Мобильный туннель разрывается после переключения HA анкера

tejas-veer

После нескольких проверок проблема была обнаружена на стороне брандмауэра. После отключения разгрузки на Fortinet туннель был установлен, как и ожидалось. Спасибо всем за усилия и предложения.

Enes Simnica

Привет,
@tejas-veer
Это происходит потому, что после переключения HA MAC-адрес мобильности Anchor изменяется, но ваш брандмауэр продолжает отправлять трафик UDP/16666 на старый MAC-адрес. Поэтому новый туннель не формируется. Когда это происходит, я всегда пытаюсь: Очистить сессию брандмауэра/ARP, чтобы он узнал новый MAC.
Или, что еще лучше, установить статический MAC-адрес мобильности на обоих WLC Anchor, чтобы он оставался неизменным после переключения.
Если FW сопоставляет MAC, переключите его на использование правил на основе IP. И это работает на 100%... Надеюсь, это поможет, и мир! -Энес Еще Cisco?!
Еще спортзал?!
Если этот пост решил вашу проблему, пожалуйста, отметьте его как «Принятое решение». Буду очень признателен!

tejas-veer

Спасибо за ответ. Действительно, туннель устанавливается, когда существующий сеанс UDP завершается вручную. Есть ли способ добиться этого без ручного прерывания? Я настроил статический MAC-адрес на WLC mobilty. Однако в сеансе FW отображается фактический MAC-адрес WMI, который остается неизменным даже после переключения WLC.

Mark Elsen

@tejas-veer

... Однако в сеансе FW отображается фактический MAC-адрес WMI
,
который
остается неизменным
даже после переключения WLC.
Это связано с вашим брандмауэром. Какая модель и производитель этого брандмауэра? М. -- Пусть все происходит с тобой
Красота и ужас
Просто продолжай
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899)

Enes Simnica

Да, это имеет смысл, по сути, FW поддерживает старую сессию. Вы можете исправить это, уменьшив тайм-аут UDP или ARP на FW для этого трафика, чтобы он автоматически обновлялся после переключения. Таким образом, нет необходимости очищать сессии вручную. Рад слышать, что проблема со статическим MAC-адресом решена... Надеюсь, это поможет... -Энес Еще Cisco?!
Еще спортзал?!
Если этот пост решил вашу проблему, пожалуйста, отметьте его как «Принятое решение». Буду очень признателен!

tejas-veer

Вопрос! В сеансе FW, какой MAC-адрес в идеале должен рассматриваться как MAC-адрес назначения сеанса? Это должен быть MAC-адрес мобильности или MAC-адрес интерфейса WMI?

Mark Elsen

@tejas-veer
Как вы определяете:
MAC-адрес назначения сеанса М. -- Пусть все происходит с тобой
Красота и ужас
Просто продолжай идти
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899)

tejas-veer

В деталях сеанса FW UDP я вижу
исходный
(иностранный WLC WMI интерфейс Mac) и
конечный
MAC-адрес (Anchor WMI интерфейс Mac).

Mark Elsen

@tejas-veer

• Не могли бы вы поделиться изображением
  «глобальной топологии»
  , указав, где находится брандмауэр
  и где находятся соединения брандмауэра с контроллерами , М. -- Пусть все происходит с тобой
  Красота и ужас
  Просто продолжай
  Ни одно чувство не является окончательным
  Райнер Мария Рильке
  (1899)

Mark Elsen

@tejas-veer
Вам действительно необходимо настроить
статический MAC-адрес мобильности
с помощью
wireless mobility mac-address ..
После
включения HA SSO Используйте следующие команды для устранения неполадок:
show wireless mobility summary
show wireless stats mobility
show wireless stats mobility messages
show platform hardware chassis active qfp feature wireless punt statistics Приложение: Проверьте конфигурацию
контроллера
C9800-L-F-K9 с помощью команды CLI
show tech wireless
и введите вывод этой команды в
Wireless Config Analyzer M. -- Пусть все происходит с вами
Красота и ужас
Просто продолжайте
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899)

cooperolivia919

Обычно очистка сеанса UDP 16666 на брандмауэре или перезапуск этого соединения должны решить проблему с туннелем.

srimal99

Как упоминалось выше, вы можете опубликовать топологию и марку и модель брандмауэра с версией образа. Похоже, что проблема связана с брандмауэром.