El presente artículo aborda el cambio del parámetro ‘hif-queue-customize’ en un entorno de Alta Disponibilidad (HA) en dispositivos FortiGate NP7. Comprender las implicaciones de este cambio es crucial, ya que puede afectar la sincronización y la operación continua de las unidades. Esta guía proporcionará un diagnóstico paso a paso y una solución recomendada para aplicar este cambio con el mínimo impacto.
Índice
Descripción del problema
Modificaciones en el parámetro ‘hif-queue-customize’ requieren un reinicio del sistema para que surtan efecto. En un clúster HA, ambas unidades se reiniciarán simultáneamente, lo que implica que puede haber interrupciones en el servicio.
Alcance
Este artículo se aplica a los modelos FortiGate NP7, que son utilizados en configuraciones de alta disponibilidad.
Diagnóstico paso a paso
A continuación, se presentan los pasos para diagnosticar y aplicar el cambio en el sistema:
- Acceder a la CLI del FortiGate.
- Verificar la configuración actual del parámetro ‘hif-queue-customize’.
- Planificar el reinicio para minimizar el impacto en los servicios.
Solución recomendada
Para realizar el cambio del parámetro ‘hif-queue-customize’, utilice los siguientes comandos en la CLI.
El valor predeterminado de ‘hif-queue-customize’ es ‘numa-affinity’, mientras que la otra opción disponible es ‘all-cpus’. El cambio se hace mediante la configuración del NPU:
FW-01 # config system npu
FW-01 (npu) # set hif-queue-customize all-cpus
FW-01 (npu) # end
La configuración surtirá efecto tras el reinicio del sistema. Para continuar, debe confirmar el reinicio:
Do you want to continue? (y/n) y
Si selecciona ‘n’, el cambio se descartará. Para minimizar el impacto, es recomendable aislar la unidad secundaria desconectando todos los cables (incluidos los cables HA).
Proceda con el cambio en la unidad secundaria (vía consola). La unidad secundaria se reiniciará, mientras que la unidad principal continuará en producción. Cuando la unidad secundaria esté activa nuevamente, se debe transferir el tráfico de la unidad principal a la secundaria.
Desconecte todos los cables de la unidad principal para aislarla. Esto resultará en un tiempo de inactividad. Conecte todos los cables a la unidad secundaria y realice las pruebas necesarias para validar el funcionamiento del entorno.
Si todo funciona como se espera, aplique el cambio de NPU a la unidad principal. Una vez que la unidad principal esté activa, reconecte solo los cables HA y espere la sincronización antes de reconectar todos los cables de la unidad principal.
Comandos CLI utilizados
FW-01 # config system npu
FW-01 (npu) # set hif-queue-customize all-cpus
FW-01 (npu) # end
Buenas prácticas y recomendaciones
Asegúrese de contar con un respaldo actualizado de la configuración antes de realizar cambios significativos. Es aconsejable implementar cambios en horarios de menor actividad para minimizar el impacto en servicios críticos. Además, realice pruebas exhaustivas después de realizar cualquier cambio de configuración.
Notas adicionales
Recuerde que cualquier cambio efectuado en un entorno HA debe ser evaluado cuidadosamente, ya que puede afectar la estabilidad y el rendimiento del sistema. Mantenga siempre actualizado el firmware de su FortiGate para beneficiarse de las mejoras de seguridad y estabilidad.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!