Cómo solucionar problemas de VRRP entre dos dispositivos usando FortiGate Firewall

0
0
0

En este artículo se aborda la configuración del Protocolo de Redundancia de Enrutador Virtual (VRRP) entre dos dispositivos utilizando el cortafuegos FortiGate. Este tema es crucial, ya que garantizar la disponibilidad de la red es fundamental para mantener la continuidad del negocio. Aquí se explicará paso a paso cómo implementar VRRP en un entorno de FortiGate, asegurando la sincronización y la correcta configuración de los dispositivos para evitar posibles interrupciones en el servicio.

Descripción del problema

El VRRP es importante en la configuración de redes, ya que permite la disponibilidad continua de la red mediante la conmutación por error entre múltiples dispositivos. Sin una adecuada configuración de VRRP, puede ocurrir que, en caso de fallo de un dispositivo, las conexiones se pierdan, afectando la operativa de la red.

Alcance

Este artículo se centra en la configuración del VRRP en dispositivos FortiGate, un cortafuegos que proporciona alta seguridad y gestión de tráfico eficiente en redes empresariales.

Diagnóstico paso a paso

Para implementar VRRP efectivamente, hay que seguir estos pasos principales en la configuración de los dispositivos:

Configuración básica

Se requieren al menos dos dispositivos que actúen de forma redundante. En este caso, utilizaremos FortiGate-A y FortiGate-B.

Transición de dispositivo

Fortigate1 actuará como un dispositivo de paso entre FortiGate-A y FortiGate-B.

Comandos de configuración inicial

config system interface
    edit "port1"
        set vdom "root"
        set type physical
        set snmp-index 1
    next
end

config system interface
    edit "port3"
        set vdom "root"
        set type physical
        set snmp-index 3
    next
end

Para permitir la transmisión de paquetes VRRP a través del cortafuegos, se debe configurar el software-switch o switch-interface adecuadamente.

Artículos relacionados  Habilitación de la función de split tunnel para SSL VPN

Nota: Asegúrese de que el miembro de la interfaz del software switch no tenga asignada una dirección IP. De lo contrario, no podrá ser agregado a la switch-interface.

config system switch-interface
    edit "test"
        set vdom "root"
        set member "port1" "port3"
    next
end

A continuación, configure la interfaz de prueba:

config system interface
    edit "test"
        set vdom "root"
        set ip 192.168.1.1 255.255.255.0
        set type switch
        set device-identification enable
        set lldp-transmission enable
        set role lan
        set snmp-index 15
    next
end

Solución recomendada

Configure el VRRP en FortiGate-A y FortiGate-B.

Configuración de FortiGate-A

La interfaz ‘wan’ de FortiGate-A está conectada a port1 de Fortigate1.

config system interface
    edit "wan"
        set vdom "root"
        set ip 192.168.1.3 255.255.255.0
        set allowaccess ping https ssh http telnet fgfm
        set type physical
        set vrrp-virtual-mac enable
            config vrrp
                edit 1
                    set vrgrp 10
                    set vrip 192.168.1.100
                    set priority 128
                next
            end
        set role wan
        set snmp-index 1
    next
end

Configuración de FortiGate-B

La interfaz ‘wan’ de FortiGate-B está conectada a port3 de Fortigate1.

config system interface
    edit "wan"
        set vdom "root"
        set ip 192.168.1.2 255.255.255.0
        set allowaccess ping https ssh http telnet fgfm
        set type physical
        set vrrp-virtual-mac enable
            config vrrp
                edit 1
                    set vrgrp 10
                    set vrip 192.168.1.100
                next
            end
        set role wan
        set snmp-index 1
    next
end

Verificación

Para verificar la configuración en FortiGate-A y FortiGate-B, use los siguientes comandos:

FortiGate-A # get router info vrrp
Interface: wan, primary IP address: 192.168.1.3
UseVMAC: 1, SoftSW: 0, BrPortIdx: 0, PromiscCount: 1
HA mode: master (0:0:1) VRRP master number: 1
VRID: 1 version: 2
vrip: 192.168.1.100, priority: 128 (128,0), state: MASTER
adv_interval: 1, preempt: 1, ignore_dft: 0 start_time: 3
master_adv_interval: 100, accept: 1
vrmac: 00:00:5e:00:01:01
vrgrp: 10

FortiGate-B # get router info vrrp
Interface: wan, primary IP address: 192.168.1.2
UseVMAC: 1, SoftSW: 0, BrPortIdx: 0, PromiscCount: 0
HA mode: master (0:0:1) VRRP master number: 0
VRID: 1 version: 2
vrip: 192.168.1.100, priority: 100 (100,0), state: BACKUP
adv_interval: 1, preempt: 1, ignore_dft: 0 start_time: 3
master_adv_interval: 100, accept: 1
vrmac: 00:00:5e:00:01:01
vrgrp: 10

Buenas prácticas y recomendaciones

Al implementar VRRP, es recomendable:

  • Monitorear las configuraciones regularmente para asegurar que estén optimizadas.
  • Realizar pruebas de fallo de forma ocasional para garantizar que la conmutación por error funcione como se espera.
  • Documentar todos los cambios de configuración realizados en los dispositivos para facilitar la administración de la red.
Artículos relacionados  Cómo resolver el error de tráfico IPsec VPN site to site denegado por la política de verificación en Fortinet

Notas adicionales

Recuerde que las configuraciones pueden variar según la versión del software de FortiGate. Asegúrese de consultar la documentación oficial para verificar la compatibilidad y procedimientos específicos.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *