Cómo solucionar el problema del Lockdown ISL que permanece habilitado en Fortinet, incluso al desactivarlo desde GUI o CLI

En este artículo, abordaremos un problema en FortiGate relacionado con la interfaz de FortiLink, en el que el comando diagnose switch-controller switch-recommendations fabric-lockdown-disable no desactiva la opción de bloqueo, a pesar de que se indica que se ejecutó con éxito. Este problema es relevante porque la desactivación del bloqueo de ISL y ICL es crucial para la gestión eficaz de la red y la configuración adecuada de FortiSwitch. A continuación, proporcionaremos una descripción detallada del problema, su alcance, un diagnóstico paso a paso, y la solución recomendada.

Descripción del problema

Este artículo describe que FortiGate no detecta ningún ISL o ICL y que el comando diagnose switch-controller switch-recommendations fabric-lockdown-disable devuelve un resultado exitoso, pero la opción permanece habilitada. Este comportamiento es esperado cuando hay solo una interfaz FortiLink, ya que el bloqueo de ISL y ICL es una de las recomendaciones en el informe de calificación de seguridad (Security Fabric -> Security Rating). Sin embargo, si hay más de un FortiSwitch y al menos un ISL o ICL, entonces debería ser posible desactivar dicha opción (ya sea desde la GUI o CLI).

Alcance

Este problema afecta a dispositivos FortiSwitch y la versión FortiOS.

Diagnóstico paso a paso

Para diagnosticar el problema, siga estos pasos:

  1. Verifique si tiene más de un FortiSwitch en su red.
  2. Ejecute el comando diagnose switch-controller switch-recommendations fabric-lockdown-disable y observe la respuesta.
  3. Revise la GUI para confirmar si la opción de bloqueo ISL sigue habilitada a pesar de la ejecución exitosa del comando.

Solución recomendada

Para deshabilitar el bloqueo de ISL, es necesario tener más de un FortiLink. Puede desactivar la función de bloqueo desde la GUI como se muestra a continuación:

Artículos relacionados  Cómo resolver el error ICMP_TIME_EXCEEDED en el traceroute de Fortinet

LockdownISL

Para desactivarlo desde la CLI, ejecute el siguiente comando:

diagnose switch-controller switch-recommendations fabric-lockdown-disable

Comandos CLI utilizados

Notas: A partir de FortiOS 7.0.2 y versiones superiores, se han añadido comandos para bloquear los enlaces ISL/ICL entre FortiSwitches para que se conviertan en configuraciones estáticas:

  • execute switch-controller switch-recommendations fabric-lockdown-check
  • execute switch-controller switch-recommendations fabric-lockdown-disable
  • execute switch-controller switch-recommendations fabric-lockdown-enable

Esto añade estabilidad durante eventos como desconexiones de cable o cortes de energía.

Buenas prácticas y recomendaciones

Es recomendable asegurarse de que siempre haya múltiples enlaces FortiLink activos para maximizar la estabilidad de la red y evitar problemas de configuración. Monitorear regularmente el estado de los enlaces y mantener el firmware de FortiOS actualizado son pasos cruciales para el mantenimiento adecuado.

Notas adicionales

Nota: El problema ahora está resuelto en las versiones nuevas de FortiGate v7.4.8 GA y v7.6.3 GA y versiones superiores:

  • 1015992 – WiFi & Switch Controller -> FortiLink Interface: Cuando una interfaz FortiLink está caída y el interruptor ‘Lockdown ISL’ está configurado como ‘desactivado’ en la GUI, la configuración no se conserva.

Consulte los siguientes enlaces para obtener más información sobre los problemas resueltos en las versiones mencionadas:

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *