8
Sophos XGS LACP LAG
Moin,
ich bin etwas am verzweifeln. Ich versuche ein LACP LAG auf der Sophos XGS Firewall einzurichten. Im Prinzip ist es ja ganz "einfach". Zwei (oder mehrere) vorhandene Ethernet-Ports zu einem LAG zusamen zu legen.
Wenn ich den Mode auf LACP einstelle, dann kann ich nur die Interface-IP des LAG aus dem LAN erreichen.
Wenn ich den Mode aber auf Active-Backup umstelle, dann kann ich jede andere VLAN-Interface-IP auf dem LAG anpingen. Active-Backup ist im Grunde ausreichend aber LACP wäre schöner. Mache ich das verkehrt?
ich bin etwas am verzweifeln. Ich versuche ein LACP LAG auf der Sophos XGS Firewall einzurichten. Im Prinzip ist es ja ganz "einfach". Zwei (oder mehrere) vorhandene Ethernet-Ports zu einem LAG zusamen zu legen.
Wenn ich den Mode auf LACP einstelle, dann kann ich nur die Interface-IP des LAG aus dem LAN erreichen.
Wenn ich den Mode aber auf Active-Backup umstelle, dann kann ich jede andere VLAN-Interface-IP auf dem LAG anpingen. Active-Backup ist im Grunde ausreichend aber LACP wäre schöner. Mache ich das verkehrt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2874572431
Url: https://administrator.de/contentid/2874572431
Printed on: April 26, 2024 at 12:04 o'clock
8 Comments
Latest comment
Hallo,
änderst du denn danach auch entsprechend die VLAN Interfaces und bindest sie an das neue "LACP Interface" ?
änderst du denn danach auch entsprechend die VLAN Interfaces und bindest sie an das neue "LACP Interface" ?
Hallo
Erst das LAG anlegen, dann die VLANs darauf. fertisch
Erst das LAG anlegen, dann die VLANs darauf. fertisch
1
Die VLANs gehen nicht verloren, die "hängen" immer an dem LAG dran, egal ob LACP oder Active-Backup Mode. Die Vorgehensweise war auch so, das LAG war zuerst erstellt worden, dann die VLANs. Diese sind an das LAG gebunden, egal welcher Mode eingestellt ist.
Das hiesige LAG Tutorial hast du genau gelesen und alle Schritte darin entsprechend umgesetzt?
Vermutlich gehst du falsch vor beim Einrichten des LAG?!
Wichtig ist das du die Member Interface vorher NICHT konfigurierst! Die dürfen vorab keinerlei IP Adressen, oder VLAN IDs enthalten sondern müssen komplett jungfräulich sein.
Dann erst bindest du diese Member Interfaces in einen LAG.
Das dann entstehende LAG Interface wird dann entsprechend mit IP Adresse, VLAN IDs usw. versehen.
Diese Vorgehensweise stellt immer absolut sicher das alle LAG Member Interfaces identisch konfiguriert sind. Andernfalls kommt es zum Abbruch der LAG Bildung.
Die andere Seite (Switch) benötigt natürlich zwingend auch ein LACP LAG Setup das mit der zustandekommt!
OT Tip:
Wenn du die FAQs einmal lesen würdest dann klickst du bei eingebundenen Bildern wie das oben immer aufs "+" damit die im richtigen Kontext deines Threads erscheinen und nicht völlig zusammenhangslos am Ende.
Kann man übrigens immer nachträglich mit dem "Bearbeiten" Knopf korrigieren.
Vermutlich gehst du falsch vor beim Einrichten des LAG?!
Wichtig ist das du die Member Interface vorher NICHT konfigurierst! Die dürfen vorab keinerlei IP Adressen, oder VLAN IDs enthalten sondern müssen komplett jungfräulich sein.
Dann erst bindest du diese Member Interfaces in einen LAG.
Das dann entstehende LAG Interface wird dann entsprechend mit IP Adresse, VLAN IDs usw. versehen.
Diese Vorgehensweise stellt immer absolut sicher das alle LAG Member Interfaces identisch konfiguriert sind. Andernfalls kommt es zum Abbruch der LAG Bildung.
Die andere Seite (Switch) benötigt natürlich zwingend auch ein LACP LAG Setup das mit der zustandekommt!
OT Tip:
Wenn du die FAQs einmal lesen würdest dann klickst du bei eingebundenen Bildern wie das oben immer aufs "+" damit die im richtigen Kontext deines Threads erscheinen und nicht völlig zusammenhangslos am Ende.
Kann man übrigens immer nachträglich mit dem "Bearbeiten" Knopf korrigieren.
