Cómo solucionar el problema de parpadeo de direcciones en FortiGate con el conector de VMware

En este artículo, abordaremos el problema del parpadeo de direcciones en FortiGate, que puede ser causado por problemas con el conector de VMware. Este tema es relevante porque el parpadeo puede afectar la configuración de red de máquinas virtuales (VM) y, por ende, la conectividad. Aquí, proporcionaremos soluciones y pasos diagnósticos para resolver este inconveniente de manera efectiva.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

Este artículo describe cómo solucionar el parpadeo de direcciones en FortiGate provocado por problemas con el conector de VMware. Se cubren pasos clave de depuración en las tecnologías de FortiGate y VMware para entender las posibles discrepancias en la configuración de red de una VM.

Alcance

FortiGate, Fabric Connector.

Diagnóstico paso a paso

Cuando ocurre un parpadeo de dirección debido a un conector de VMware en FortiGate, se pueden observar registros como los siguientes (los registros están abreviados para mejorar la legibilidad):

date=2024-05-22 time=01:17:27 type=event subtype=connector level=information logdesc="Dynamic address added" cfgobj="OBJECT_A" action=object-add addr="10.x.x.37" msg="connector object discovered in addr-obj OBJECT_A, 10.x.x.37"
date=2024-05-22 time=01:16:28 type=event subtype=connector level=information logdesc="Dynamic address removed" cfgobj="OBJECT_A" action=object-remove addr="10.x.x.37" msg="connector object removed in addr-obj OBJECT_A, 10.x.x.37"

Antes de abrir un ticket de soporte con Fortinet, es importante verificar algunos elementos y reunir datos relevantes.

El paso inicial puede involucrar la ejecución de algunos comandos de depuración, tales como:

diagnose debug application vmwd -1
diagnose debug en

Revise si aparecen mensajes de error. Si hay alguno y no parece haber una solución sencilla, contacte al soporte de Fortinet, adjuntando la información de depuración recopilada.

Si no se detecta ningún error, podría ser útil investigar en el lado de VMware utilizando el Navegador de Objetos Administrados (MOB) o la API de VMware. Dado que el conector realiza solicitudes de API y actualiza direcciones basadas en datos recuperados del servidor, los cambios frecuentes en la respuesta de la API desde el servidor vSphere podrían estar causando el parpadeo.

Solución recomendada

Para investigar el problema en el Navegador de Objetos Administrados de vSphere, siga estos pasos, asumiendo que la máquina afectada es identificada como vm-ijk:

Abra el Navegador de Objetos Administrados de vSphere en https://<vsphereIP>/mob.
Navegue a ServiceContent -> Content (en lo siguiente, x, y, y z son índices asignados por vSphere).
Vaya a rootFolder -> group-dx.
Acceda a childEntity -> datacenter-y.
Proceda a vmFolder -> group-vz.
Seleccione childEntity -> vm-ijk.
Vaya a guest -> guest.

Actualice la página y si la propiedad ‘net’ fluctúa entre ‘set’ y ‘unset’ (donde ‘Unset’ indica que faltan las NIC virtuales). En este caso, es importante revisar la configuración de red de la VM y consultar a VMware para la solución de problemas.

Otra forma de solucionar el problema es utilizando la API de vSphere. La primera solicitud a realizar es el inicio de sesión en el sistema.

curl --silent --location --request POST 'https://<vsphereIP>/sdk' \
--header 'Content-Type: application/xml' \
--data-raw '<?xml version="1.0" encoding="UTF-8"?>
<soapenv:Envelope xmlns:soapenc="http://schemas.xmlsoap.org/soap/encoding/" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <soapenv:Body>
        <Login xmlns="urn:vim25">
            <_this type="SessionManager">SessionManager</_this>
            <userName>**user**</userName>
            <password>**passwd**</password>
        </Login>
    </soapenv:Body>
</soapenv:Envelope>'

