Мобильный туннель разрывается после переключения HA анкера
-
В модели C9800-L-F-K9 у меня есть анкер и внешняя настройка с мобильным туннелем, сформированным между ними. Наблюдается, что при переключении анкерного WLC (HA-SSO) мобильный туннель не появляется. Я попробовал изменить мобильный MAC на статический. Шлюз WMI находится на брандмауэре. На FW присутствует сеанс UDP 16666 с MAC-адресом назначения якоря WMI. Замечено, что после переключения WLC MAC-адрес WMI изменяется на стороне WLC, но остается прежним на MAC-адресе назначения брандмауэра. Из-за этого новый мобильный туннель не формируется.
-
После нескольких проверок проблема была обнаружена на стороне брандмауэра. После отключения разгрузки на Fortinet туннель был установлен, как и ожидалось. Спасибо всем за усилия и предложения.
-
Привет,
@tejas-veer
Это происходит потому, что после переключения HA MAC-адрес мобильности Anchor изменяется, но ваш брандмауэр продолжает отправлять трафик UDP/16666 на старый MAC-адрес. Поэтому новый туннель не формируется. Когда это происходит, я всегда пытаюсь: Очистить сессию брандмауэра/ARP, чтобы он узнал новый MAC.
Или, что еще лучше, установить статический MAC-адрес мобильности на обоих WLC Anchor, чтобы он оставался неизменным после переключения.
Если FW сопоставляет MAC, переключите его на использование правил на основе IP. И это работает на 100%... Надеюсь, это поможет, и мир! -Энес Еще Cisco?!
Еще спортзал?!
Если этот пост решил вашу проблему, пожалуйста, отметьте его как «Принятое решение». Буду очень признателен! -
Спасибо за ответ. Действительно, туннель устанавливается, когда существующий сеанс UDP завершается вручную. Есть ли способ добиться этого без ручного прерывания? Я настроил статический MAC-адрес на WLC mobilty. Однако в сеансе FW отображается фактический MAC-адрес WMI, который остается неизменным даже после переключения WLC.
-
... Однако в сеансе FW отображается фактический MAC-адрес WMI
,
который
остается неизменным
даже после переключения WLC.
Это связано с вашим брандмауэром. Какая модель и производитель этого брандмауэра? М. -- Пусть все происходит с тобой
Красота и ужас
Просто продолжай
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899) -
Да, это имеет смысл, по сути, FW поддерживает старую сессию. Вы можете исправить это, уменьшив тайм-аут UDP или ARP на FW для этого трафика, чтобы он автоматически обновлялся после переключения. Таким образом, нет необходимости очищать сессии вручную. Рад слышать, что проблема со статическим MAC-адресом решена... Надеюсь, это поможет... -Энес Еще Cisco?!
Еще спортзал?!
Если этот пост решил вашу проблему, пожалуйста, отметьте его как «Принятое решение». Буду очень признателен! -
Вопрос! В сеансе FW, какой MAC-адрес в идеале должен рассматриваться как MAC-адрес назначения сеанса? Это должен быть MAC-адрес мобильности или MAC-адрес интерфейса WMI?
-
@tejas-veer
Как вы определяете:
MAC-адрес назначения сеанса М. -- Пусть все происходит с тобой
Красота и ужас
Просто продолжай идти
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899) -
В деталях сеанса FW UDP я вижу
исходный
(иностранный WLC WMI интерфейс Mac) и
конечный
MAC-адрес (Anchor WMI интерфейс Mac). -
- Не могли бы вы поделиться изображением
«глобальной топологии»
, указав, где находится брандмауэр
и где находятся соединения брандмауэра с контроллерами , М. -- Пусть все происходит с тобой
Красота и ужас
Просто продолжай
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899)
- Не могли бы вы поделиться изображением
-
@tejas-veer
Вам действительно необходимо настроить
статический MAC-адрес мобильности
с помощью
wireless mobility mac-address ..
После
включения HA SSO Используйте следующие команды для устранения неполадок:
show wireless mobility summary
show wireless stats mobility
show wireless stats mobility messages
show platform hardware chassis active qfp feature wireless punt statistics Приложение: Проверьте конфигурацию
контроллера
C9800-L-F-K9 с помощью команды CLI
show tech wireless
и введите вывод этой команды в
Wireless Config Analyzer M. -- Пусть все происходит с вами
Красота и ужас
Просто продолжайте
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899) -
Обычно очистка сеанса UDP 16666 на брандмауэре или перезапуск этого соединения должны решить проблему с туннелем.
-
Как упоминалось выше, вы можете опубликовать топологию и марку и модель брандмауэра с версией образа. Похоже, что проблема связана с брандмауэром.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти