CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 20 kwie 2018, 03:09

Strefa czasowa UTC+02:00




Nowy temat  Odpowiedz w temacie  [ Posty: 4 ] 
Autor Wiadomość
Post #1 : 17 kwie 2018, 10:37 
Offline
member
member

Rejestracja: 15 paź 2017, 13:46
Posty: 31
Witam,

Mam problem z linkiem "failover" pomiędzy dwoma ASA 5580-40 które są skonfigurowane w trybie Active/Standby.

Obecnie failover link jest połączony przez switch Catalyst 6509. Ponieważ jednak ten switch jest wymieniany na Juniper QFX 5110 to te linki chcę zmigrować do Junipera.

No i podczas wczorajszego maintenance nastąpił klops.

Połączenie pomiędzy ASA a switchem Juniper nie działa po prostu, po stronie switcha mam port w stanie up/up a po stronie ASA jest martwica.

Oto konfiguracja po stronie Cisco ASA.
Kod:
interface GigabitEthernet3/0
 description LAN/STATE Failover Interface

failover
failover lan unit secondary
failover lan interface failover GigabitEthernet3/0
failover replication http
failover link failover GigabitEthernet3/0
failover interface ip failover 1.1.1.1 255.255.255.252 standby 1.1.1.2
Ponieważ w starej konfiguracji połączenia Gi3/0 -> Catalyst 6509 użyto VLANu na portach postanowiłem także użyć tego w Juniperze i tak skonfigurowałem porty na Junku.
Kod:
    ge-1/0/16 {
        unit 0 {
            family ethernet-switching {
                interface-mode access;
                vlan {
                    members 993;
                }
            }
        }
    }
Na starej konfiguracji na Catalyst 6509 konfiguracja portu po stronie switcha była następująca.
Kod:
interface GigabitEthernet1/8/48
 description asa5580-1-failover
 switchport
 switchport access vlan 993
 switchport mode access
No i teraz pytanie czy miał z was ktoś taki problem ?

Obecnie mam fizycznie kabel światłowodowy MM pomiędzy
Cisco ASA Gi3/0 <-> Juniper QFX5110 ge-1/0/16
Statusy portów są następujące:

ASA
Kod:
ASA5580# sh int Gi3/0 detail
Interface GigabitEthernet3/0 "failover", is down, line protocol is down
  Hardware is i82571EB 4F rev06, BW 1000 Mbps, DLY 1000 usec
        Auto-Speed
        Input flow control is unsupported, output flow control is off
        Description: LAN/STATE Failover Interface
        MAC address 0015.17bc.1af0, MTU 1500
        IP address 1.1.1.2, subnet mask 255.255.255.252
        2287710350 packets input, 2637596136496 bytes, 0 no buffer
        Received 411 broadcasts, 0 runts, 0 giants
        129876 input errors, 0 CRC, 3 frame, 129873 overrun, 0 ignored, 0 abort
        0 pause input, 0 resume input
        0 L2 decode drops
        14937362312 packets output, 17561766942776 bytes, 0 underruns
        0 pause output, 0 resume output
        0 output errors, 0 collisions, 5 interface resets
        0 late collisions, 0 deferred
        0 input reset drops, 0 output reset drops
        input queue (blocks free curr/low): hardware (255/255)
        output queue (blocks free curr/low): hardware (255/255)
  Control Point Interface States:
        Interface number is 10
        Interface config status is active
        Interface state is not active
Juniper
Kod:
root@cvc> show interfaces ge-1/0/16
Physical interface: ge-1/0/16, Enabled, Physical link is Up
  Interface index: 797, SNMP ifIndex: 851
  Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 1000mbps, BPDU Error: None,
  Loop Detect PDU Error: None, Ethernet-Switching Error: None, Source filtering: Disabled
  Ethernet-Switching Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Flow control: Disabled,
  Auto-negotiation: Enabled, Remote fault: Online, Media type: Fiber,
  IEEE 802.3az Energy Efficient Ethernet: Disabled, Auto-MDIX: Enabled
  Device flags   : Present Running
  Interface flags: SNMP-Traps Internal: 0x4000
  Link flags     : None
  CoS queues     : 12 supported, 12 maximum usable queues
  Current address: d0:07:ca:44:c2:d3, Hardware address: d0:07:ca:44:c2:d3
  Last flapped   : 2018-04-17 00:44:19 CEST (09:51:17 ago)
  Input rate     : 0 bps (0 pps)
  Output rate    : 0 bps (0 pps)
  Active alarms  : None
  Active defects : None
  PCS statistics                      Seconds
    Bit errors                             0
    Errored blocks                         0
  Ethernet FEC statistics              Errors
    FEC Corrected Errors                    0
    FEC Uncorrected Errors                  0
    FEC Corrected Errors Rate               0
    FEC Uncorrected Errors Rate             0
  PRBS Statistics : Disabled
  Interface transmit statistics: Disabled

