2
Windows Hyper-V Server 2019 - NIC failover
Hi.
Ich hoffe ihr könnt mit beim "NIC failover" am Hyper-V Server 2019 helfen.
Mein Hyper-V Host hat 2 NIC's verbaut. Die NIC's sind direkt an den Ports des Firewall-Clusters (active/passive Cluster) angeschlossen. Auch wenn der Cluster "passiv" ist, besteht dennoch an den Interfaces ein uplink => allderings keinerlei Kommunikation möglich. Leider können die Ports am passiven Cluster nicht "down" geschalten werden => Kontakt mit Hersteller bereits aufgenommen.
Meine Vorstellung war, dass ich jetzt in Windows ein Teaming mit "SwitchIndependent" und "active/standby" konfiguriere. Leider klappt das dann halt aber nicht, wenn die primäre Firewall zum Slave (passive) wird, dann haben eben dennoch beide NICs einen uplink und Windows verwendet halt immer die active NIC. Lässt sich auch leicht zeigen => Primäre Firewall rebooten => uplink an der "active NIC" geht down => "standby NIC" übernimmt und kommuniziert mit der sekundären Firewall (jetzt active = master) solange bis die primäre Firewall (immer noch passive = slave) wieder da ist. Weil an der passiven Firewall (primäre Firewall aktuell) der uplink da ist, verwendet windows auch die "active NIC" an der ja aber keine Kommunikation möglich ist.
Eine Umstellung des Teamings auf active/active hilft in dem Fall auch nicht - hab ich schon probiert, dann wird ja ein LoadBalancing (kontinuierliche Verbindungsausfälle am Host z.B. in der RDP-Sitzung) auf beiden NIC's versucht.
Kann man dieses Problem überhaupt mit dem Windows NIC Teaming lösen? Grundsätzlich kann die Firewall ein "LACP" (802.3ad) ... nur ist die Frage ob das überhaupt was bringt, wenn beide NIC's uplink haben?
Wenn es mit Windows NIC Teaming nicht möglich ist, gibt es hierfür vernüftige Alternativsoftware (die auch am Hyper-V Server 2019 läuft - also die Free-Version)?
LG Phoniex
Ich hoffe ihr könnt mit beim "NIC failover" am Hyper-V Server 2019 helfen.
Mein Hyper-V Host hat 2 NIC's verbaut. Die NIC's sind direkt an den Ports des Firewall-Clusters (active/passive Cluster) angeschlossen. Auch wenn der Cluster "passiv" ist, besteht dennoch an den Interfaces ein uplink => allderings keinerlei Kommunikation möglich. Leider können die Ports am passiven Cluster nicht "down" geschalten werden => Kontakt mit Hersteller bereits aufgenommen.
Meine Vorstellung war, dass ich jetzt in Windows ein Teaming mit "SwitchIndependent" und "active/standby" konfiguriere. Leider klappt das dann halt aber nicht, wenn die primäre Firewall zum Slave (passive) wird, dann haben eben dennoch beide NICs einen uplink und Windows verwendet halt immer die active NIC. Lässt sich auch leicht zeigen => Primäre Firewall rebooten => uplink an der "active NIC" geht down => "standby NIC" übernimmt und kommuniziert mit der sekundären Firewall (jetzt active = master) solange bis die primäre Firewall (immer noch passive = slave) wieder da ist. Weil an der passiven Firewall (primäre Firewall aktuell) der uplink da ist, verwendet windows auch die "active NIC" an der ja aber keine Kommunikation möglich ist.
Eine Umstellung des Teamings auf active/active hilft in dem Fall auch nicht - hab ich schon probiert, dann wird ja ein LoadBalancing (kontinuierliche Verbindungsausfälle am Host z.B. in der RDP-Sitzung) auf beiden NIC's versucht.
Kann man dieses Problem überhaupt mit dem Windows NIC Teaming lösen? Grundsätzlich kann die Firewall ein "LACP" (802.3ad) ... nur ist die Frage ob das überhaupt was bringt, wenn beide NIC's uplink haben?
Wenn es mit Windows NIC Teaming nicht möglich ist, gibt es hierfür vernüftige Alternativsoftware (die auch am Hyper-V Server 2019 läuft - also die Free-Version)?
