{"id":2121,"date":"2011-08-10T18:59:00","date_gmt":"2011-08-10T16:59:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/multi-wan-konflikt-mit-zwei-redundanten-cisco-hsrp-router-paaren-2\/"},"modified":"2016-08-23T15:26:24","modified_gmt":"2016-08-23T13:26:24","slug":"multi-wan-konflikt-mit-zwei-redundanten-cisco-hsrp-router-paaren-2","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2011\/08\/multi-wan-konflikt-mit-zwei-redundanten-cisco-hsrp-router-paaren-2\/","title":{"rendered":"Multi-WAN Konflikt mit zwei redundanten Cisco HSRP Router-Paaren"},"content":{"rendered":"

Das Debugging einer problembehafteten HA Umgebung aus zwei X750e mit Fireware XTM 11.3.2 (ich betrachte diese Version derzeit f\u00fcr Cluster aus X Core \/ Peak e-series am stabilsten) hat heute einen netten Sonderfall aufgezeigt, der f\u00fcr die St\u00f6rungen sicher mitverantwortlich war:
\n
Der Kunde betreibt schon seit vielen Jahren ein WatchGuard VPN mit ca. 40 Au\u00dfenstellen. Wie so oft hat in der Vergangenheit daf\u00fcr eine einzelne Company Connect<\/span> Anbindung der Telekom mit 2 Mbit\/s gereicht. Diese Leitung war mit redundanten Cisco-Routern<\/span> und zudem einer Zweiwegef\u00fchrung<\/span> ausgestattet. Der Kunde hatte nun bei der Telekom eine weitere Company Connect Anbindung beauftragt, mit 34 Mbit\/s und ebenfalls redundanten Cisco-Routern und Zweiwegef\u00fchrung. Auf der WatchGuard waren diese beiden Anbindungen als Multi-WAN<\/span> konfiguriert – im Failover-Modus.
\n
Bei einem Routine-Check des “Status Report” im Firebox System Manager ist mir in der ARP Table<\/span> der WatchGuard aufgefallen, dass dort beide vorgelagerten Router-Paare<\/span> (2 Mbit an eth0 und 34 Mbit an eth1) mit der gleichen Hardware MAC Adresse 00:00:0C:07:AC:01 aufgef\u00fchrt waren<\/span>.<\/p>\n

\"\"id=\"BLOGGER_PHOTO_ID_5639281561712286034\"<\/a><\/p>\n

Recherche hat ergeben, dass dies eine virtuelle MAC-Adresse<\/span> ist, die von redundanten Cisco-Routern<\/span> im HSRP Modus<\/span> verwendet wird – und zwar dann, wenn auf den Routern die HSRP Group ID = 1<\/span> eingestellt ist. Offenbar hat der ISP also beide Router-Paare (da verschiedene Einzelauftr\u00e4ge) per Default mit der gleichen HSRP Group versehen… Das wird auch erst dann zum Problem, wenn beide Leitungen wie im vorliegenden Fall an das gleiche System angeschlossen werden. Die Auswirkungen kann man sich ausmalen.
\n
Ein Support Call bei der Telekom hat dazu gef\u00fchrt, dass ein Router-Paar auf die HSRP Group ID = 2<\/span> eingestellt wurde, wodurch sich die virtuelle MAC-Adresse auf 00:00:0C:07:AC:02<\/span> ge\u00e4ndert hat und nunmehr aus Sicht der WatchGuard die Interfaces sauber konfiguriert sind:<\/p>\n

\"\"id=\"BLOGGER_PHOTO_ID_5639281565025688082\"<\/a>
<\/p>\n","protected":false},"excerpt":{"rendered":"

Das Debugging einer problembehafteten HA Umgebung aus zwei X750e mit Fireware XTM 11.3.2 (ich betrachte diese Version derzeit f\u00fcr Cluster aus X Core \/ Peak e-series am stabilsten) hat heute einen netten Sonderfall aufgezeigt, der f\u00fcr die St\u00f6rungen sicher mitverantwortlich war: Der Kunde betreibt schon seit vielen Jahren ein WatchGuard VPN mit ca. 40 Au\u00dfenstellen. Wie so oft hat in der Vergangenheit daf\u00fcr eine einzelne … Weiterlesen Multi-WAN Konflikt mit zwei redundanten Cisco HSRP Router-Paaren<\/span> »<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[86,146,290,276,283,129,291,292,346,74,273,279],"class_list":["post-2121","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-cluster","tag-debugging","tag-failover","tag-firebox-system-manager","tag-fireware-xtm","tag-high-availability","tag-konfiguration","tag-konfigurationsdatei","tag-monitoring","tag-multi-wan","tag-vpn","tag-wsm"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2121"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2121"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2121\/revisions"}],"predecessor-version":[{"id":2349,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2121\/revisions\/2349"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2121"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2121"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2121"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}