Problema al configurar HA de 300C
Publicado: 16 Abr 2013, 03:08
Que tal Gaby
tengo un problema con un par de 300C que he querido empezar a configurar para reemplazar el 500A q ahora tengo en producción.
el problema es el siguiente:
le configuro a ambos firewalls la interfaz de lan con una ip del segmento en el cual estoy yo para poder empezar a configurarlos desde mi lugar, al meter solo 1 firewall no hay ningun problema, le llego sin problemas, el problema se sucita al activar el HA el cual lo pongo en active-passive y con uno de los equipos con menor prioridad q el otro asi como solo una interfaz en cada firewall con heartbeat.
al levantar el HA en el segmento de red en el cual yo me encuentro muchos equipos de la red empiezan a decir q existe una ip duplicada, checo la tabla de arp en el fortinet y ve a una gran cantidad de ip´s de mi segmento:
FG300C3912604627 # get system arp
Address Age(min) Hardware Addr Interface
192.168.61.5 0 00:14:22:0a:c7:ae port1
192.168.61.7 0 14:fe:b5:dc:68:cb port1
192.168.61.10 0 00:0c:29:07:96:f0 port1
192.168.61.12 4 00:0c:29:94:27:b9 port1
192.168.61.14 3 5c:26:0a:64:8a:97 port1
192.168.61.18 0 00:16:17:65:b7:69 port1
192.168.61.21 7 d0:67:e5:42:32:89 port1
192.168.61.24 0 00:13:20:19:c3:69 port1
192.168.61.31 7 5c:26:0a:64:89:24 port1
192.168.61.33 5 18:03:73:1e:ef:de port1
192.168.61.36 0 00:0f:fe:59:98:0a port1
192.168.61.38 0 00:17:f2:f4:04:06 port1
192.168.61.45 8 00:24:81:18:37:01 port1
192.168.61.47 7 d4:be:d9:2c:de:f0 port1
192.168.61.51 0 10:9a:dd:65:29:0c port1
192.168.61.53 0 00:23:7d:be:63:5c port1
192.168.61.54 0 00:23:7d:be:97:a6 port1
192.168.61.55 0 3c:07:54:63:a1:f8 port1
192.168.61.56 0 00:0f:fe:97:28:a6 port1
192.168.61.58 0 18:03:73:d7:b1:76 port1
192.168.61.66 2 5c:26:0a:48:26:e9 port1
192.168.61.67 3 00:25:64:c2:ba:2d port1
192.168.61.70 2 78:2b:cb:a0:a4:6c port1
192.168.61.72 0 00:24:81:18:37:5d port1
192.168.61.74 8 78:2b:cb:a0:a4:8f port1
192.168.61.78 0 00:10:4b:69:24:89 port1
192.168.61.85 0 c8:2a:14:2a:d7:7f port1
192.168.61.86 2 00:24:81:18:37:5c port1
192.168.61.105 0 00:18:8b:5d:55:dd port1
192.168.61.123 0 00:0f:fe:55:be:a2 port1
192.168.61.125 0 00:0f:fe:6d:3e:2c port1
192.168.61.126 1 00:24:be:d8:f9:95 port1
192.168.61.130 7 d4:be:d9:02:8d:8d port1
192.168.61.131 3 00:80:8e:8d:93:93 port1
192.168.61.133 1 18:03:73:32:92:ea port1
192.168.61.135 7 18:03:73:37:03:87 port1
192.168.61.136 0 00:1b:fc:80:c6:36 port1
192.168.61.138 0 00:21:97:0a:ea:a6 port1
192.168.61.139 0 00:0f:fe:59:8f:60 port1
192.168.61.140 0 00:19:21:45:c4:8a port1
192.168.61.141 0 e8:9a:8f:13:29:97 port1
192.168.61.143 8 00:26:b9:da:a5:e2 port1
192.168.61.144 2 5c:26:0a:6b:bb:b8 port1
192.168.61.147 3 e8:9a:8f:13:29:9e port1
192.168.61.151 9 d4:be:d9:61:c4:5b port1
192.168.61.152 0 00:26:b9:c2:4f:82 port1
192.168.61.155 0 00:0f:fe:6d:3d:b1 port1
192.168.61.157 7 d4:be:d9:56:a6:5e port1
192.168.61.160 0 3c:07:54:7b:fc:88 port1
192.168.61.164 0 d4:be:d9:97:f9:92 port1
192.168.61.169 0 e8:9a:8f:13:21:2d port1
192.168.61.172 5 78:2b:cb:8f:b2:ff port1
192.168.61.174 0 d4:9a:20:f2:41:5c port1
192.168.61.176 7 e8:9a:8f:13:20:de port1
192.168.61.178 4 e8:9a:8f:13:21:e8 port1
192.168.61.180 0 00:26:9e:48:6e:4d port1
192.168.61.182 0 00:0f:fe:59:8f:50 port1
192.168.61.184 0 00:15:60:af:93:9a port1
192.168.61.186 2 18:03:73:c3:8b:56 port1
192.168.61.187 0 00:25:64:bd:76:f8 port1
192.168.61.189 1 5c:26:0a:79:31:56 port1
192.168.61.190 1 5c:26:0a:7e:ed:c3 port1
192.168.61.191 0 d4:be:d9:02:8b:af port1
192.168.61.192 0 00:0f:fe:a0:a4:4d port1
192.168.61.198 0 78:2b:cb:9d:3e:ba port1
192.168.61.199 0 00:0f:b0:ca:cf:8d port1
192.168.61.203 0 00:1d:92:2d:a4:a6 port1
192.168.61.206 0 5c:26:0a:58:20:b8 port1
192.168.61.208 0 00:24:be:d7:41:94 port1
192.168.61.209 0 00:16:e6:6b:e4:69 port1
192.168.61.211 0 00:0f:fe:29:6d:2d port1
192.168.61.214 5 00:26:b9:d1:54:3b port1
192.168.61.223 8 d0:67:e5:42:35:36 port1
192.168.61.249 0 00:0f:fe:92:48:a8 port1
cuando antes de levantar el HA solo veia mi la ip de mi equipo, el problema se soluciona sacando el HA de la red y se normaliza todo.
el gateway de mi segmento red esta en una interfaz vlan en un core (stack de switches capa 3) al igual que todos los demas gateways de los multiples segmentos de red que se tienen en mi empresa y de ahi por ruteo direcciono el trafico de internet hacia el firewall para que sea filtrado.
he configurado bastantes firewalls metiendolos en mi segmento para configurarlos sin ningun problema, solo en esta ocasion que estoy configurando estos 2 en HA me hace este comportamiento que empieza a duplicar ip´s de los equipos de el segmento en el que estoy.
alguna idea de por que este haciendo esto y como evitar q lo haga?
tengo un problema con un par de 300C que he querido empezar a configurar para reemplazar el 500A q ahora tengo en producción.
el problema es el siguiente:
le configuro a ambos firewalls la interfaz de lan con una ip del segmento en el cual estoy yo para poder empezar a configurarlos desde mi lugar, al meter solo 1 firewall no hay ningun problema, le llego sin problemas, el problema se sucita al activar el HA el cual lo pongo en active-passive y con uno de los equipos con menor prioridad q el otro asi como solo una interfaz en cada firewall con heartbeat.
al levantar el HA en el segmento de red en el cual yo me encuentro muchos equipos de la red empiezan a decir q existe una ip duplicada, checo la tabla de arp en el fortinet y ve a una gran cantidad de ip´s de mi segmento:
FG300C3912604627 # get system arp
Address Age(min) Hardware Addr Interface
192.168.61.5 0 00:14:22:0a:c7:ae port1
192.168.61.7 0 14:fe:b5:dc:68:cb port1
192.168.61.10 0 00:0c:29:07:96:f0 port1
192.168.61.12 4 00:0c:29:94:27:b9 port1
192.168.61.14 3 5c:26:0a:64:8a:97 port1
192.168.61.18 0 00:16:17:65:b7:69 port1
192.168.61.21 7 d0:67:e5:42:32:89 port1
192.168.61.24 0 00:13:20:19:c3:69 port1
192.168.61.31 7 5c:26:0a:64:89:24 port1
192.168.61.33 5 18:03:73:1e:ef:de port1
192.168.61.36 0 00:0f:fe:59:98:0a port1
192.168.61.38 0 00:17:f2:f4:04:06 port1
192.168.61.45 8 00:24:81:18:37:01 port1
192.168.61.47 7 d4:be:d9:2c:de:f0 port1
192.168.61.51 0 10:9a:dd:65:29:0c port1
192.168.61.53 0 00:23:7d:be:63:5c port1
192.168.61.54 0 00:23:7d:be:97:a6 port1
192.168.61.55 0 3c:07:54:63:a1:f8 port1
192.168.61.56 0 00:0f:fe:97:28:a6 port1
192.168.61.58 0 18:03:73:d7:b1:76 port1
192.168.61.66 2 5c:26:0a:48:26:e9 port1
192.168.61.67 3 00:25:64:c2:ba:2d port1
192.168.61.70 2 78:2b:cb:a0:a4:6c port1
192.168.61.72 0 00:24:81:18:37:5d port1
192.168.61.74 8 78:2b:cb:a0:a4:8f port1
192.168.61.78 0 00:10:4b:69:24:89 port1
192.168.61.85 0 c8:2a:14:2a:d7:7f port1
192.168.61.86 2 00:24:81:18:37:5c port1
192.168.61.105 0 00:18:8b:5d:55:dd port1
192.168.61.123 0 00:0f:fe:55:be:a2 port1
192.168.61.125 0 00:0f:fe:6d:3e:2c port1
192.168.61.126 1 00:24:be:d8:f9:95 port1
192.168.61.130 7 d4:be:d9:02:8d:8d port1
192.168.61.131 3 00:80:8e:8d:93:93 port1
192.168.61.133 1 18:03:73:32:92:ea port1
192.168.61.135 7 18:03:73:37:03:87 port1
192.168.61.136 0 00:1b:fc:80:c6:36 port1
192.168.61.138 0 00:21:97:0a:ea:a6 port1
192.168.61.139 0 00:0f:fe:59:8f:60 port1
192.168.61.140 0 00:19:21:45:c4:8a port1
192.168.61.141 0 e8:9a:8f:13:29:97 port1
192.168.61.143 8 00:26:b9:da:a5:e2 port1
192.168.61.144 2 5c:26:0a:6b:bb:b8 port1
192.168.61.147 3 e8:9a:8f:13:29:9e port1
192.168.61.151 9 d4:be:d9:61:c4:5b port1
192.168.61.152 0 00:26:b9:c2:4f:82 port1
192.168.61.155 0 00:0f:fe:6d:3d:b1 port1
192.168.61.157 7 d4:be:d9:56:a6:5e port1
192.168.61.160 0 3c:07:54:7b:fc:88 port1
192.168.61.164 0 d4:be:d9:97:f9:92 port1
192.168.61.169 0 e8:9a:8f:13:21:2d port1
192.168.61.172 5 78:2b:cb:8f:b2:ff port1
192.168.61.174 0 d4:9a:20:f2:41:5c port1
192.168.61.176 7 e8:9a:8f:13:20:de port1
192.168.61.178 4 e8:9a:8f:13:21:e8 port1
192.168.61.180 0 00:26:9e:48:6e:4d port1
192.168.61.182 0 00:0f:fe:59:8f:50 port1
192.168.61.184 0 00:15:60:af:93:9a port1
192.168.61.186 2 18:03:73:c3:8b:56 port1
192.168.61.187 0 00:25:64:bd:76:f8 port1
192.168.61.189 1 5c:26:0a:79:31:56 port1
192.168.61.190 1 5c:26:0a:7e:ed:c3 port1
192.168.61.191 0 d4:be:d9:02:8b:af port1
192.168.61.192 0 00:0f:fe:a0:a4:4d port1
192.168.61.198 0 78:2b:cb:9d:3e:ba port1
192.168.61.199 0 00:0f:b0:ca:cf:8d port1
192.168.61.203 0 00:1d:92:2d:a4:a6 port1
192.168.61.206 0 5c:26:0a:58:20:b8 port1
192.168.61.208 0 00:24:be:d7:41:94 port1
192.168.61.209 0 00:16:e6:6b:e4:69 port1
192.168.61.211 0 00:0f:fe:29:6d:2d port1
192.168.61.214 5 00:26:b9:d1:54:3b port1
192.168.61.223 8 d0:67:e5:42:35:36 port1
192.168.61.249 0 00:0f:fe:92:48:a8 port1
cuando antes de levantar el HA solo veia mi la ip de mi equipo, el problema se soluciona sacando el HA de la red y se normaliza todo.
el gateway de mi segmento red esta en una interfaz vlan en un core (stack de switches capa 3) al igual que todos los demas gateways de los multiples segmentos de red que se tienen en mi empresa y de ahi por ruteo direcciono el trafico de internet hacia el firewall para que sea filtrado.
he configurado bastantes firewalls metiendolos en mi segmento para configurarlos sin ningun problema, solo en esta ocasion que estoy configurando estos 2 en HA me hace este comportamiento que empieza a duplicar ip´s de los equipos de el segmento en el que estoy.
alguna idea de por que este haciendo esto y como evitar q lo haga?