Este artículo aborda un problema técnico relacionado con la sensibilidad a mayúsculas de los nombres de grupos en la configuración de Alta Disponibilidad (HA) en dispositivos FortiGate. Este tema es crucial porque una discrepancia en el nombre del grupo puede impedir el establecimiento de la conexión HA, lo que resulta en un escenario de «split-brain» que afecta la disponibilidad de la red. A lo largo de este artículo, exploraremos cómo diagnosticar y resolver este problema.
Índice
Descripción del problema
La configuración de HA entre dos dispositivos FortiGate requiere que ambos tengan el mismo nombre de grupo. Es importante notar que el nombre del grupo es sensible a las mayúsculas. Por lo tanto, si los nombres de grupo no coinciden exactamente en términos de letras mayúsculas y minúsculas, la conexión HA no se establecerá correctamente.
Alcance
Este problema afecta a dispositivos FortiGate en configuraciones de Alta Disponibilidad (HA).
Diagnóstico paso a paso
A continuación, se presentan ejemplos de configuraciones de HA de dos dispositivos FortiGate que muestran cómo una simple discrepancia en el uso de mayúsculas puede causar problemas:
chameleon-kvm183 # show system ha config system haset group-id 100set group-name "SAmple"set mode a-pset hbdev "port2" 0set override disableend
chameleon-kvm182 # show system ha config system haset group-id 100set group-name "Sample"set mode a-pset hbdev "port2" 0set override disableend
En este caso, aunque los nombres de grupo parecen similares, la diferencia en la capitalización resulta en que ambos dispositivos se consideran a sí mismos como el maestro, generando un escenario de «split-brain».
Solución recomendada
Para resolver este problema, los usuarios deben asegurarse de que el nombre del grupo coincida exactamente en ambas instancias FortiGate. Esto incluye una verificación manual para asegurarse de que la capitalización sea la misma. A continuación, se presenta el estado HA de ambos dispositivos:
chameleon-kvm182 # get system ha status HA Health Status: OKModel: FortiGate-VM64-KVMMode: HA A-PGroup Name: SampleGroup ID: 100
…
chameleon-kvm183 # get system ha status HA Health Status: OKModel: FortiGate-VM64-KVMMode: HA A-PGroup Name: SAmpleGroup ID: 100
…
Comandos CLI utilizados
Los siguientes comandos son útiles para diagnosticar y verificar la configuración de HA:
diagnose debug console timestamp enable– Este comando habilita las marcas de tiempo en los mensajes de depuración.diagnose debug application hatalk -1– Activa la depuración del proceso ‘hatalk’ que se encarga de la comunicación entre los dispositivos HA.get system ha status– Proporciona el estado actual de la configuración HA.
Buenas prácticas y recomendaciones
- Los usuarios deben asegurarse de que el nombre del grupo coincida exactamente en ambos nodos FortiGate, prestando atención a las mayúsculas y minúsculas.
- Se recomienda realizar un análisis de paquetes en la interfaz de «Heartbeat» para verificar la información intercambiada entre los dispositivos y entender qué datos son enviados por cada uno.
- A continuación, se muestra un ejemplo de un análisis de paquetes en la interfaz HB:
Notas adicionales
Es importante destacar que la depuración del proceso ‘talk’ no mostrará errores relacionados con una discrepancia de mayúsculas en el nombre del grupo HA, lo que puede dificultar la identificación del problema. Por lo tanto, la verificación manual del nombre del grupo es clave para evitar problemas de conexión en HA.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!