Mam problem z linkiem "failover" pomiędzy dwoma ASA 5580-40 które są skonfigurowane w trybie Active/Standby.
Obecnie failover link jest połączony przez switch Catalyst 6509. Ponieważ jednak ten switch jest wymieniany na Juniper QFX 5110 to te linki chcę zmigrować do Junipera.
No i podczas wczorajszego maintenance nastąpił klops.
Połączenie pomiędzy ASA a switchem Juniper nie działa po prostu, po stronie switcha mam port w stanie up/up a po stronie ASA jest martwica.
Oto konfiguracja po stronie Cisco ASA.
Kod: Zaznacz cały
interface GigabitEthernet3/0
description LAN/STATE Failover Interface
failover
failover lan unit secondary
failover lan interface failover GigabitEthernet3/0
failover replication http
failover link failover GigabitEthernet3/0
failover interface ip failover 1.1.1.1 255.255.255.252 standby 1.1.1.2
Kod: Zaznacz cały
ge-1/0/16 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 993;
}
}
}
}
Kod: Zaznacz cały
interface GigabitEthernet1/8/48
description asa5580-1-failover
switchport
switchport access vlan 993
switchport mode access
Obecnie mam fizycznie kabel światłowodowy MM pomiędzy
Cisco ASA Gi3/0 <-> Juniper QFX5110 ge-1/0/16
Statusy portów są następujące:
ASA
Kod: Zaznacz cały
ASA5580# sh int Gi3/0 detail
Interface GigabitEthernet3/0 "failover", is down, line protocol is down
Hardware is i82571EB 4F rev06, BW 1000 Mbps, DLY 1000 usec
Auto-Speed
Input flow control is unsupported, output flow control is off
Description: LAN/STATE Failover Interface
MAC address 0015.17bc.1af0, MTU 1500
IP address 1.1.1.2, subnet mask 255.255.255.252
2287710350 packets input, 2637596136496 bytes, 0 no buffer
Received 411 broadcasts, 0 runts, 0 giants
129876 input errors, 0 CRC, 3 frame, 129873 overrun, 0 ignored, 0 abort
0 pause input, 0 resume input
0 L2 decode drops
14937362312 packets output, 17561766942776 bytes, 0 underruns
0 pause output, 0 resume output
0 output errors, 0 collisions, 5 interface resets
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (blocks free curr/low): hardware (255/255)
output queue (blocks free curr/low): hardware (255/255)
Control Point Interface States:
Interface number is 10
Interface config status is active
Interface state is not active
Kod: Zaznacz cały
root@cvc> show interfaces ge-1/0/16
Physical interface: ge-1/0/16, Enabled, Physical link is Up
Interface index: 797, SNMP ifIndex: 851
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 1000mbps, BPDU Error: None,
Loop Detect PDU Error: None, Ethernet-Switching Error: None, Source filtering: Disabled
Ethernet-Switching Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Flow control: Disabled,
Auto-negotiation: Enabled, Remote fault: Online, Media type: Fiber,
IEEE 802.3az Energy Efficient Ethernet: Disabled, Auto-MDIX: Enabled
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 12 supported, 12 maximum usable queues
Current address: d0:07:ca:44:c2:d3, Hardware address: d0:07:ca:44:c2:d3
Last flapped : 2018-04-17 00:44:19 CEST (09:51:17 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 0
Errored blocks 0
Ethernet FEC statistics Errors
FEC Corrected Errors 0
FEC Uncorrected Errors 0
FEC Corrected Errors Rate 0
FEC Uncorrected Errors Rate 0
PRBS Statistics : Disabled
Interface transmit statistics: Disabled
Logical interface ge-1/0/16.0 (Index 693) (SNMP ifIndex 852)
Flags: Up SNMP-Traps 0x24024000 Encapsulation: Ethernet-Bridge
Input packets : 0
Output packets: 1377
Protocol eth-switch, MTU: 1514
Druga sprawa, czy może alternatywą było by połączenie portów failover BEZPOŚREDNIO bez pośredniczących switchy ? Bo mam taką możliwość, tylko czy jest to zalecana konfiguracja ?