Problem mit XG210 HA-Cluster a/p

Question

Hallo Community, 
 
 wir haben bei uns nun eine 2te Appliance installiert und diese &uuml;ber Quick-HA als Cluster-Prim&auml;r konfiguriert. 
 Portbelegung : 
 2x XG210 FW (18.5.2 Build380) mit 10G Flexiport-Modul 
 LAN = FlexiPortModul LAG -> 20000 Mbps - Full Duplex 
 Port 2 = WAN 1 100Mbit Telekom DSL (aktiv) 
 Port 3 = WAN 2 100Mbit Telekom DSL (aktiv) 
 Port 6 = Quick HA-Interface 
 
 Der gesamte Netzverkehr inkl. VLAN&acute;s wird von der Sophos geregelt. 
 Unser WLAN wird im B&uuml;rogeb&auml;ude ebenfalls &uuml;ber 3x 530er AP&acute;s und 3x 120er AP&acute;s bereitgestellt, die von der SophosFW gesteuert werden. 
 Beim Failover-Ttest haben wir die Prim&auml;re vom Strom getrennt, wodurch die 2te zwar &uuml;bernommen hat, aber nicht natlos. Erst nach etwa 5 Minuten war WLAN und Netzwerk von Clients wieder vollumf&auml;nglich nutzbar und die GUI erreichbar. Allerdings sind die WAN&acute;s inaktiv geblieben - sprich kein Internet. 
 Auch umstecken der Kabel vom WAN aus der ersten Appliance hat nichts gebracht. Sobald die 1te wieder verf&uuml;gbar ist, ist auch das WAN wieder aktiv. 
 Ebenfalls extrem komisch: Wenn das Failback zur Prim&auml;ren aktiv ist und diese zur&uuml;ckkommt, h&auml;tten wir etwa ein Timegap von etwa 10-12 Minuten bis alles wieder normal l&auml;uft. Denn erst wenn beide wieder sauber in den "Verf&uuml;gbar-Status" (Primary/Auxiliary) wechseln, ist alles wieder einwandfrei verf&uuml;gbar. &zwj;♀️ &zwj;♂️ 
 Auch der manuelle Wechsel &uuml;ber die GUI f&uuml;hrt zu diesem 5-min&uuml;tigen Ausfall. Das kann so doch nicht gewollt sein? 
 
 1. Frage: 
 Ist das Timegap von etwa 5 Minuten im Aktiv/Passiv-Cluster so normal? 
 2. Frage 
 Jemand eine Idee, weshalb die WAN-Ports auf der Prim&auml;ren nicht hochkommen und bei &Uuml;bernahme der Sekund&auml;ren kein Internet verf&uuml;gbar ist? 
 
 Hoffe hier gibt&acute;s Ideen zu dem Problem. 
 
 Danke vorab.

BeEf · Accepted Answer

Hallo, kannst Du bitte mal ein Bild mit der Verkabelung der Switche, VLANs, Firewall und Internetanbindung posten? Insbesondere: Sind die Switche gestackt oder standalone? Bei Aruba z.B. g&auml;be es schon mal 3 Anschlussm&ouml;glichkeiten: Portgruppe als Distributed Trunk an beiden Switchen Portgruppe als Trunk an jeweils einem Switch Switch als Stack konfiguriert. Sinnvoller aber nicht notwendigerweise Kabel der LAG an beiden Switchen angeschlossen. Ansonsten kann ich nur das beschriebene best&auml;tigen. Bei einem Failover wie z.B. Update oder manuell angesto&szlig;en gehen bei uns maximal 2 Pings verloren. Wir routen an den kleineren Standorten ebenfalls die Netze &uuml;ber die Firewall. Die Verf&uuml;gbarkeit des Webinterfaces dauert auch bei einer XG 550 einige Minuten und/oder ist sehr langsam. Der Internetzugang (&uuml;ber MPLS) ist ebenfalls sofort wieder verf&uuml;gbar. Falls sich die Ausfallzeit verifizieren l&auml;sst w&uuml;rde ich mal die ARP Tabelle in den beiden Switchen kurz nach dem Schwenk l&ouml;schen und schauen ob das dann schneller geht. Ebenfalls die Logfiles der Switche analysieren. 
 Falls ihr SD-WAN Regeln statt normaler Routen verwendet k&ouml;nnte es ebenfalls zu komischen Effekten kommen allerdings eher bei einem Reboot. Wir hatten k&uuml;rzlich durch einen Konfigurationsfehler ein fehlerhafte SD-WAN Regel (Quellnetz Any) implementiert. Die Firewall hat kurz funktioniert und nach 2-3 Minuten allen Verkehr inclusive Management in ein schwarzes Loch geschickt. Hier ist insbesondere auch die Routing Policy zu betrachten. Gru&szlig; BeEf

TON GmbH · Answer

Hallo, 
 Sorry f&uuml;r die sp&auml;te R&uuml;ckmeldung. 
 Wir haben jetzt umgesteckt und die Portgruppe je XG als Trunk an jeweils einem Switch und die Config entsprechend ge&auml;ndert. Jetzt funktioniert der Failover und wir hatten jetzt an einem unserer Ver ilerswitche einen max. Pingverlust von 600ms. Auch die SophosWLAN AP&acute;s haben jetzt ohne Ausfall funktioniert. Aber trotzdem ganz sch&ouml;n zickige Angelegenheit... 
 Die Geschichte mit dem WAN liegt vermutlich auch an den unmannaged-Switches. Ich habe an der Slave jetzt nur einen WAN Port gesteckt und lasse auch nur das LAG und diesen einen WAN-Port &uuml;berwachen, dann funktioniert auch der Failover mit WAN. Wir tauschen die Switche gegen managedSW mit Log und k&ouml;nnen dann auch pr&uuml;fen woran es liegt. 
 Vielen Dank f&uuml;r die Hilfe @all

Problem mit XG210 HA-Cluster a/p

Top Replies