Cómo resolver el problema de «interface flapping» en FortiGate desplegado en Azure.

0
0
0

Este artículo aborda un problema común que puede surgir en implementaciones de FortiGate en la nube de Azure, específicamente referente al parpadeo de interfaces del firewall. Este problema es crítico, ya que puede comprometer la disponibilidad y la seguridad de la infraestructura de red. A través de este artículo, se ofrece un diagnóstico detallado y pasos para resolver este problema, asegurando la continuidad del servicio.

Descripción del problema

En ciertos escenarios de HA activa-pasiva con la implementación de un conector SDN, es posible que las interfaces de FortiGate en Azure experimenten flaps o cambios constantes en el estado de conexión. Este comportamiento puede desencadenar una falla en el failover (cambio a un sistema de respaldo) y afectar la conectividad de red.

Alcance

Este problema afecta a los dispositivos FortiGate que operan en entornos de Azure, particularmente aquellos configurados para soportar alta disponibilidad (HA) y conectividad a través de un conector SDN.

Diagnóstico paso a paso

La identificación de flaps en las interfaces se puede realizar mediante los registros (logs) generados por el sistema. A continuación, se presentan los pasos para diagnosticar el problema:

  1. En los registros de HA, se observarán flaps continuos en los puertos:

<2024-09-27 05:02:40> port port2 link status changed: 0->1
<2024-09-27 05:02:40> port port1 link status changed: 0->1
<2024-09-27 05:02:39> port port2 link status changed: 1->0
<2024-09-27 05:02:38> port port1 link status changed: 1->0
<2024-09-27 05:01:40> port port2 link status changed: 0->1
<2024-09-27 05:01:40> port port1 link status changed: 0->1

  1. En el registro de HA, se generarán registros similares:
Artículos relacionados  Cómo resolver problemas de soporte SSL VPN en modelos FortiGate

date=2024-09-27 time=04:52:40 eventtime=1727430760307635869 tz="-0500" logid="0108035013" type="event" subtype="ha" level="error" vd="root" logdesc="HA failover failed" msg="azd failed to add public ip in nic azprf-fortigate-fw-FGT-A-Nic1"

  1. Desde el registro de fallos, se puede observar que el proceso azd está desactivando la interfaz:

16380: 2024-09-27 04:45:40 Interface port2 is brought up. process_id=2424, process_name="azd"
16381: 2024-09-27 04:46:38 Interface port1 is brought down. process_id=2424, process_name="azd"
16382: 2024-09-27 04:46:38 Interface port2 is brought down. process_id=2424, process_name="azd"
16383: 2024-09-27 04:46:40 Interface port1 is brought up. process_id=2424, process_name="azd"
16384: 2024-09-27 04:46:40 Interface port2 is brought up. process_id=2424, process_name="azd"

  1. Si los registros anteriores coinciden, se debe habilitar el depurador para el conector SDN utilizando los siguientes comandos:

diagnose debug application azd -1

diagnose debug enable

Verifica si se generan registros de fallos similares de la API:

azd api failed, url = https://management.azure.com/subscriptions/ec162d24-afb6-4bb7-9c1d-6b73b5e13791/resourceGroups/hrcaz-pr/providers/Microsoft.Network/publicIPAddresses/AZPR-nuance-lb?api-version=2023-09-01

El log hrcaz-pr contiene la información del grupo de recursos donde el firewall está utilizando una consulta de API para obtener la información de la dirección IP del AZPR-nuance-lb.

Solución recomendada

Para resolver este problema, es necesario mapear el grupo de recursos correcto realizando cambios ya sea en el FortiGate o en Azure. Los siguientes comandos CLI pueden ser utilizados para cambiar el grupo de recursos para la dirección IP pública en el firewall de FortiGate:

config system sdn-connector
    edit "AzureHA"
        config nic
            edit "FGT-FGT-A-Nic1"
                config ip
                    edit "ipconfig1"
                        set public-ip "FGTPublicIP"
                        set resource-group ''
                    next
                edit "Test_IP"
                    set public-ip "AZPR-nuance-lb"
                    set resource-group '<resource_group_name as on Azure>'
                next
            next
        end
    next
end

Comandos CLI utilizados

  • diagnose debug application azd -1: Habilita el depurador para analizar el proceso azd relacionado con el conector SDN.
  • diagnose debug enable: Activa el modo de depuración en el dispositivo para observar la salida de errores relevantes.
  • Comandos para configuración de grupos de recursos y direcciones IP en la interfaz de FortiGate.
Artículos relacionados  Visión general de las funciones de Host Protection Engine (HPE)

Buenas prácticas y recomendaciones

Es recomendable mantener una documentación clara de la configuración de su firewall y sus componentes de alta disponibilidad. Asegúrese de realizar pruebas regulares de failover para verificar que todos los sistemas funcionen correctamente y de que la conectividad se mantiene estable.

Notas adicionales

Si los problemas persisten después de seguir los pasos anterior, puede ser útil consultar la documentación oficial de Fortinet o ponerse en contacto con el soporte técnico para asistencia adicional.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *