Мобильный туннель разрывается после переключения HA анкера

Reply to Мобильный туннель разрывается после переключения HA анкера on Fri, 06 Mar 2026 20:41:14 GMT

srimal99 — Fri, 06 Mar 2026 20:41:14 GMT

Как упоминалось выше, вы можете опубликовать топологию и марку и модель брандмауэра с версией образа. Похоже, что проблема связана с брандмауэром.

Reply to Мобильный туннель разрывается после переключения HA анкера on Fri, 06 Mar 2026 20:41:13 GMT

cooperolivia919 — Fri, 06 Mar 2026 20:41:13 GMT

Обычно очистка сеанса UDP 16666 на брандмауэре или перезапуск этого соединения должны решить проблему с туннелем.

Reply to Мобильный туннель разрывается после переключения HA анкера on Fri, 06 Mar 2026 20:41:12 GMT

Mark Elsen — Fri, 06 Mar 2026 20:41:12 GMT

@tejas-veer
Вам действительно необходимо настроить
статический MAC-адрес мобильности
с помощью
wireless mobility mac-address ..
После
включения HA SSO Используйте следующие команды для устранения неполадок:
show wireless mobility summary
show wireless stats mobility
show wireless stats mobility messages
show platform hardware chassis active qfp feature wireless punt statistics Приложение: Проверьте конфигурацию
контроллера
C9800-L-F-K9 с помощью команды CLI
show tech wireless
и введите вывод этой команды в
Wireless Config Analyzer M. -- Пусть все происходит с вами
Красота и ужас
Просто продолжайте
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899)

Reply to Мобильный туннель разрывается после переключения HA анкера on Fri, 06 Mar 2026 20:41:11 GMT

Mark Elsen — Fri, 06 Mar 2026 20:41:11 GMT

@tejas-veer

Не могли бы вы поделиться изображением
«глобальной топологии»
, указав, где находится брандмауэр
и где находятся соединения брандмауэра с контроллерами , М. -- Пусть все происходит с тобой
Красота и ужас
Просто продолжай
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899)

Reply to Мобильный туннель разрывается после переключения HA анкера on Fri, 06 Mar 2026 20:41:10 GMT

tejas-veer — Fri, 06 Mar 2026 20:41:10 GMT

В деталях сеанса FW UDP я вижу
исходный
(иностранный WLC WMI интерфейс Mac) и
конечный
MAC-адрес (Anchor WMI интерфейс Mac).

Reply to Мобильный туннель разрывается после переключения HA анкера on Fri, 06 Mar 2026 20:41:09 GMT

Mark Elsen — Fri, 06 Mar 2026 20:41:09 GMT

@tejas-veer
Как вы определяете:
MAC-адрес назначения сеанса М. -- Пусть все происходит с тобой
Красота и ужас
Просто продолжай идти
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899)

Reply to Мобильный туннель разрывается после переключения HA анкера on Fri, 06 Mar 2026 20:41:08 GMT

tejas-veer — Fri, 06 Mar 2026 20:41:08 GMT

Вопрос! В сеансе FW, какой MAC-адрес в идеале должен рассматриваться как MAC-адрес назначения сеанса? Это должен быть MAC-адрес мобильности или MAC-адрес интерфейса WMI?

Reply to Мобильный туннель разрывается после переключения HA анкера on Fri, 06 Mar 2026 20:41:07 GMT

Enes Simnica — Fri, 06 Mar 2026 20:41:07 GMT

Да, это имеет смысл, по сути, FW поддерживает старую сессию. Вы можете исправить это, уменьшив тайм-аут UDP или ARP на FW для этого трафика, чтобы он автоматически обновлялся после переключения. Таким образом, нет необходимости очищать сессии вручную. Рад слышать, что проблема со статическим MAC-адресом решена... Надеюсь, это поможет... -Энес Еще Cisco?!
Еще спортзал?!
Если этот пост решил вашу проблему, пожалуйста, отметьте его как «Принятое решение». Буду очень признателен!

Reply to Мобильный туннель разрывается после переключения HA анкера on Fri, 06 Mar 2026 20:41:06 GMT

Mark Elsen — Fri, 06 Mar 2026 20:41:06 GMT

@tejas-veer

... Однако в сеансе FW отображается фактический MAC-адрес WMI
,
который
остается неизменным
даже после переключения WLC.
Это связано с вашим брандмауэром. Какая модель и производитель этого брандмауэра? М. -- Пусть все происходит с тобой
Красота и ужас
Просто продолжай
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899)

Reply to Мобильный туннель разрывается после переключения HA анкера on Fri, 06 Mar 2026 20:41:05 GMT

tejas-veer — Fri, 06 Mar 2026 20:41:05 GMT

Спасибо за ответ. Действительно, туннель устанавливается, когда существующий сеанс UDP завершается вручную. Есть ли способ добиться этого без ручного прерывания? Я настроил статический MAC-адрес на WLC mobilty. Однако в сеансе FW отображается фактический MAC-адрес WMI, который остается неизменным даже после переключения WLC.

Reply to Мобильный туннель разрывается после переключения HA анкера on Fri, 06 Mar 2026 20:41:04 GMT

Enes Simnica — Fri, 06 Mar 2026 20:41:04 GMT

Привет,
@tejas-veer
Это происходит потому, что после переключения HA MAC-адрес мобильности Anchor изменяется, но ваш брандмауэр продолжает отправлять трафик UDP/16666 на старый MAC-адрес. Поэтому новый туннель не формируется. Когда это происходит, я всегда пытаюсь: Очистить сессию брандмауэра/ARP, чтобы он узнал новый MAC.
Или, что еще лучше, установить статический MAC-адрес мобильности на обоих WLC Anchor, чтобы он оставался неизменным после переключения.
Если FW сопоставляет MAC, переключите его на использование правил на основе IP. И это работает на 100%... Надеюсь, это поможет, и мир! -Энес Еще Cisco?!
Еще спортзал?!
Если этот пост решил вашу проблему, пожалуйста, отметьте его как «Принятое решение». Буду очень признателен!

Reply to Мобильный туннель разрывается после переключения HA анкера on Fri, 06 Mar 2026 20:41:03 GMT

tejas-veer — Fri, 06 Mar 2026 20:41:03 GMT

После нескольких проверок проблема была обнаружена на стороне брандмауэра. После отключения разгрузки на Fortinet туннель был установлен, как и ожидалось. Спасибо всем за усилия и предложения.