Cómo solucionar la integración de FortiGate y FortiNAC en modo FortiLink utilizando mensajes Syslog

Este artículo aborda un problema crítico en la integración de FortiSwitch con FortiGate y FortiNAC. En ocasiones, los registros syslog pueden no transmitirse correctamente desde FortiGate a FortiNAC, lo que provoca la pérdida de eventos de direcciones MAC, como Adición, Eliminación y Movimiento, esenciales para la gestión de red. A continuación, se ofrece una guía detallada para diagnosticar y resolver este problema.

Descripción del problema

Este problema se manifiesta cuando los registros de eventos relacionados con direcciones MAC no son capturados adecuadamente, afectando la visibilidad y el control dentro de la red. Esto se debe a una configuración inadecuada en FortiGate que impide que los eventos de FortiSwitch se envíen correctamente a FortiNAC, lo que, a su vez, limita la capacidad de los administradores de red para manejar dispositivos conectados.

Alcance

Esto afecta a los dispositivos FortiGate, FortiNAC y FortiSwitch, específicamente en entornos donde se busca una gestión centralizada de registros y configuración de dispositivos.

Diagnóstico paso a paso

A continuación se presentan los pasos a seguir para diagnosticar y corregir el problema de transmisión de logs entre FortiGate y FortiNAC.

  1. Verificar el registro de eventos MAC en FortiGate: Asegúrate de que el registro de eventos MAC esté habilitado en FortiGate. Esto es esencial para que FortiSwitch envíe eventos relacionados con las MAC, como Adición, Eliminación y Movimiento.

config switch-controller global

set mac-event-logging enable

end

  1. Comprobar los filtros de Syslog en FortiGate: Asegúrate de que los filtros de syslog estén correctamente configurados para capturar los tipos de eventos MAC relevantes. Verifica que los siguientes filtros estén configurados:
  • MAC Add: (0100032615).
  • MAC Delete: (0100032616).
  • MAC Move: (0100032617).

Revisa la configuración de los filtros de syslog bajo:

Artículos relacionados  Cómo solucionar problemas de rendimiento en FortiGate: Automatiza el monitoreo de CPU y memoria con Webhooks

config log syslogd filter

config free-style

edit 1 set category event

set filter «(logid 0115032615 0115032616 0115032617)»

set filter-type include

end

  1. Verificar la gravedad del filtro Syslog: Asegúrate de que el nivel de gravedad del filtro syslog esté configurado correctamente. La configuración predeterminada es ‘información’.

Para ajustar el nivel de gravedad, utiliza los siguientes comandos:

config log syslogd filter

set severity ?

emergency Emergency level.

alert Alert level.

critical Critical level.

error Error level.

warning Warning level.

notification Notification level.

information Information level.

debug Debug level.

set serverity emergency

end

  1. Verificar el intervalo de envejecimiento de MAC y periodo de retención de MAC: El Intervalo de Envejecimiento de MAC es el periodo tras el cual el conmutador eliminará direcciones MAC que no han sido vistas. El predeterminado es de 300 segundos (5 minutos).
  • Periodo de Retención de MAC: Este periodo indica cuánto tiempo una dirección MAC permanece en la caché, incluso si no ha sido vista. Por ejemplo, si se establece un periodo de retención de 10 horas, la dirección MAC permanecerá en la caché hasta por 10 horas, incluso si el dispositivo ya no está activo.
  • mac-retention-period 0: 0 indica que no hay almacenamiento en caché, lo que significa que la entrada se elimina de FortiGate simultáneamente con su eliminación de FortiSwitch.

Utiliza los siguientes comandos para establecer esta configuración:

config switch-controller global

set mac-aging-interval 300

set mac-retention-period 0

end

Para verificar, utiliza:

diagnose switch-controller mac-cache show

  1. Verificar la configuración de registro remoto en FortiGate: Asegúrate de que la configuración de registro remoto esté correctamente establecida para encaminarlos a FortiNAC.
Artículos relacionados  Cómo solucionar la falta de audio en llamadas SIP entre sucursales en Fortinet

config switch-controller remote-log

edit «syslogd»

set status enable

set server «10.21.0.18» # IP del servidor syslog primario

next

edit «syslogd2»

set status enable

set server «x.x.x.x» # IP del servidor syslog secundario

next

end

Si los registros no llegan a FortiNAC, confirma que las direcciones IP de los servidores syslog sean correctas y accesibles.

  1. Verifica que la política de firewall permita el tráfico desde la LAN/FortiLink hacia el servidor Syslog.
  2. Ejecuta un sniffer y depura el flujo para el puerto UDP 514 para llevar a cabo un diagnóstico adicional.

diagnose sniffer packet any «port 514» 4 0 l

interfaces=[any]

filters=[port 514]

2024-12-03 18:28:23.436531 port1 in 10.255.1.2.49072 -> 10.21.0.18.514: udp 288

2024-12-03 18:28:23.436550 fortilink in 10.255.1.2.49072 -> 10.21.0.18.514: udp 288

2024-12-03 18:28:23.436593 wan1 out 10.255.1.2.49072 -> 10.21.0.18.514: udp 288

2024-12-03 18:28:23.487565 port1 in 10.255.1.2.49072 -> 10.21.0.18.514: udp 419

2024-12-03 18:28:23.487585 fortilink in 10.255.1.2.49072 -> 10.21.0.18.514: udp 419

2024-12-03 18:28:23.487626 wan1 out 10.255.1.2.49072 -> 10.21.0.18.514: udp 419

Presiona Ctrl + C para detener esto:

diagnose debug flow filter dport 514

diagnose debug flow trace start 99

diagnose debug enable

FortiGate-81E-POE (root) # id=65308 trace_id=4 func=print_pkt_detail line=5880 msg=»vd-root:0 received a packet(proto=17, 10.255.1.2:49072->10.21.0.18:514) tun_id=0.0.0.0 from fortilink. «

id=65308 trace_id=4 func=init_ip_session_common line=6062 msg=»allocate a new session-000082f7″

id=65308 trace_id=4 func=vf_ip_route_input_common line=2613 msg=»find a route: flag=04000000 gw-10.128.202.1 via wan1″

id=65308 trace_id=4 func=__iprope_tree_check line=529 msg=»gnum-100004, use int hash, slot=85, len=3″

id=65308 trace_id=4 func=fw_forward_handler line=992 msg=»Allowed by Policy-9

id=65308 trace_id=5 func=print_pkt_detail line=5880 msg=»vd-root:0 received a packet(proto=17, 10.255.1.2:49072->10.21.0.18:514) tun_id=0.0.0.0 from fortilink. «

id=65308 trace_id=5 func=resolve_ip_tuple_fast line=5968 msg=»Find an existing session, id-000082f7, original direction»

id=65308 trace_id=5 func=npu_handle_session44 line=1226 msg=»Trying to offloading session from fortilink to wan1, skb.npu_flag=00000400 ses.state=00000204 ses.npu_state=0x00000001″

Artículos relacionados  Cómo solucionar el problema de los registros de SD-WAN que muestran la interfaz del túnel principal en lugar de la interfaz del túnel directo

id=65308 trace_id=5 func=fw_forward_dirty_handler line=443 msg=»state=00000204, state2=00000001, npu_state=00000001″

Para detener la depuración, ejecuta los siguientes comandos:

 

diagnose debug disable

diagnose debug reset

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *