Skip to content

Because I'm SAVVY

"Savvy" ist Checkpoints Version vom Pharrel Williams Song "Happy", also gleiche Melodie aber ein etwas anderer Text ...
"It might seem crazy what I'm about to say
Hackers attack our Company, almost every day
but I don’t worry, I sleep well at night
I got all these blades to help me win this fight!"
via blog.lachmann.org

Zwei CheckPoint Cluster auf einem Cisco Switch ...

... Das gibt Probleme. Genauer gesagt hat der Cisco Switch ein Problem:

238201: Sep  3 12:07:50.482: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe01 in vlan 284 is flapping between port Gi0/25 and port Gi0/14
238202: Sep  3 12:07:50.482: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe00 in vlan 284 is flapping between port Gi0/5 and port Gi0/15
238203: Sep  3 12:08:05.607: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe00 in vlan 284 is flapping between port Gi0/15 and port Gi0/5
238204: Sep  3 12:08:05.607: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe01 in vlan 284 is flapping between port Gi0/14 and port Gi0/25
238205: Sep  3 12:08:20.673: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe01 in vlan 284 is flapping between port Gi0/25 and port Gi0/14
238206: Sep  3 12:08:20.841: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe00 in vlan 284 is flapping between port Gi0/15 and port Gi0/5
238207: Sep  3 12:08:35.823: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe00 in vlan 284 is flapping between port Gi0/15 and port Gi0/5
238208: Sep  3 12:08:35.823: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe01 in vlan 284 is flapping between port Gi0/14 and port Gi0/25
238209: Sep  3 12:08:50.888: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe01 in vlan 284 is flapping between port Gi0/25 and port Gi0/14
238210: Sep  3 12:08:50.922: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe00 in vlan 284 is flapping between port Gi0/5 and port Gi0/15
Der Grund für dieses Flapping sind die virtuellen ClusterXL Adressen der Checkpoint Firewall. Hier hat sich Checkpoint nämlich etwas ganz tolles ausgedacht.

Die ersten vier Bytes der Source MAC Adresse sind alle Null, also 00.00.00.00. Der fünfte Byte ist nun quasi der entscheidende Punkt bei dem MAC Flapping. Per Default steht er auf 0xfe. Der sechste Byte ist dann die ID des jeweiligen Cluster Members. Soweit so gut. Problem ist nur wenn zwei Cluster am gleichen Switch mit der gleichen Default MAC Adressen senden wollen.

Die Lösung ist natürlich wie immer relativ simpel, aber das erst mal heraus zu bekommen ... Egal. Mit folgendem Kommando kann der fünfte Byte der MAC Adresse on-the-fly von 0xfe auf 0xee geändert werden:

fw ctl set int fwha_mac_magic 0xee
Allerdings überlebt diese Änderung keinen Reboot und so müssen für eine permanente Lösung noch folgende Schritte auf einen der beiden Cluster durchgeführt werden:

1. Anlegen und editieren der fwkern.conf Datei:
touch $FWDIR/boot/modules/fwkern.conf
vi $FWDIR/boot/modules/fwkern.conf
2. Folgende zwei Zeilen hinzufügen ...
fwha_mac_magic=0xee
fwha_mac_forward_magic=0xdd
3. Reboot der Cluster Member. Fertig.