Este artículo aborda la configuración de una topología MCLAG en FortiGate, actuando como Controlador de Switch. Lo ideal es que la sincronización y la configuración sean precisas para evitar problemas en la red. A continuación, se ofrecerán pasos detallados para resolver este tipo de configuración de red, que es esencial en entornos donde se requiere redundancia y alta disponibilidad.
Índice
Descripción del problema
Configurar MCLAG de manera adecuada es fundamental para asegurar la continuidad y escalabilidad de la red. Un error en esta configuración puede resultar en la pérdida de conectividad entre dispositivos, afectando la disponibilidad del servicio. La topología MCLAG permite la utilización de múltiples chasis de switches como si fueran un solo dispositivo, optimizando la gestión y el uso de recursos.
Alcance
Este documento se aplica a FortiOS 7.2.x y versiones posteriores, así como a la serie FortiSwitch 2XX y superiores.
Diagnóstico paso a paso
Paso 1: Conectar únicamente FSW_Core1 y permitir que sea descubierto, autorizado y esté en línea.
Paso 2: Conectar FSW_Core2 y permitir que sea descubierto, autorizado y esté en línea.
Paso 3: Construir el nivel mclag de tier1 entre FSW_Core1 y FSW_Core2.
Paso 4: Construir el nivel mclag de tier2 entre Tier2_1 y Tier2_2.
Paso 5: Construir el nivel mclag de tier2 entre Tier2_3 y Tier2_4.
Solución recomendada
Topología de la Capa 2 y conexiones de cableado.
Consideraciones:
- El switch debe ser descubierto, autorizado y estar en línea para recibir comandos, configuraciones y ajustes.
- A partir de FortiSwitch 7.2.0, todos los puertos están habilitados para la auto-descubrimiento de fortilink por defecto.
- Sigue esta guía de manera precisa; de lo contrario, se pueden introducir bucles que afecten toda la topología.
- Los cortafuegos FortiGate están preconfigurados en modo HA Activo-Activo o Activo-Pasivo.
- Los switches están restablecidos de fábrica y ejecutan la última versión del firmware compatible según la Matriz de Compatibilidad Fortiswitch.
- Antes de FOS 7.2.x, los comandos ‘set-tier1-mclag-icl‘ y ‘set-tier-plus-mclag-icl‘ se encontraban bajo ‘execute switch-controller switch-recommendations‘.
Comandos CLI utilizados
Paso 1: Conectar FSW_Core1 únicamente y habilitar la interfaz Fortilink temporalmente, ya que Core1 y Core2 se descubrirán inicialmente como 2 switches distintos.
Comandos útiles:
- exec switch-controller get-conn-status
- exec switch-controller diagnose-connection
Buenas prácticas y recomendaciones
Asegúrate de que no haya banderas C, U, S, D o E antes de proceder al siguiente paso.
Paso 2: Conectar FSW_Core2 y permitir que sea descubierto, autorizado y esté en línea.
Paso 3: Construir el nivel mclag de tier1 entre FSW_Core1 y FSW_Core2. Reemplaza ‘fortilink’, ‘Core1_Serial’ y ‘Core2_Serial’ según la topología deseada. Luego ejecuta el siguiente comando desde el SSH de FortiGate:
diag switch-controller switch-recommendation set-tier1-mclag-icl fortilink Core1_Serial Core2_Serial
Desactiva la interfaz FortiLink para que ambos switches se comuniquen activamente con el FortiGate.
Notas adicionales
Permite un tiempo después de aplicar cambios para procesar y recalcular la topología. Para confirmar la formación de MCLAG, utiliza ‘diagnose switch-controller switch-info mclag list‘. Asegúrate de que los puertos locales y pares coincidan con los de la topología deseada.
Para confirmar la formación de ICL, utiliza ‘diagnose switch-controller switch-info mclag icl‘. Observa que el ICL se formó en el puerto8 entre los switches y también verifica los números de serie locales y de pares.
Siguiendo esta guía, es posible habilitar y configurar un MCLAG de 2 niveles utilizando FortiGate como Controlador de Switch.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!