Zitat von @aqui:
Das hiesige LAG Tutorial hast du genau gelesen und alle Schritte darin entsprechend umgesetzt?
Vermutlich gehst du falsch vor beim Einrichten des LAG?!
Wichtig ist das du die Member Interface vorher NICHT konfigurierst! Die dürfen vorab keinerlei IP Adressen, oder VLAN IDs enthalten sondern müssen komplett jungfräulich sein.
Dann erst bindest du diese Member Interfaces in einen LAG.
Das dann entstehende LAG Interface wird dann entsprechend mit IP Adresse, VLAN IDs usw. versehen.
Diese Vorgehensweise stellt immer absolut sicher das alle LAG Member Interfaces identisch konfiguriert sind. Andernfalls kommt es zum Abbruch der LAG Bildung.
Die andere Seite (Switch) benötigt natürlich zwingend auch ein LACP LAG Setup das mit der zustandekommt!
Das hiesige LAG Tutorial hast du genau gelesen und alle Schritte darin entsprechend umgesetzt?
Vermutlich gehst du falsch vor beim Einrichten des LAG?!
Wichtig ist das du die Member Interface vorher NICHT konfigurierst! Die dürfen vorab keinerlei IP Adressen, oder VLAN IDs enthalten sondern müssen komplett jungfräulich sein.
Dann erst bindest du diese Member Interfaces in einen LAG.
Das dann entstehende LAG Interface wird dann entsprechend mit IP Adresse, VLAN IDs usw. versehen.
Diese Vorgehensweise stellt immer absolut sicher das alle LAG Member Interfaces identisch konfiguriert sind. Andernfalls kommt es zum Abbruch der LAG Bildung.
Die andere Seite (Switch) benötigt natürlich zwingend auch ein LACP LAG Setup das mit der zustandekommt!
Ich kann hier alles nur mit Ja beantworten, es ist nicht das erste Mal, dass ich LAGs einrichte. Die physischen Ports waren "jungfräulich", keine IPs, unbound etc, dann LAG erstellt mit den zwei Ports, auf LACP gestellt, Zone auf LAN, IPv4 eingetragen und das wars. Danach die VLANs dem LAG hinzugefügt. LACP Link steht auch soweit, kann das auf der Gegenseite (L3-Switch) bestätigen.
Ping geht wunderbar auf die LAG Interface-IP. Das was nicht geht, sind die VLAN-Interfaces bzw. deren Erreichbarkeit aus dem LAN heraus. Stelle ich den LAG Mode um auf Active-Backup, dann sind alle VLAN-Interfaces des LAG erreichbar.
Nachtrag: es gibt scheinbar einen Bug in der Sophos XG(S) Firmware, die genau das verursacht. Als Workaround wurde angegeben, dass man das Interface Speed des LAG von auto negotiated via CLI auf einen festen Wert stellt. Bei mir hilft das leider nicht 
Dann stimmt irgendetwas mit dem Binding des virtuellen LAG Interfaces an die VLANs nicht. Entweder hast du dann hier den Tag vergessen oder das LAG Interface als Memberport in das VLAN zu legen.
Wenn die Verbindung rein nur UNtagged aus dem PVID VLAN also ohne Tagging klappt ist es de facto die Einrichtung des LAG Ports in die VLANs.
Beachte auch die andere Seite! Möglich das du hier das VLAN Tagging auf dem Switch auf dessen LAG Port vergessen hast.
Ist mit Sicherheit nur ein Flüchtigkeitsfehler.
Wenn die Verbindung rein nur UNtagged aus dem PVID VLAN also ohne Tagging klappt ist es de facto die Einrichtung des LAG Ports in die VLANs.
Beachte auch die andere Seite! Möglich das du hier das VLAN Tagging auf dem Switch auf dessen LAG Port vergessen hast.
Ist mit Sicherheit nur ein Flüchtigkeitsfehler.
Moin,
mit frischen Gedanken und klarem Kopf heute wieder alles von Vorne gecheckt. Es war im Grunde eine Kombination aus beidem. Der Bug in der Firmware, richtige Syntax beim bei der Ausführung in der CLI und auch die tagged VLANs dem richtigen LAG Channel zuweisen.
Nun klappt es so wie es sein soll, wenn auch mit Umwegen und Workarounds.
mit frischen Gedanken und klarem Kopf heute wieder alles von Vorne gecheckt. Es war im Grunde eine Kombination aus beidem. Der Bug in der Firmware, richtige Syntax beim bei der Ausführung in der CLI und auch die tagged VLANs dem richtigen LAG Channel zuweisen.
Nun klappt es so wie es sein soll, wenn auch mit Umwegen und Workarounds.