En este artículo, abordamos un problema común relacionado con el cambio de modo de operación del clúster HA en dispositivos FortiGate. Este asunto es crucial porque, si el modo no se configura correctamente, puede afectar la disponibilidad y el rendimiento de la red. Este artículo te guiará a través de un proceso detallado para resolver el problema y asegurar una configuración óptima.
Índice
Descripción del problema
El problema surge al intentar cambiar el modo de operación de un clúster HA de FortiGate con una configuración de anulación activa. Este cambio es esencial para asegurar que ambos dispositivos FortiGate en el clúster operen de manera colaborativa, mejorando la redundancia y la disponibilidad de la red.
Alcance
Este artículo se centra en los dispositivos FortiGate, específicamente en el procedimiento para modificar su configuración de HA (Alta Disponibilidad).
Diagnóstico paso a paso
Antes de proceder, es necesario seguir una serie de pasos para asegurar que la transición del modo se realice sin problemas. El diagnóstico incluye:
- Verificar el estado actual del clúster HA en ambos dispositivos FortiGate.
- Asegurarse de que ambos dispositivos estén en la misma versión de firmware.
- Comprobar que los dispositivos tengan la conectividad necesaria entre ellos.
Solución recomendada
Resumen de Hardware:
####################################### FortiGate-1 FG100ETK11111111 Primary Priority 135 FortiGate-100E v7.2.7,build1577,240131 (GA.M Override Enable Mode: Active - Active FortiGate-2 FG100ETK22222222 Secondary Priority 130 FortiGate-100E v7.2.7,build1577,240131 (GA.M Override Enable Mode: Active-Active #######################################
Preparación:
- Un técnico debe estar presente para conectarse físicamente al equipo.
- Realizar una copia de seguridad completa del dispositivo Primario (FortiGate-1).
Procedimiento:
- Realizar una copia de seguridad completa del FortiGate primario, FortiGate-1 (FG100ETK11111111).
- Desconectar físicamente (todos los cables) el FortiGate Secundario ‘FortiGate-2’ del clúster. En este caso, el tráfico se redirigirá a través de FortiGate-1 (Primario).
- Conectar vía ssh (CLI) al FortiGate-1 (Primario) y ejecutar lo siguiente:
config system ha
set mode a-p
end
- Conectar a través de consola al FortiGate-2 (Secundario) y ejecutar lo siguiente:
config system ha
set mode a-p
end
execute reboot
- Después de reiniciar, conectar físicamente FortiGate-2 (Secundario) al clúster y esperar a que los FortiGates se sincronizen.
- El tráfico continúa pasando a través de FortiGate-1 (Activo).
- Una vez finalizada la sincronización, realizar una copia de seguridad y guardarla para futuras referencias.
Comandos CLI utilizados
config system ha
set mode a-p
end
execute rebootEstos comandos configuran el modo del clúster y reinician el dispositivo secundario para aplicar los cambios.
Buenas prácticas y recomendaciones
- Asegurarse de realizar copias de seguridad de la configuración antes de realizar cambios significativos.
- Mantener los equipos actualizados con la última versión del firmware.
- Realizar pruebas de conectividad entre los dispositivos del clúster después de cualquier modificación.
Notas adicionales
Es importante entender que los cambios en la configuración pueden afectar temporalmente el tráfico de la red. Por lo tanto, es recomendable realizar este tipo de mantenimiento en horas de menor actividad.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!