Cómo solucionar problemas intermitentes de asignación de IP por DHCP en interfaces PoE de FortiGate 140E

Este artículo aborda un problema conocido donde el dispositivo FortiGate 140E presenta fallas intermitentes al enviar ofertas DHCP cuando el servidor DHCP está configurado en puertos PoE. Este problema es crucial, ya que puede causar conflictos de asignación de IP y afectar la conectividad en redes que dependen de DHCP. A continuación, se presentará una descripción detallada del problema, un diagnóstico paso a paso y la solución recomendada.

Descripción del problema

En el FortiGate 140E, cuando se habilita un servidor DHCP en los puertos PoE, puede ocurrir que la unidad falle intermitentemente en la transmisión de ofertas DHCP, lo que deriva en problemas con la asignación de direcciones IP.

Alcance

Este problema afecta específicamente a los dispositivos:

– FortiGate 140E-PoE.
– Versiones de FortiOS: v7.2.6, v7.2.7, v7.2.8, v7.4.4.

Diagnóstico paso a paso

Para verificar este problema, se puede realizar un seguimiento de las ofertas DHCP a través de los logs de depuración y las capturas de paquetes. Los siguientes comandos son útiles:
diagnose debug application dhcps -1 habilita la depuración del servidor DHCP para mostrar el funcionamiento interno del proceso de asignación IP.
diagnose debug console timestamp enable añade marcas de tiempo a los mensajes de depuración, lo que facilita la identificación de eventos en los logs.

Ejecútese tras la configuración adecuada.
Ejemplo de comandos:

diagnose debug application dhcps -1
diagnose debug console timestamp enable
diagnose debug enable

Solución recomendada

Se ha confirmado que la oferta DHCP aparece en los logs de ‘dhcps’ y en las capturas de paquetes en la interfaz de FortiGate; sin embargo, este paquete no se visualiza en las capturas de Wireshark en la máquina del usuario.
Para evitar este problema, se recomienda alternar a un puerto no PoE. A continuación, se muestra un ejemplo de configuración que puede ser relevante:

config system interface
edit «port15»
set vdom «root»
set ip 192.168.90.1 255.255.255.0
set allowaccess ping fabric
set device-identification enable
set type physical
set snmp-index 50
next

config system dhcp server
edit 3
set lease-time 3600
set default-gateway 192.168.90.1
set netmask 255.255.255.0
set interface «port15»
config ip-range
edit 1
set start-ip 192.168.90.2
set end-ip 192.168.90.254
next
end
set timezone-option default
next

Comandos CLI utilizados

• diagnose debug application dhcps -1: Habilita la depuración del servidor DHCP.
• diagnose debug console timestamp enable: Activa marcas de tiempo en la consola de depuración.
• diagnose debug enable: Habilita la salida de depuración.
• diagnose debug reset: Reinicia la depuración actual.
• execute dhcp lease-clear all: Limpia todas las asignaciones de DHCP.
• execute dhcp lease-list: Muestra todas las asignaciones de DHCP actuales.

Buenas prácticas y recomendaciones

Es aconsejable utilizar puertos no PoE para la configuración de servidores DHCP en FortiGate 140E, a menos que las actualizaciones de firmware lo resuelvan. Asegúrese de estar utilizando la última versión de FortiOS para beneficiarse de las correcciones y mejoras de seguridad.

Notas adicionales

Este problema se ha resuelto en la versión 7.4.7 de FortiOS, que está disponible en el portal de soporte. Para una investigación más profunda, es recomendable recopilar logs requeridos por el soporte técnico de FortiGate y realizar capturas de paquetes usando Wireshark en la máquina del usuario.

Procedimiento de recopilación de logs por TAC:
– Debugs requeridos, incluyendo:

1. diagnose debug application dhcps -1
2. diagnose debug console timestamp enable
3. diagnose debug enable
4. Espere por paquetes DHCP.
5. diagnose debug reset
6. execute dhcp lease-clear all
7. Ejecute execute dhcp lease-list.

Para un informe completo para TAC, use:
execute tac report.

No olvide también enviar la configuración del FortiGate y las capturas de paquetes desde la máquina del usuario.