LG Phoniex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 565289
Url: https://administrator.de/contentid/565289
Ausgedruckt am: 24.11.2024 um 01:11 Uhr
2 Kommentare
Neuester Kommentar
Naja, eine Firewall wird ja nicht als VM betrieben, das würde ja bedeuten, dass der Hypervisor ungeschützt im Internet steht.
Eine Firewall sollte also als Appliance vor dem Hypervisor fungieren. Zwecks Ausfallsicherheit haben die Firewalls selbst eine Failover Funktion (zumindest alle Guten, die ich kenne), sodass die Server dahinter gar nichts davon merken.
Eine Firewall sollte also als Appliance vor dem Hypervisor fungieren. Zwecks Ausfallsicherheit haben die Firewalls selbst eine Failover Funktion (zumindest alle Guten, die ich kenne), sodass die Server dahinter gar nichts davon merken.
Verstehe nicht ganz wie du auf Firewall = VM kommst?
Die NIC's sind direkt an den Ports des Firewall-Clusters (active/passive Cluster) angeschlossen.
Hab nie davon geredet, dass ich eine Firewall als VM laufen lassen will und den Hypvisor direkt ans WAN anbinden möchte? Warum sollte ich das auch wollen? Das Problem hat auch rein gar nichts mit der VM zu tun. Das Problem dreht sich rein um den HOST (Hyper-V Server 2019).
2x physische Firewall (FortiGate 100F) im HA-Cluster
1x Server mit 2 NIC's
NIC1 ==> LAN-Kabel ==> physische Firewall 1 (Active/Master/Primär)
NIC2 ==> LAN-Kabel ==> physische Firewall 2 (Passive/Slave/Sekundär)
Windows NIC-Teaming: NIC1 = active, NIC2 = standby
FW2 ist Passive/Slave/Sekundär ==> dennoch haben die Interfaces einen uplink. Genau das ist das Problem, dadurch funktioniert NIC-Teaming nicht so wie von mir gedacht.
FW1 reboot => FW2 = Active/Master/Primär; FW1 = Passive/Slave/Sekundär ===> Interfaces an FW1 haben dennoch uplink ==> Windows sieht deshalb den uplink an NIC1 ==> Windows verwendet weiterhin NIC1
Gewünscht wäre aber dass in diesem Fall NIC2 verwendet wird, weil die ja mit der derzeit aktiven Firewall verbunden ist. NIC1 hingegen mit der passiven Firewall (keine Kommunikation möglich, aber Interfaces haben uplink).
Konfiguration von Windows-Teaming mit "active/active" führt zur Verbindunsaufällen - weil LoadBalancing versucht wird.
Die NIC's sind direkt an den Ports des Firewall-Clusters (active/passive Cluster) angeschlossen.
Hab nie davon geredet, dass ich eine Firewall als VM laufen lassen will und den Hypvisor direkt ans WAN anbinden möchte? Warum sollte ich das auch wollen? Das Problem hat auch rein gar nichts mit der VM zu tun. Das Problem dreht sich rein um den HOST (Hyper-V Server 2019).
2x physische Firewall (FortiGate 100F) im HA-Cluster
1x Server mit 2 NIC's
NIC1 ==> LAN-Kabel ==> physische Firewall 1 (Active/Master/Primär)
NIC2 ==> LAN-Kabel ==> physische Firewall 2 (Passive/Slave/Sekundär)
Windows NIC-Teaming: NIC1 = active, NIC2 = standby
FW2 ist Passive/Slave/Sekundär ==> dennoch haben die Interfaces einen uplink. Genau das ist das Problem, dadurch funktioniert NIC-Teaming nicht so wie von mir gedacht.
FW1 reboot => FW2 = Active/Master/Primär; FW1 = Passive/Slave/Sekundär ===> Interfaces an FW1 haben dennoch uplink ==> Windows sieht deshalb den uplink an NIC1 ==> Windows verwendet weiterhin NIC1
Gewünscht wäre aber dass in diesem Fall NIC2 verwendet wird, weil die ja mit der derzeit aktiven Firewall verbunden ist. NIC1 hingegen mit der passiven Firewall (keine Kommunikation möglich, aber Interfaces haben uplink).
Konfiguration von Windows-Teaming mit "active/active" führt zur Verbindunsaufällen - weil LoadBalancing versucht wird.
