A jeśli to nie to, to nie mam pojęcia. Ogólnie wiele problemów z FW CP rozwiązuje... reboot :)

ODPOWIEDZ