En este artículo, se abordará un problema conocido en FortiGate relacionado con la visualización incorrecta de los registros de SD-WAN. Este problema ocurre cuando los registros muestran la interfaz de túnel padre en lugar de la interfaz de túnel de acceso directo en ciertos eventos de verificación del estado de salud. Comprender este problema es crucial para garantizar una administración eficiente de la configuración de red y el monitoreo del rendimiento, especialmente en la optimización de las conexiones en entornos de red empresarial.
Índice
Descripción del problema
El artículo describe un problema conocido donde los registros de SD-WAN muestran la interfaz de túnel padre en lugar de la interfaz de túnel de acceso directo durante eventos específicos de verificación del estado de salud. Esto puede dificultar el diagnóstico y la resolución de problemas en la red.
Alcance
Este problema afecta a FortiGate v7.2.8 y versiones anteriores.
Diagnóstico paso a paso
Cuando falla la verificación de estado de una interfaz de túnel de acceso directo, se pueden observar los siguientes registros en los eventos de SD-WAN:
itime=1727691041 date=»2024-09-30″ devid=»FGT60FTK*****» vd=»root» type=»event» subtype=»sdwan» bibandwidthavailable=»2.00Gbps» bibandwidthused=»0kbps» bid=21721635 devname=»FW1″ dstepid=3 dsteuid=3 dvid=1614 epid=104 euid=3 eventtime=1727691055771806489 eventtype=»SLA» healthcheck=»Corporate_SLA» id=7420376518703974948 inbandwidthavailable=»1000.00Mbps» time=»11:10:56″ inbandwidthused=»0kbps» interface=»iNet_B_H_0» msg=»Health Check SLA status. SLA failed due to being over the performance metric threshold.» status=»down» jitter=»0.000″ latency=»0.000″ level=»notice» logdesc=»SDWAN SLA notification» logid=»0113022933″ logver=702084898 metric=»packetloss» moscodec=»unsupported codec!» mosvalue=»0.000″ outbandwidthavailable=»1000.00Mbps» outbandwidthused=»0kbps» packetloss=»11.000″ slamap=»0x0″ slatargetid=1 tz=»+0100″
itime=1727691041 date=»2024-09-30″ devid=»FGT60FTK*****» vd=»root» type=»event» subtype=»sdwan» bid=21721635 devname=»FW1″ dstepid=3 dsteuid=3 dvid=1614 epid=3 euid=3 eventtime=1727691055770936709 eventtype=»Health Check» healthcheck=»Corporate_SLA» id=7420376518703974947 time=»11:10:56″ interface=»iNet_B_H_0» msg=»SD-WAN health-check member changed state.» newvalue=»dead» oldvalue=»alive» level=»warning» logdesc=»SDWAN SLA information warning» logid=»0113022931″ logver=702084898 probeproto=»ping» tz=»+0100″
Sin embargo, los registros siguientes muestran la interfaz de túnel padre, ‘iNet_B_H’, en lugar de la interfaz de túnel de acceso directo ‘iNet_B_H_0’:
itime=1727691041 date=»2024-09-30″ devid=»FGT60FTK*****» vd=»root» type=»event» subtype=»sdwan» bid=21721635 devname=»FW1″ dstepid=3 dsteuid=3 dvid=1614 epid=3 euid=3 eventtime=1727691056071762769 eventtype=»Service» gateway=»192.168.1.2″ id=7420376518703975120 time=»11:10:56″ interface=»iNet_B_H» msg=»Member link is unreachable or miss threshold. Stop forwarding traffic.» service=»Spoke_Guest» level=»notice» logdesc=»SDWAN status» logid=»0113022923″ logver=702084898 member=»1″ metric=»latency» serviceid=12 tz=»+0100″
itime=1727691041 date=»2024-09-30″ devid=»FGT60FTK*****» vd=»root» type=»event» subtype=»sdwan» bid=21721635 devname=»FW1″ dstepid=3 dsteuid=3 dvid=1614 epid=3 euid=3 eventtime=1727691056071607529 eventtype=»Service» gateway=»192.168.1.2″ id=7420376518703975118 time=»11:10:56″ interface=»iNet_B_H» msg=»Member link is unreachable or miss threshold. Stop forwarding traffic.» service=»Spoke_LAN» level=»notice» logdesc=»SDWAN status» logid=»0113022923″ logver=702084898 member=»1″ metric=»latency» serviceid=9 tz=»+0100″
