Este artículo aborda un problema común que impide a FortiGate gestionar FortiAP, crucial para mantener una red segura y optimizada. La incapacidad de gestionar correctamente FortiAP puede resultar en una deficiencia en la conectividad y en la administración de dispositivos de red, lo que afecta el rendimiento general de la infraestructura de seguridad. A continuación, se detallarán los síntomas, el diagnóstico y la solución para este inconveniente específico.
Índice
Descripción del problema
FortiGate puede no ser capaz de gestionar FortiAP, a pesar de que la Conexión del Fabric de Seguridad está habilitada en la interfaz. Las capturas de paquetes indican que FortiGate no está respondiendo al tráfico CAPWAP que recibe.
Alcance
Este artículo se aplica a FortiGate v7.2.7.
Diagnóstico paso a paso
1. Analice las capturas de paquetes para identificar si hay tráfico de CAPWAP que no está siendo respondido. El siguiente log muestra ejemplos de tráfico que no tiene respuesta:
2024-04-04 11:47:18.130238 Network in 10.20.47.101.5246 -> 10.20.47.97.5246: udp 284
2024-04-04 11:47:19.129022 Network in 10.20.47.101.5246 -> 10.20.47.97.5246: udp 284
2024-04-04 11:47:20.128723 Network in 10.20.47.101.5246 -> 10.20.47.97.5246: udp 284
2. Revise los logs de errores para verificar si los demonios capwap ac (cw_acd) y capwap wtp (cw_wtpd) están reiniciándose continuamente, lo que puede provocar que FortiGate no gestione correctamente FortiAP:
diagnose debug crashlog read
16375: 2024-04-04 12:11:27 the killed daemon is /bin/cw_wtpd: status=0x100
16376: 2024-04-04 12:11:28 the killed daemon is /bin/cw_acd: status=0x100
...
3. Es posible que observe un alto uso de CPU intermitente para estos demonios que están fallando, como se indica a continuación:
cw_acd 24967 R 67.4 1.5 1
cw_acd 24989 R 26.5 0.6 2
cw_wtpd 24990 R 15.6 0.6 1
cw_acd 25000 R 58.8 1.4 6
4. También pueden aparecer errores en la salida de depuración de cw_acd:
diagnose debug application cw_acd -1
diagnose debug enable
00000.545 511 cwUdpSocketInit: bind failed for sock (9) -- Address already in use
00000.545 511 cwWtpInit: failed to get UDP socket (-1) for capwap sniff
00000.545 511 /bin/cw_wtpd/main: cwWtpInit() failed.
Solución recomendada
Este problema se ha resuelto en FortiOS v7.2.9, v7.4.4 y v7.6.0. Como solución temporal, intente reiniciar FortiGate para restablecer los demonios que podrían estar causando la interrupción.
Comandos CLI utilizados
Algunos comandos CLI útiles para diagnosticar este problema incluyen:
diagnose debug crashlog read— Revisa el log de errores para identificar procesos fallidos.diagnose debug application cw_acd -1— Activa la depuración del demoniocw_acd.diagnose debug enable— Permite la depuración, habilitando la captura de errores en tiempo real.
Buenas prácticas y recomendaciones
Para evitar problemas futuros con la gestión de FortiAP en FortiGate, considere las siguientes recomendaciones:
- Mantenga siempre su FortiGate y FortiAP actualizados a la última versión de firmware.
- Realice auditorías periódicas de su configuración de red y de los logs para identificar problemas antes de que afecten el rendimiento.
- Revise la configuración de la Conexión del Fabric de Seguridad para asegurar que está correctamente habilitada.
Notas adicionales
Si después de seguir estos pasos el problema persiste, podría ser necesario contactar a soporte técnico de Fortinet para una asistencia más detallada.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!