En este artículo, abordaremos un problema crítico relacionado con la sincronización en alta disponibilidad (HA) en los dispositivos FortiGate, especialmente cuando se utilizan interfaces FortiLink. Comprender la naturaleza de este problema es esencial para garantizar una operación fluida y segura en entornos de red que dependen de una configuración de HA. A continuación, se presentará un diagnóstico detallado y una solución recomendada para asegurar que sus dispositivos estén correctamente configurados y sincronizados.
Índice
Descripción del problema
Este artículo describe cómo solucionar el problema de sincronización en HA provocado por la discrepancia en la configuración de las Interfaces FortiLink. Este problema puede resultar en una falta de formación de clúster HA, lo que afecta la disponibilidad y la redundancia de su red.
Alcance
FortiGate.
Diagnóstico paso a paso
En algunos escenarios, las versiones anteriores del firmware de FortiGate configuradas con la Interface FortiLink tendrán el tipo de interfaz como ‘hard-switch’. Es fundamental entender que al utilizar una interfaz de este tipo en un entorno de HA, pueden surgir problemas de sincronización al actualizar o comparar con otro FortiGate en una versión de firmware más reciente.
Solución recomendada
Ejemplo de configuración de un dispositivo con firmware antiguo:
config system interface
edit «fortilink»
set vdom «root»
set fortilink enable
set allowaccess ping fabric
set type hard-switch
end
En las versiones más recientes del firmware, la interfaz FortiLink se configurará por defecto con ‘aggregate’ como tipo, y esto no se puede cambiar.
Ejemplo de configuración de un dispositivo con firmware reciente:
config system interface
edit «fortilink»
set vdom «root»
set fortilink enable
set allowaccess ping fabric
set type aggregate
end
Si un FortiGate con interfaz FortiLink tipo ‘hard-switch’ se actualiza a una versión reciente, el tipo permanecerá como está. Si este FortiGate se configura en un clúster HA con otro FortiGate corriendo en firmware más reciente, el HA no se formará correctamente.
Nota: El tipo de la interfaz no se puede cambiar una vez creado, ya que está codificado de forma rígida.
Dado que el tipo de interfaz para FortiLink no se puede cambiar en ninguno de los cortafuegos, este problema solo puede solucionarse realizando un Formateo y Reinstalación del FortiGate que tiene el tipo de interfaz FortiLink como ‘hard-switch’.
Después de un Formateo y Reinstalación, el FortiGate tendrá una interfaz FortiLink con tipo ‘aggregate’ y se podrá formar HA sin inconvenientes.
Comandos CLI utilizados
Los comandos CLI mencionados a lo largo de este artículo son esenciales para configurar y diagnosticar las interfaces FortiLink. Asegúrese de ejecutarlos en el orden indicado para evitar problemas adicionales.
Buenas prácticas y recomendaciones
Para evitar problemas de sincronización en el futuro, siga estas recomendaciones:
- Verifique regularmente las versiones del firmware en sus dispositivos FortiGate.
- Evite mezclar versiones de firmware entre dispositivos en un clúster HA.
- Realice copias de seguridad de la configuración antes de realizar actualizaciones o cambios en la configuración.
Notas adicionales
Para más detalles sobre el formateo y la reinstalación del firmware, consulte la Consejo Técnico: Formatear y cargar la imagen de firmware de FortiGate utilizando TFTP.
Para información sobre Alta Disponibilidad (FGCP), visite la Guía Administrativa de FGCP.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!