La sesión y la clave de la cookie deben ser anotadas para obtener la información sobre la VM defectuosa (digamos vm-ijk) mediante la siguiente solicitud:

curl --silent --location --request POST 'https://<vsphereIP>/sdk' \
--header 'Content-Type: application/atom+xml' \
--header 'Cookie: vmware_soap_session="**session**"' \
--data '<?xml version="1.0" encoding="UTF-8"?>
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
    xmlns:vim25="urn:vim25">
    <soapenv:Header>
        <vcSessionCookie>**obtained key**</vcSessionCookie>
    </soapenv:Header>
    <soapenv:Body>
        <RetrieveProperties xmlns="urn:vim25">
            <_this type="PropertyCollector">propertyCollector</_this>
            <specSet>
                <propSet>
                    <type>VirtualMachine</type>
                    <all>true</all> <!-- Configure esto como true para obtener todas las propiedades -->
                </propSet>
                <objectSet>
                    <obj type="VirtualMachine">vm-ijk</obj>
                    <skip>false</skip>
                </objectSet>
            </specSet>
        </RetrieveProperties>
    </soapenv:Body>
</soapenv:Envelope>'

Se mostrará mucha información, pero si se realiza la misma solicitud varias veces, el payload de respuesta, en algunos casos, falta parte de <net> como lo siguiente:

<net>
  <network>Vlan8</network>
  <ipAddress>10.x.x.37</ipAddress>
  <ipAddress>fe80::250:56ff:fea0:dc52</ipAddress>
  <macAddress>00:50:56:aa:bb:cc</macAddress>
  <connected>true</connected>
  <deviceConfigId>4000</deviceConfigId>
</net>

Esto significa que el problema proviene de la configuración de red de la VM, y como en el ejemplo anterior, se debe revisar la máquina. En algunos casos, reiniciar la VM podría ser suficiente. Una vez que se resuelva el problema de la VM, los registros de parpadeo deberían detenerse.

Comandos CLI utilizados

diagnose debug application vmwd -1
diagnose debug en

Buenas prácticas y recomendaciones

Es recomendable documentar cualquier cambio realizado en la configuración de red de las VMs y realizar pruebas temáticas luego de resolver conflictos para prevenir problemas futuros. Mantener actualizados los sistemas de VMware y FortiGate también es clave para reducir incidencias.

Notas adicionales

Asegúrese siempre de que las versiones de firmware y software de FortiGate y VMware sean compatibles y estén actualizadas. Esto puede ayudar a reducir conflictos de configuración y mejorar la estabilidad del sistema.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo resolver la sincronización de información de puente en un clúster FGSP en modo transparente con configuración sincronizada habilitada
En este artículo, abordaremos un desafío técnico relacionado con la sincronización de información de puenteo en clústeres FGSP que operan en modo transparente. Es esencial garantizar que la información, conocida como dominio hacia adelante, esté correctamente sincronizada para mantener el flujo de tráfico. A lo largo de este artículo, se ofrecerán pasos detallados para diagnosticar Leer
Cómo solucionar la interpretación de estadísticas por protocolo en grupos de IP de sobrecarga en el firewall Hyperscale
Este artículo aborda un problema que puede surgir al configurar un grupo de direcciones IP de tipo CGN con la opción de overload habilitada en un FortiGate utilizando la licencia Hyperscale. En estos casos, se pueden observar estadísticas incorrectas de sesiones del grupo de direcciones IP, ya que las sesiones UDP y TCP no se Leer
Configuración de FortiGate para el arranque de clientes PXE
Buenas 👏, por aquí César Sánchez y vengo a contaros: ⬇️ Configuración de FortiGate para el arranque de clientes PXE Descripción Este artículo describe que para configurar el FortiGate para facilitar el arranque PXE, es necesario establecer algunas cosas en FortiGate para lograr esto y cómo procesar. Productos FortiGate v6.4. FortiGate v7.0. FortiGate v7.2. Diagrama Leer
Cómo solucionar problemas generales en la biblioteca de administración de Fortinet
Este artículo aborda problemas comunes que pueden surgir al trabajar con dispositivos FortiGate y la importancia de resolverlos de manera eficiente. Se enfoca en tareas administrativas rutinarias que los administradores pueden intentar por sí mismos antes de involucrar al Centro de Asistencia Técnica (TAC) de Fortinet. Aprenderás a diagnosticar y resolver varios problemas para optimizar Leer
Cómo solucionar los frecuentes bloques del demonio ‘fgtlogd’ en FortiGate al habilitar el registro en FortiAnalyzer Cloud
Este artículo aborda un problema en dispositivos FortiGate, donde el demonio ‘fgtlogd’ se bloquea frecuentemente tras la actualización a la versión v7.6.0, especialmente cuando está configurado para registrar en FortiAnalyzer Cloud. Este fallo afecta la capacidad de registro y análisis de datos, lo que puede comprometer la seguridad y monitorización de la red. Aquí encontrará Leer