  Logical interface ge-1/0/16.0 (Index 693) (SNMP ifIndex 852)
    Flags: Up SNMP-Traps 0x24024000 Encapsulation: Ethernet-Bridge
    Input packets : 0
    Output packets: 1377
    Protocol eth-switch, MTU: 1514
Widać że Junek coś "wysyła" w kierunku ASA, ale ASA kompletnie nic. Zauważalna jest różnica w MTU ale nawet zmiana MTU na 1500 po stronie Junka nic nie zmienia. Po prostu Layer 1 nie jest nawet zestawiony, ale dlaczego ??

Druga sprawa, czy może alternatywą było by połączenie portów failover BEZPOŚREDNIO bez pośredniczących switchy ? Bo mam taką możliwość, tylko czy jest to zalecana konfiguracja ?


Na górę
Post #2 : 17 kwie 2018, 10:44 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 31 paź 2008, 16:05
Posty: 1626
Lokalizacja: UK
Czesc,

Dlaczego nie podlaczysz tego bezposrednio?
Kod:
You can use any unused Ethernet interface on the device as the failover link; however, you cannot specify an interface that is currently configured with a name. The LAN failover link interface is not configured as a normal networking interface; it exists for failover communication only. This interface should only be used for the LAN failover link (and optionally for the Stateful Failover link).

Connect the LAN failover link in one of the following two ways:

•Using a switch, with no other device on the same network segment (broadcast domain or VLAN) as the LAN failover interfaces of the ASA.

•Using a crossover Ethernet cable to connect the appliances directly, without the need for an external switch.

_________________
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Do you have questions about CCIE.pl board ?
Just mail me :) patryk@ccie.pl


Na górę
Post #3 : 17 kwie 2018, 16:34 
Offline
CCIE
CCIE
Awatar użytkownika

Rejestracja: 06 maja 2005, 01:32
Posty: 1397
Lokalizacja: Dortmund, DE
Jak masz mozliwosc to polacz je bezposrednio, bez switcha pomiedzy. Padniecie switcha nie rozwali ci pary HA. Btw, na jupku mozesz przeciez odpalic tcpdump i podgladnac co nie tak z ruchem.

Pozdruffka!

_________________
Never stop exploring :)


Na górę
Post #4 : 17 kwie 2018, 23:31 
Offline
member
member

Rejestracja: 15 paź 2017, 13:46
Posty: 31
No odpaliłem tcpdumpa i Junek wysyła LLDP a Cisco milczy.

Ale już chyba rozumiem problem, dziś byłem przeprowadzić sekcję tego "Failed" ASA i okazało się że był w stanie gdzie nie dało się do niego podłączyć (tak jak by zamarł), no więc zrobiłem power cycle całego firewall'a, no i już nieborak się nie podniósł.

Więc może to by tłumaczyło dlaczego link failover się nie podnosił. Chyba.

W każdym razie jedna z ASA odeszła w spokoju.

Ponieważ ten model jest już EoL to czeka mnie wybór nowej pary firewalli.


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 4 ] 

Strefa czasowa UTC+02:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 0 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl