En este artículo, abordaremos un problema crítico en la implementación de Alta Disponibilidad (HA) en dispositivos FortiGate usando el Protocolo de Agrupación de FortiGate (FGCP). Un problema común es el «split-brain», que puede provocar que ambas unidades de FortiGate se consideren como principales, lo que resulta en interrupciones en la red. A continuación, describiremos cómo diagnosticar y mitigar este problema, asegurando que su red permanezca operativa y confiable.
Índice
Descripción del problema
En una implementación tradicional de HA en FGCP, FortiGate se basa en una interfaz de latido (heartbeat) para el intercambio de paquetes de heartbeat y determinar si los dispositivos miembros están funcionando correctamente. Si la interfaz de latido de un dispositivo miembro falla o se encuentra fuera de servicio, no se intercambiarán paquetes de latido y se producirá un estado de «split-brain». En este escenario, ambos miembros del clúster pueden declararse como maestros, lo que genera problemas de red continuos.
Alcance
Este artículo se aplica a FortiOS 7.6.0.
Diagnóstico paso a paso
En el siguiente ejemplo, hemos configurado el puerto 3 para intercambiar paquetes de latido:
Cuando el puerto 3 está fuera de servicio, ambos dispositivos FortiGate reclamarán el papel principal, ya que no reciben el paquete de latido del otro dispositivo:
La verificación del estado de HA en ambos FortiGate indica que ambos dispositivos se están reclamando como principales:
Solución recomendada
Para mitigar el escenario de «split-brain» cuando la interfaz de latido está fuera de servicio, se ha introducido una nueva función que actúa como interfaz de latido de respaldo (backup-hbdev). Esta funcionalidad, registrada con el ID de función 988753, asegura que la interfaz de latido de respaldo no procesará ningún paquete de latido hasta que se determine que el paquete de latido principal se ha perdido. En el siguiente ejemplo, el puerto 4 ha sido configurado como interfaz de latido de respaldo:
Con esta configuración, el puerto 4 será elegido como la interfaz de latido cuando el puerto 3 esté fuera de servicio:
En este escenario, no ocurrirá «split-brain» y el tráfico de los usuarios finales continuará fluyendo a través de la unidad principal:
Comandos CLI utilizados
Los comandos utilizados para configurar esta solución son cruciales para evitar problemas de latido y garantizar una implementación adecuada de HA. Asegúrese de familiarizarse con los siguientes comandos en la CLI:
config system ha– Muestra la configuración de HA.set heartbeat-interval– Establece el intervalo de latido.set backup-hbdev port4– Configura el puerto 4 como interfaz de latido de respaldo.
Buenas prácticas y recomendaciones
Para mantener una configuración de HA sólida y minimizar el riesgo de «split-brain», es recomendable seguir estas buenas prácticas:
- Monitorear constantemente el estado de las interfaces de latido.
- Implementar políticas de failover y asegurar que las configuraciones de red sean redundantes.
- Realizar pruebas periódicas de la configuración de HA.
Notas adicionales
Es importante mantener su hardware y software actualizados para aprovechar las últimas mejoras en estabilidad y seguridad. Además, asegúrese de operar en entornos de pruebas antes de aplicar cambios en entornos de producción.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!