Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 17 Nächste Version anzeigen »


Beschreibung:

Der Config-Sync dient dazu, die Konfiguration zwischen zwei VPN-Gateways bzw. zwei WLAN-Controllern abzugleichen, damit beide Geräte auf dem gleichen Stand sind und der Slave bei einem Ausfall des Masters dessen Funktionen vollumfänglich übernehmen kann. Funktioniert der Konfigurations-Abgleich nicht mehr und es werden auf dem Master Konfigurations-Änderungen durchgeführt, können diese nicht auf den Slave übertragen werden. Bei einem Ausfall des Masters kann dies daher dazu führen, dass die Kommunikation nur eingeschränkt möglich ist.

In diesem Artikel wird beschrieben, welche Schritte durchgeführt werden können, wenn der Config-Sync nicht mehr funktioniert.

Die Einrichtung der Konfigurations-Synchronisierung für zwei WLAN-Controller können Sie durchführen, indem Sie einen der beiden WLAN-Controller in LANconfig markieren und per Drag & Drop auf das andere Gerät ziehen. 

Die manuelle Einrichtung der Konfigurations-Synchronisierung für zwei VPN-Gateways ist in diesem Artikel beschrieben.


Voraussetzungen:


Vorgehensweise:

1. Verwendung der gleichen Firmware-Version auf beiden Geräten:

Grundsätzlich funktioniert der Config-Sync auch auf Geräten mit unterschiedlichen Firmware-Versionen. Wird in einer Firmware-Version allerdings ein neues Feature implementiert und es kommt dabei eine neue Spalte in dem Konsolen-Pfad hinzu, kann dies zu einem Konflikt führen, da der Eintrag nicht mehr eindeutig ist (siehe Punkt 4.).

Es ist daher empfehlenswert auf beiden Geräten die gleiche Firmware-Version zu verwenden.



2. Prüfen des Config-Sync Zertifikats:

Verbinden Sie sich per SSH zu beiden Geräten und geben auf der Konsole jeweils den Befehl show scep configsync cert ein, um das Config-Sync Zertifikat einzusehen.

Überprüfen Sie die folgenden Parameter:

  • Validity: Die Gültigkeit des Zertifikates muss  auf beiden Geräten übereinstimmen. Geringe Abweichungen wie in diesem Beispiel sind normal. Die Funktion wird dadurch nicht eingeschränkt.
  • Subject: Die IP-Adresse des jeweiligen Gerätes muss im Subject enthalten sein.
  • X509v3 Authority Key Identifier: Diese ID muss auf beiden Geräten gleich sein. 

  


2.1 Die Zertifikate stimmen bei zwei WLAN-Controllern nicht überein:

Setzen Sie den Slave auf Werkseinstellungen zurück und ziehen diesen in LANconfig erneut auf den Master, damit der Config-Sync neu eingerichtet und das Zertifikat neu bezogen wird.


2.2 Die Zertifikate stimmen bei zwei VPN-Gateways nicht überein:

Setzen Sie den Slave auf den Werkszustand zurück und richten diesen wie in diesem Knowledge Base Artikel ab Schritt 2. beschrieben neu ein.



3. Prüfung auf Fehlermeldungen im Config-Sync:

Verbinden Sie sich per SSH mit dem Master und geben auf der Konsole den Befehl ls /Status/Config/Sync/New-Cluster ein.

In diesem Beispiel ist ein Fehler aufgetreten:

  • Info: Hier wird der fehlerhafte Parameter angezeigt.
  • State:  Im Fehlerfall wird der Status Invalid ausgegeben.

Der fehlerhafte Parameter muss anschließend angepasst oder entfernt werden.



4. LCOS ab Version 10.40 auf einem VPN-Gateway: Anpassung der Tabelle "Ignorierte Zeilen" erforderlich

Auf einem VPN-Gateway wird die Default-Route in dem Menü Management → Synchronisierung → Ignorierte Zeilen von der Synchronisierung ausgeklammert.

Nach einem Firmware-Update auf die Version 10.40 oder höher wird die folgende Fehlermeldung ausgegeben:

In diesem Fall muss  der Zeilen-Index um eine 0 ergänzt werden, da die Administrative Distanz in der Firmware 10.40 als neues Feature hinzugekommen ist. Der Eintrag muss daher 255.255.255.255 0.0.0.0 0 0 lauten.

Das Firmware-Update muss zwingend auf beiden Geräten durchgeführt werden, da ansonsten nur eines der beiden Geräte die Funktion Administrative Distanz unterstützt und es somit zu einem Konflikt kommt.

  • Keine Stichwörter