Cómo resolver el mensaje de expiración del temporizador de inactividad OSPF en los registros de depuración de Fortinet

El presente artículo aborda un problema común en las redes OSPF que puede afectar la conectividad entre routers FortiGate. La notificación de «tiempo de inactividad expirada» puede resultar problemática, ya que indica que no se han recibido paquetes Hello en el intervalo establecido, lo que puede afectar el estado de la conexión en la red. A través de este artículo, se proporcionarán explicaciones claras y soluciones para resolver este problema.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

El mensaje de «tiempo de inactividad expirada» en los registros de depuración de OSPF se genera cuando un router FortiGate no recibe paquetes Hello de un vecino dentro del intervalo muerto establecido. Esto provoca que el estado de la conexión OSPF cambie de «Full» a «Down», afectando la comunicación entre routers y potencialmente interrumpiendo el funcionamiento normal de la red.

Alcance

Este artículo es aplicable a dispositivos FortiGate que funcionan con la versión 7 del sistema operativo.

Diagnóstico paso a paso

A continuación, se describen los pasos para diagnosticar el problema de la inactividad en el contexto OSPF:

Verificar los registros de OSPF para identificar si los paquetes Hello han dejado de recibirse.
Comparar los intervalos de Hello y Dead entre el FortiGate y el router vecino; ambos deben coincidir.
Comprobar la estabilidad de la conexión de red para identificar posibles pérdidas de paquetes.
Confirmar que el router vecino esté funcionando y no haya sufrido un reinicio inesperado.
Evaluar el uso de recursos en la NPU, que podría estar provocando pérdidas de paquetes en modo de conservación.

Solución recomendada

La configuración predeterminada del intervalo Hello en FortiGate es de 10 segundos, y el intervalo Dead es de 40 segundos. Para garantizar que se reciban paquetes Hello en el tiempo esperado, es crucial que ambos routers tengan configuraciones consistentes en estos intervalos.

Por ejemplo: En los registros de depuración de OSPF a continuación, se observa que el último paquete Hello se recibió a las 10:12:40, y 40 segundos después, la conexión cambió a estado Down debido a la ausencia de paquetes Hello subsecuentes del vecino.

2024-11-20 10:12:40 OSPF: RECV[Hello]: Desde 10.10.1.1 a través de port1:10.10.1.2 (10.10.1.1 -> 224.0.0.5)
2024-11-20 10:13:20 OSPF: NFSM[port1:10.10.1.2-10.10.1.1]: Expiración del temporizador de inactividad
2024-11-20 10:13:20 OSPF: NFSM[port1:10.10.1.2-10.10.1.1]: Cambio de estado Full -> Down
2024-11-20 10:13:20 id=20302 msg=»OSPF: %OSPF-5-ADJCHANGE: el vecino port1:10.10.1.2-10.10.1.1 ha caído»

Existen múltiples razones por las cuales puede ocurrir este problema:

Si los intervalos Hello y Dead no son iguales en el router vecino.
Pérdida de paquetes o una conexión de red inestable que impida la recepción o transmisión de paquetes Hello.
Problemas en la entrega de paquetes multicast.
Problemas en la NPU o alta utilización de recursos (modo de conservación) que cause pérdida de paquetes.
El router vecino puede haber fallado o reiniciado.

Comandos CLI utilizados

A continuación, se presentan los comandos CLI útiles para la solución del problema:

show ip ospf neighbor

Este comando permite verificar el estado de los vecinos OSPF y ayudar a identificar si la conexión está activa.

Buenas prácticas y recomendaciones

Para prevenir problemas similares en el futuro, se recomiendan las siguientes buenas prácticas:

Asegurar que los intervalos Hello y Dead sean consistentes en todos los routers OSPF de la red.
Monitorear la estabilidad de la red y la calidad de las conexiones para minimizar pérdidas de paquetes.
Mantener actualizados los dispositivos FortiGate y aplicar parches de seguridad regularmente.
Realizar auditorías periódicas del estado de las conexiones OSPF para detectar problemas con anticipación.

Notas adicionales

Es fundamental estar al tanto de la configuración de cada dispositivo en la red y ser proactivo en la resolución de problemas de conectividad. La correcta configuración de OSPF es vital para la integridad y la fluidez de las operaciones de la red.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo solucionar el error al cargar ‘Crear Certificado’ en Fortinet bajo Sistema > Certificados
En este artículo, abordaremos un problema común que afecta a los dispositivos FortiGate, específicamente en versiones v7.2.7, v7.2.8 y v7.6.0. El problema se presenta cuando la página de creación de certificados no se carga completamente, mostrando un ícono de carga continuo. Esto es importante porque puede afectar la capacidad de los administradores para gestionar la Leer
Cómo resolver el problema de obtener el Client-IP desde X-Forwarded-For y aplicarlo a la política del firewall de Fortinet
Este artículo aborda un problema común en entornos de red donde se utiliza un Application Gateway (AGW) detrás de un dispositivo FortiGate. Cuando el AGW traduce las direcciones IP de origen al IP externo del AGW, FortiGate no puede identificar la IP real del cliente. Esto es esencial ya que afecta la capacidad de aplicar Leer
Cómo solucionar la página de advertencia personalizada al acceder a un sitio web de IA
error code: 524 ¿Te ha resultado útil?? SiNo 0 / 0 Mila y CésarHola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite. ¡Si te gusta nuestro contenido Leer
Resincronizar el túnel IPsec en el esclavo de HA cuando está caído
Buenas 🙌, para los que nos os acordéis de mí soy César Sánchez y hoy os voy a ayudar con: ⏬ Resincronizar el túnel IPsec en el esclavo de HA cuando está caído Inicie sesión en el FortiGate maestro y compruebe el pid del proceso hasync y reinícielo. Este es el ejemplo: # FGT # Leer
Cómo solucionar la eliminación del feed de amenazas de nombre de dominio externo en Fortinet
En este artículo técnico, abordaremos un problema común que enfrentan los administradores de FortiGate: la imposibilidad de eliminar un feed de amenazas de nombre de dominio externo que no tiene referencias. Entender cómo gestionar estas configuraciones es crucial para mantener la seguridad y la eficacia en la administración de la red. A continuación, proporcionaremos una Leer