Cisco ASA failover link

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
h33ren
member
member
Posty: 49
Rejestracja: 15 paź 2017, 13:46

Cisco ASA failover link

#1

#1 Post autor: h33ren »

Witam,

Mam problem z linkiem "failover" pomiędzy dwoma ASA 5580-40 które są skonfigurowane w trybie Active/Standby.

Obecnie failover link jest połączony przez switch Catalyst 6509. Ponieważ jednak ten switch jest wymieniany na Juniper QFX 5110 to te linki chcę zmigrować do Junipera.

No i podczas wczorajszego maintenance nastąpił klops.

Połączenie pomiędzy ASA a switchem Juniper nie działa po prostu, po stronie switcha mam port w stanie up/up a po stronie ASA jest martwica.

Oto konfiguracja po stronie Cisco ASA.

Kod: Zaznacz cały

interface GigabitEthernet3/0
 description LAN/STATE Failover Interface

failover
failover lan unit secondary
failover lan interface failover GigabitEthernet3/0
failover replication http
failover link failover GigabitEthernet3/0
failover interface ip failover 1.1.1.1 255.255.255.252 standby 1.1.1.2
Ponieważ w starej konfiguracji połączenia Gi3/0 -> Catalyst 6509 użyto VLANu na portach postanowiłem także użyć tego w Juniperze i tak skonfigurowałem porty na Junku.

Kod: Zaznacz cały

    ge-1/0/16 {
        unit 0 {
            family ethernet-switching {
                interface-mode access;
                vlan {
                    members 993;
                }
            }
        }
    }
Na starej konfiguracji na Catalyst 6509 konfiguracja portu po stronie switcha była następująca.

Kod: Zaznacz cały

interface GigabitEthernet1/8/48
 description asa5580-1-failover
 switchport
 switchport access vlan 993
 switchport mode access
No i teraz pytanie czy miał z was ktoś taki problem ?

Obecnie mam fizycznie kabel światłowodowy MM pomiędzy
Cisco ASA Gi3/0 <-> Juniper QFX5110 ge-1/0/16
Statusy portów są następujące:

ASA

Kod: Zaznacz cały

ASA5580# sh int Gi3/0 detail
Interface GigabitEthernet3/0 "failover", is down, line protocol is down
  Hardware is i82571EB 4F rev06, BW 1000 Mbps, DLY 1000 usec
        Auto-Speed
        Input flow control is unsupported, output flow control is off
        Description: LAN/STATE Failover Interface
        MAC address 0015.17bc.1af0, MTU 1500
        IP address 1.1.1.2, subnet mask 255.255.255.252
        2287710350 packets input, 2637596136496 bytes, 0 no buffer
        Received 411 broadcasts, 0 runts, 0 giants
        129876 input errors, 0 CRC, 3 frame, 129873 overrun, 0 ignored, 0 abort
        0 pause input, 0 resume input
        0 L2 decode drops
        14937362312 packets output, 17561766942776 bytes, 0 underruns
        0 pause output, 0 resume output
        0 output errors, 0 collisions, 5 interface resets
        0 late collisions, 0 deferred
        0 input reset drops, 0 output reset drops
        input queue (blocks free curr/low): hardware (255/255)
        output queue (blocks free curr/low): hardware (255/255)
  Control Point Interface States:
        Interface number is 10
        Interface config status is active
        Interface state is not active
Juniper

Kod: Zaznacz cały

root@cvc> show interfaces ge-1/0/16
Physical interface: ge-1/0/16, Enabled, Physical link is Up
  Interface index: 797, SNMP ifIndex: 851
  Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 1000mbps, BPDU Error: None,
  Loop Detect PDU Error: None, Ethernet-Switching Error: None, Source filtering: Disabled
  Ethernet-Switching Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Flow control: Disabled,
  Auto-negotiation: Enabled, Remote fault: Online, Media type: Fiber,
  IEEE 802.3az Energy Efficient Ethernet: Disabled, Auto-MDIX: Enabled
  Device flags   : Present Running
  Interface flags: SNMP-Traps Internal: 0x4000
  Link flags     : None
  CoS queues     : 12 supported, 12 maximum usable queues
  Current address: d0:07:ca:44:c2:d3, Hardware address: d0:07:ca:44:c2:d3
  Last flapped   : 2018-04-17 00:44:19 CEST (09:51:17 ago)
  Input rate     : 0 bps (0 pps)
  Output rate    : 0 bps (0 pps)
  Active alarms  : None
  Active defects : None
  PCS statistics                      Seconds
    Bit errors                             0
    Errored blocks                         0
  Ethernet FEC statistics              Errors
    FEC Corrected Errors                    0
    FEC Uncorrected Errors                  0
    FEC Corrected Errors Rate               0
    FEC Uncorrected Errors Rate             0
  PRBS Statistics : Disabled
  Interface transmit statistics: Disabled

  Logical interface ge-1/0/16.0 (Index 693) (SNMP ifIndex 852)
    Flags: Up SNMP-Traps 0x24024000 Encapsulation: Ethernet-Bridge
    Input packets : 0
    Output packets: 1377
    Protocol eth-switch, MTU: 1514
Widać że Junek coś "wysyła" w kierunku ASA, ale ASA kompletnie nic. Zauważalna jest różnica w MTU ale nawet zmiana MTU na 1500 po stronie Junka nic nie zmienia. Po prostu Layer 1 nie jest nawet zestawiony, ale dlaczego ??

Druga sprawa, czy może alternatywą było by połączenie portów failover BEZPOŚREDNIO bez pośredniczących switchy ? Bo mam taką możliwość, tylko czy jest to zalecana konfiguracja ?
CCNA R&S | CCNA Sec

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: Cisco ASA failover link

#2

#2 Post autor: PatrykW »

Czesc,

Dlaczego nie podlaczysz tego bezposrednio?

Kod: Zaznacz cały

You can use any unused Ethernet interface on the device as the failover link; however, you cannot specify an interface that is currently configured with a name. The LAN failover link interface is not configured as a normal networking interface; it exists for failover communication only. This interface should only be used for the LAN failover link (and optionally for the Stateful Failover link).

Connect the LAN failover link in one of the following two ways:

•Using a switch, with no other device on the same network segment (broadcast domain or VLAN) as the LAN failover interfaces of the ASA.

•Using a crossover Ethernet cable to connect the appliances directly, without the need for an external switch.
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Cisco ASA failover link

#3

#3 Post autor: drake »

Jak masz mozliwosc to polacz je bezposrednio, bez switcha pomiedzy. Padniecie switcha nie rozwali ci pary HA. Btw, na jupku mozesz przeciez odpalic tcpdump i podgladnac co nie tak z ruchem.

Pozdruffka!
Never stop exploring :)

https://iverion.de

h33ren
member
member
Posty: 49
Rejestracja: 15 paź 2017, 13:46

Re: Cisco ASA failover link

#4

#4 Post autor: h33ren »

No odpaliłem tcpdumpa i Junek wysyła LLDP a Cisco milczy.

Ale już chyba rozumiem problem, dziś byłem przeprowadzić sekcję tego "Failed" ASA i okazało się że był w stanie gdzie nie dało się do niego podłączyć (tak jak by zamarł), no więc zrobiłem power cycle całego firewall'a, no i już nieborak się nie podniósł.

Więc może to by tłumaczyło dlaczego link failover się nie podnosił. Chyba.

W każdym razie jedna z ASA odeszła w spokoju.

Ponieważ ten model jest już EoL to czeka mnie wybór nowej pary firewalli.
CCNA R&S | CCNA Sec

ODPOWIEDZ