Im Normalbetrieb kann man ja f\u00fcr jedes Firewall-Interface die Ethernet Geschwindigkeit (10\/100\/1000 Mbit) und Full Duplex bzw. Half Duplex \u00fcber Network > Configuration<\/i> manuell einstellen, wobei aber in der Regel die Einstellung “Auto Negotiate” beibehalten werden sollte, solange keine Ethernet Errors und Collisions offensichtlich sind. Im HA Cluster-Betrieb<\/b> k\u00f6nnen die NIC Einstellungen<\/b> auf dem\/den “Cluster-Interface(s)<\/b>“, mit denen die Boxen direkt miteinander verbunden sind, jedoch NICHT manuell beeinflusst werden<\/b>! Im Regelfall befinden sich beide Cluster Member direkt beieinander und sind mit einem normalen Patchkabel (1:1 oder Cross-Over) verbunden. In manchen Installationen befinden sich die beiden Cluster-Boxen aber in verschiedenen R\u00e4umen\/Rechenzentren und sind teilweise mehrere Hundert Meter weit voneinander entfernt. Bei diesen Entfernungen kommen dann Querverbindungen zum Einsatz, die auf LWL\/Glasfaser-Technik basieren. Je nachdem wie die Netzwerk-Infrastruktur an beiden Lokationen aussieht und wie viele freie LWL-Fasern zur Verf\u00fcgung stehen, werden die Interfaces der beiden Fireboxen dann entweder direkt miteinander verbunden (\u00fcber LWL-Medienkonverter) – oder \u00fcber VLANs, die auf entsprechenden Switchen an beiden Lokationen konfiguriert sind. In beiden F\u00e4llen hatte ich nun in der Praxis bereits F\u00e4lle, dass speziell die HA-Verbindung (Cluster Interface)<\/b> zwischen den beiden Boxen Probleme bereitet hat und Ethernet Errors und Collisions<\/b> auftraten. Teilweise konnten die beteiligten externen Netzwerk-Komponenten (=Medien-Konverter) nicht auf einen festen Wert eingestellt werden oder es gab nach wie vor Probleme, egal auf welche Werte das Interface auf dem beteiligten VLAN-Switch (z.B. HP) eingestellt war. Hier kann dann nur \u00fcber die WatchGuard versucht werden, das Problem abzustellen. Aber wie gesagt, f\u00fcr das Cluster Interface lassen sich keine festen Werte \u00fcber die GUI einstellen<\/b>. Also muss hier mal wieder ein Texteditor<\/b> und ein manueller Eingriff in die XML-Konfigurationsdatei<\/b> ran… \ud83d\ude09<\/p>\n
Je nachdem, wie bzw. wie oft das betreffende Interface vorher schon mal konfiguriert war, findet sich in der Konfig-Datei dann folgende Stelle:<\/p>\n[Schnipp] (f\u00fcr die Ansicht hier “<\" und \">” durch “{” und “}” ersetzt)<\/p>\n
{interface}
{name}Optional-5{\/name}
{description \/}
{property}0{\/property}
{if-item-list}
{item}
{item-type}1{\/item-type}
{physical-if}
{if-num}6{\/if-num}
{enabled}1{\/enabled}
{if-property}4{\/if-property}
{ip}0.0.0.0{\/ip}
{netmask}255.255.255.255{\/netmask}
{mtu}1500{\/mtu}
{auto-negotiation}1{\/auto-negotiation}<\/b>
{link-speed}100{\/link-speed}<\/b>
{mac-address-enable}0{\/mac-address-enable}
{mac-address \/}
{full-duplex}1{\/full-duplex}<\/b><\/p>\n[Schnapp]\n
Die fett<\/b> markierten Stellen sprechen f\u00fcr sich und m\u00fcssen eben entsprechend h\u00e4ndisch angepasst<\/b> werden, also Auto Negotiation ausschalten (=0) und die entsprechenden Werte f\u00fcr Link Speed und Full Duplex an (=1) bzw. aus (=0) einstellen. Anschlie\u00dfend kann die XML-Datei gespeichert und auf die Firebox hochgeladen werden. Im Policy Manager unter Network > Configuration<\/i> wird dann auch die \u00c4nderung des “NIC Speed” angezeigt (also z.B. 100 Mbit Full Duplex)…<\/p>\n","protected":false},"excerpt":{"rendered":"
Im Normalbetrieb kann man ja f\u00fcr jedes Firewall-Interface die Ethernet Geschwindigkeit (10\/100\/1000 Mbit) und Full Duplex bzw. Half Duplex \u00fcber Network > Configuration manuell einstellen, wobei aber in der Regel die Einstellung “Auto Negotiate” beibehalten werden sollte, solange keine Ethernet Errors und Collisions offensichtlich sind. Im HA Cluster-Betrieb k\u00f6nnen die NIC Einstellungen auf dem\/den “Cluster-Interface(s)“, mit denen die Boxen direkt miteinander verbunden sind, jedoch NICHT … Weiterlesen NIC Einstellungen auf dem Cluster Interface per Hand \u00e4ndern<\/span>