Este artículo aborda un problema común en clústeres de FortiGate donde el contador FGSP recv_err aumenta, lo que puede indicar errores en la sincronización de sesiones. Esta situación es crucial porque aunque el aumento del contador puede no afectar de inmediato el rendimiento del clúster, errores prolongados podrían generar inquietudes sobre la estabilidad del sistema. A través de este artículo, se proporcionarán pasos para diagnosticar y resolver este problema.
Índice
Descripción del problema
El contador FGSP recv_err puede incrementar en entornos de clúster, señalando posibles errores de sincronización de sesiones. La sincronización de sesiones es clave para mantener la funcionalidad y estabilidad del clúster, evitando la pérdida de datos o desconexiones inesperadas.
Alcance
Este artículo se aplica a todos los dispositivos FortiGate que operan en un clúster FGSP.
Diagnóstico paso a paso
Para verificar el contador FGSP recv_err, se puede ejecutar el siguiente comando:
diagnose sys session syncEl resultado de este comando incluirá detalles sobre la sincronización de sesiones, mostrando los contadores para crear, actualizar, eliminar y consultar sesiones, así como cualquier error recibido.
Solución recomendada
Para resolver el problema de los contadores FGSP recv_err en aumento, es esencial configurar interfaces de session-sync-dev idénticas para todos los miembros de FortiGate en el clúster FGSP. Esto asegura una correcta sincronización de sesiones y previene el aumento del contador sin impactar en el tráfico o en la gestión de sesiones.
Para configurar estas interfaces, ejecute los siguientes comandos:
config system standalone-cluster
set session-sync-dev "<interface 1>" "<interface 2>"
endComandos CLI utilizados
En un clúster FGSP, las siguientes configuraciones son necesarias:
Por ejemplo, si hay dos FortiGates en el clúster, se deben configurar de la siguiente manera:
En FortiGate A:
config system standalone-cluster
set session-sync-dev "port1" "port2"
endEn FortiGate B:
config system standalone-cluster
set session-sync-dev "port1" "port2"
endPara condiciones de uso de este comando, consulte el artículo siguiente:
Nota: Cuando los pares FGSP se forman entre FortiGates independientes, el proceso de sincronización de sesiones se realiza mediante el kernel con encapsulación UDP. Al utilizar una interfaz de sincronización de sesiones FGSP, el proceso de sincronización también se descarga al kernel, aunque de manera más eficiente sin la encapsulación UDP.
Buenas prácticas y recomendaciones
Se recomienda utilizar una conexión L2 rápida, dedicada y estable para la interfaz de sincronización de sesiones entre los pares FGSP. Para redundancia, se pueden configurar múltiples interfaces de sincronización. La interfaz de sincronización de sesiones o las interfaces deberían ser siempre las mismas en cada par FGSP.
Notas adicionales
Recuerde que la configuración adecuada de las interfaces de sincronización es vital para el correcto funcionamiento y estabilidad de su clúster FortiGate. Es importante mantener esta configuración rastreada y revisada periódicamente para evitar futuros problemas de sincronización.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!