itime=1727691041 date=»2024-09-30″ devid=»FGT60FTK*****» vd=»root» type=»event» subtype=»sdwan» bid=21721635 devname=»FW1″ dstepid=3 dsteuid=3 dvid=1614 epid=3 euid=3 eventtime=1727691056071440089 eventtype=»Service» gateway=»192.168.1.2″ id=7420376518703975116 time=»11:10:56″ interface=»iNet_B_H» msg=»Member link is unreachable or miss threshold. Stop forwarding traffic.» service=»Spoke_VOIP_» level=»notice» logdesc=»SDWAN status» logid=»0113022923″ logver=702084898 member=»1″ metric=»latency» serviceid=7 tz=»+0100″
itime=1727691041 date=»2024-09-30″ devid=»FGT60FTK*****» vd=»root» type=»event» subtype=»sdwan» bid=21721635 devname=»FW1″ dstepid=3 dsteuid=3 dvid=1614 epid=104 euid=3 eventtime=1727691056071279969 eventtype=»Service» gateway=»192.168.1.2″ id=7420376518703975114 time=»11:10:56″ interface=»iNet_B_H» msg=»Member link is unreachable or miss threshold. Stop forwarding traffic.» service=»Spoke_LAN» level=»notice» logdesc=»SDWAN status» logid=»0113022923″ logver=702084898 member=»1″ metric=»latency» serviceid=5 tz=»+0100″
itime=1727691041 date=»2024-09-30″ devid=»FGT60FTK*****» vd=»root» type=»event» subtype=»sdwan» bid=21721635 devname=»FW1″ dstepid=3 dsteuid=3 dvid=1614 epid=3 euid=3 eventtime=1727691056071116589 eventtype=»Service» gateway=»192.168.1.2″ id=7420376518703975112 time=»11:10:56″ interface=»iNet_B_H» msg=»Member link is unreachable or miss threshold. Stop forwarding traffic.» service=»Spoke_LAN_To1″ level=»notice» logdesc=»SDWAN status» logid=»0113022923″ logver=702084898 member=»1″ metric=»latency» serviceid=3 tz=»+0100″
itime=1727691041 date=»2024-09-30″ devid=»FGT60FTK*****» vd=»root» type=»event» subtype=»sdwan» bid=21721635 devname=»FW1″ dstepid=3 dsteuid=3 dvid=1614 epid=3 euid=3 eventtime=1727691056070911949 eventtype=»Service» gateway=»192.168.1.2″ id=7420376518703975110 time=»11:10:56″ interface=»iNet_B_H» msg=»Member link is unreachable or miss threshold. Stop forwarding traffic.» service=»RC_MGMNT_R1″ level=»notice» logdesc=»SDWAN status» logid=»0113022923″ logver=702084898 member=»1″ metric=»latency» serviceid=1 tz=»+0100″
Este problema ha sido resuelto en v7.6.1.
Solución recomendada
Para abordar este problema, es recomendado actualizar a la versión 7.6.1 de FortiGate, donde se ha corregido el comportamiento erróneo de los registros de SD-WAN. Esto asegurará que los registros reflejen correctamente la interfaz de túnel de acceso directo, facilitando el monitoreo y diagnóstico adecuado de la red.
Comandos CLI utilizados
Durante el diagnóstico y resolución de este problema, se pueden utilizar varios comandos de la interfaz de línea de comandos para verificar el estado de las interfaces. Algunos comandos útiles son:
get system performance firewall: Muestra el rendimiento del firewall.diagnose sys top: Muestra el uso de recursos del sistema.diagnose sys sdwan status: Proporciona información sobre el estado del SD-WAN.
Buenas prácticas y recomendaciones
- Realizar actualizaciones regulares de software para mantener la seguridad y estabilidad de la red.
- Monitorear constantemente los registros de SD-WAN para identificar y resolver rápidamente problemas de conectividad.
- Configurar correctamente las interfaces y servicios asociados para evitar confusiones en la visualización de registros.
Notas adicionales
Es recomendable revisar la documentación oficial de Fortinet y mantenerse al tanto de las actualizaciones y parches de seguridad. Esto es importante para asegurar el funcionamiento óptimo de su dispositivo FortiGate y la protección de su infraestructura de red.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!