zaterdag 21 maart 2009 21:39

Acties:
  • bazkar
  • Registratie: Juni 2001
  • Laatst online: 05-02 12:59

bazkar

Topicstarter
Situatieschets:

2 ASA 5520 machines in Active/Active failover modus, hangen fysiek 500 meter uit elkaar, verbonden met glasverzel. Beiden hebben hetzelfde probleem wat een hardware issue op de firewall in mijn ogen uitsluit.

Probleem:

Beide ASA's weigeren om verkeer te ontvangen op hun outside interface. Deze interfaces hebben een public IPv4 adres (primary en standby verschillend). Beiden zitten ze op 1 internet switch aangesloten (cisco 2950).

De ASA's kunnen van binnenuit prima benaderd worden, maar de hoeveelheid traffic op de outside is 0. Er proberen legio machines van binnenuit verbinding op te zetten en die verbindingen timen uit met een SYN timeout. De traffic capture op de outside interface blijft echter leeg.

De switchpoorten waarop de asa's aangesloten zit geven wel packets aan richting de asa. Maar deze lijken niet op de ASA aan te komen.
De incoming packets op de switchpoort matchen precies met de outgoing packets op de ASA interface. De ASA lijkt dus wel packets weg te sturen.
De kabel van ASA naar switch is al vervangen, ook de switchpoort is aangepast en de ASA's zijn al voorzien van een nieuwe IOS (8.0.4 vanaf 8.0.3) en meerdere malen gereboot. Niets lijkt te helpen.

Ik ben zo langzamerhand aan het eind van mijn latijn. Iemand nog een briljante brainwave?

zondag 22 maart 2009 01:38

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Als je active/active failover configureerd ga je met security contexts (virtuele firewalls) werken. Zijn de juiste interfaces / VLAN's gemapt met de juiste security contexts?

Meer over A/A en A/S failover:
http://www.cisco.com/en/U...ation/guide/failover.html
In multiple context mode, complete the procedures in this chapter in the system execution space, then assign interfaces and subinterfaces to contexts according to Chapter 7, "Adding and Managing Security Contexts," and finally configure the interface parameters within each context according to Chapter 8, "Configuring Interface Parameters."
Zie:
http://www.cisco.com/en/U...e/intrface.html#wp1002608

En:
http://www.cisco.com/en/U...intparam.html#wpxref44915
http://www.cisco.com/en/U...ation/guide/mngcntxt.html

Let op:
Unsupported Features
Multiple context mode does not support the following features:
•Dynamic routing protocols Security contexts support only static routes. You cannot enable OSPF, RIP, or EIGRP in multiple context mode.
•VPN
•Multicast routing. Multicast bridging is supported.
•Threat Detection
•QoS
Zie:
http://www.cisco.com/en/U...e/contexts.html#wp1116132

Dit geld dus voor een A/A situatie. Voor een A/S situatie worden geen security contexts gebruikt en worden de "Unsupported Features" dus wel supported.

Een andere optie is met je CCO account inloggen op de Cisco site en kijken
of de TAC Case Collection Tool een oplossing biedt. Laatste optie is een TAC case inschieten bij Cisco.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq