Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 5 subscribers
  • Views 456 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

XG2100 HA-Cluster Alias auf dem management-Interface

Nomics Klinikum

Hallo,

ich wünsche allen ein frohes neues Jahr.

Ist es möglich bei einem XG 2100 HA-Cluster auf dem LAG0-Interface ein Alias im gleichen Netzwerk zu vergeben?Also quasi eine Loopback-IP aus dem gleichen /24er Netz.

Auf dem Cluster läuft das Release 19.5.

Auf dem LAG0-Interface liegt auch der Managment-Zugang zum Cluster und der gesamte produktive Traffic geht über das Interface. Falls es nicht geht, verliere ich den Zugang zum Cluster und eventuell bricht auch der produktive Traffic zusammen.

Der HA-Cluster soll nur unter der IP-Adresse erreichbar werden.

Schon mal Danke im Voraus für die Unterstützung

Rolf



This thread was automatically locked due to age.
Parents
  • 0

    Du kannst grundsätzlich ein Management Interface anlegen. Dieses Interface kann überall liegen. 

    Das ist die sogenannte Peer Administration IP. Darüber kommst du auf die AUX Appliance.

    Die Haupt Appliance ist erreichbar über alle Gateway IPs, die du hast, solltest du die Zone in ACLs freigegeben haben. 

    Ein zusätzliches Alias Interface macht in der Regel nicht viel Sinn, wenn du sowieso ein Interface in dem Netzwerk hast. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hallo Lucar,

    vielen Dank. Die Idee habe ich mittlerweile wieder verworfen, weil sie wirklich nicht viel Sinn macht und leider auch nicht supportet wird.

    Der Hintergrund meiner Frage kommt aus der folgenden Situation:

    Bei unserem Kunden müssen die IP-Adressen eines laufenden HA-Clusters (XG2100 mit Release 19.5) geändert werden. Die neuen IPs liegen im gleichen Netz /24.

    Ich suche aktuell einen Weg um die Änderung im laufenden HA-Betrieb zu machen.

    Im HA-Modus komme ich nicht an die passive Maschine, daher denke ich aktuell drüber nach, nur auf der aktiven Maschine die IP zu ändern. Also die bestehende IP-Adresse auf dem LAG0-Interface gegen die neue zu ändern.

    Ich gehe davon aus, das ich mit dem Speichern den Management-Zugang auf das Cluster verliere und das auch der produktive Traffic ins Leere geht. Falls aber der Cluster danach unter der neuen IP-Adresse erreichbar wäre, könnte parallel die interne Firewall auf die neue IP des Cluster geändert werden und alles wäre wieder okay.

    Rolf

  • 0 in reply to Nomics Klinikum

    Über Central Management kommst du immer auf die Weboberfläche, egal welche IP du hast. Dafür sorgt das WAN Interface und Central. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Das Cluster bedient aktuell nur REDs und hat kein WAN-Interface.

    Das LAG0-Interface ist quasi das einzige Interface. Der externe Traffic von den REDs wird auf einer exterenn Firewall genattet und dann auf das LAG0-Interface geroutet.

    Daher denke ich, das ich den Management-Zugang verliere und auch der produktve Traffic betroffen ist. Die alte  IP-Adresse ist nach der Änderung nicht mehr vorhanden.

    Rolf

  • 0 in reply to Nomics Klinikum

    Nur REDs aber kein Internet? Also USB Deployed REDs über MPLS?

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    RED Deployment über den Sophos Service, also über das Internet. Die Default Route zeigt auf die externe Firewall und kann darüber ins Internet. Die externe Firewall hat das Interface auch im /24er Netz.

    Rolf

  • 0 in reply to Nomics Klinikum

    Hallo Lucar,

    aktuell sehe ich keinen Weg die IP-Adressen im laufenden HA-Modus zu ändern.

    Ich werde zuerst den HA-Modus deaktivieren müssen und dann jeweils bei beiden Maschinen die IP-Adressen auf den LAG-Interface ändern.

    Danach HA wieder aktivieren.

    Das scheint das einzig zielführende Verfahren zu sein.

    Rolf

Reply
  • 0 in reply to Nomics Klinikum

    Hallo Lucar,

    aktuell sehe ich keinen Weg die IP-Adressen im laufenden HA-Modus zu ändern.

    Ich werde zuerst den HA-Modus deaktivieren müssen und dann jeweils bei beiden Maschinen die IP-Adressen auf den LAG-Interface ändern.

    Danach HA wieder aktivieren.

    Das scheint das einzig zielführende Verfahren zu sein.

    Rolf

Children
  • 0 in reply to Nomics Klinikum

    Hallo Rolf,

    ich verstehe nicht ganz. Du hast aktiv/passiv HA? Den Cluster auseinanderzureißen bringt garnichts.

    Bei HA machst du alle Änderungen nur über den Master. Diese werden dann über den HA-link auf den Slave gesynct.

    Am Slave gibt es keine Einstellungen, wenn HA erst mal aktiv ist. (Du kannst am Master eine IP für den Slave konfigurieren, um diesen zu überwachen... mehr macht dort nicht Sinn)

    Wenn ich eine schwerwiegende Änderung am einzigen zugänglichen Port mache, lege ich vorher ein Notinterface an.

    Das kommt in einen eigenen Adressbereich und ich aktiviere manchmal auch DCHP da drauf.

    Dann kann ich/der Kunde mit einem Notebook direkt an diesen Port (am jeweiligen Master). 

    Bestenfalls die Änderung gleich von dort aus machen. Sicher ist sicher..


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,

    melde mich mit einer PM.

    Rolf

Unfiltered HTML