Descripción
La supervisión del estado de los enlaces mide el estado de los enlaces mediante el envío de señales de sondeo a un servidor y la medición de la calidad del enlace en función de la latencia, la inestabilidad y la pérdida de paquetes.
Solution
Link-monitor se puede configurar para verificaciones de estado.
No hay ninguna opción para configurar el monitor de enlace desde la GUI y solo se puede configurar desde la CLI.
# config system link-monitor
edit «1»
set addr-mode <ipv4 | ipv6>
set srcintf «Interfaz que recibe el tráfico a monitorear»
set server «Dirección IP de los servidores a monitorear.»
set protocol <ping | tcp-echo | udp-echo | http | twamp>
set gateway- ip <Dirección IP de puerta de enlace utilizada para sondear el servidor>
set source-ip “Dirección IP de origen utilizada en el paquete al servidor”
set interval “Intervalo de detección en milisegundos (500 – 3600 * 1000 mseg, predeterminado = 500)”
set probe-timeout “Tiempo de espera antes de que un paquete de prueba se considere perdido (500 – 5000 mseg, predeterminado = 500)”
set failtime “Número de reintentos antes de que el servidor se considere inactivo (1 – 10, predeterminado = 5)”
set recoverytime “Número de respuestas exitosas recibidas antes de que el servidor se considere recuperado (1 – 10, predeterminado = 5)”
set probe-count “Número de sondeos más recientes que deben usarse para calcular la latencia y la inestabilidad (5 – 30, valor predeterminado = 30)”
establecer ha-priority “Prioridad de elección de HA (1 – 50)”
establecer update-cascade-interface “Habilitar/deshabilitar actualización interfaz en cascada, predeterminado: habilitar”
establecer actualizar-ruta-estática “Habilitar/deshabilitar la actualización de la ruta estática, predeterminado: habilitar”
establecer estado “Habilitar/deshabilitar este monitor de enlace, predeterminado: habilitar”
siguiente
fin
Considere una configuración simple donde FortiGate está probando el servidor 10.109.21.50 a través de la interfaz wan1.
# config system link-monitor
edit «1»
set srcintf «wan1»
set server «10.109.21.50» <—– Servidor que se sondea a través de la interfaz WAN1.
siguiente
final
Como se puede ver en el resultado a continuación, el estado es activo, lo que significa que Fortigate puede llegar al servidor que tiene la dirección IP 10.109.21.50.
FGT # diagnose el estado del monitor de
enlace del sistema Monitor de enlace: 1, estado: vivo, número de servidor (1), indicadores = 0x1 init, tiempo de creación: dom 4 de julio 16:20:25 2021
Interfaz de origen: wan1 (3)
Intervalo: 500 ms
Peer: 10.109.21.50(10.109.21.50)
IP de origen (10.109.16.223)
Ruta: 10.109.16.223->10.109.21.50/32, gwy(10.109.16.223)
protocolo: ping, estado: vivo
Latencia (Min/Max/ Media): 0,211/0,585/0,362 ms
Jitter (Min/Max/Avg): 0,006/0,298/0,098
Paquete perdido: 0,000 %
Número de paquetes fuera de secuencia: 0
Tiempos de error (0/5)
Paquete enviado: 1472, recibido: 1334, Secuencia (enviado/recvd/exp): 1473/1473/1474FGT # obtener información del enrutador tabla de
enrutamiento todo Tabla de enrutamiento para VRF=0
S* 0.0.0.0/0 [10/0] a través de 10.109.31.254, wan1
C 10.109.16.0/20 está conectado directamente, wan1
Cuando WAN1 deja de funcionar o no se puede acceder al servidor de ping, la ruta predeterminada se elimina de la tabla de enrutamiento.
FGT # diagnose el estado del monitor de
enlace del sistema Monitor de enlace: 1, estado: morir, número de servidor (1), indicadores = 0x9 init, tiempo de creación: dom 4 de julio 16:20:25 2021
Interfaz de origen: wan1 (3)
Intervalo: 500 ms
Peer: 10.109.21.50(10.109.21.50)
IP de origen (10.109.16.223)
Ruta: 10.109.16.223->10.109.21.50/32, gwy(10.109.16.223)
protocolo: ping, estado: morir
Paquete perdido: 5.000%
Número de paquetes fuera de secuencia: 0
Tiempos de recuperación (0/5) Tiempos de falla (1/5)
Paquete enviado: 2128, recibido: 1983, Secuencia (enviado/recvd/exp): 2129/2122/2123
Como se puede ver en el resultado a continuación, la ruta predeterminada se elimina de la tabla de enrutamiento debido a una falla del monitor de enlace.
FGT # obtener información del enrutador tabla de
enrutamiento todo La tabla de enrutamiento para VRF=0
C 10.109.16.0/20 está conectada directamente, wan1
Cuando se puede acceder al servidor de ping y se restaura el monitor de enlace, la ruta predeterminada se vuelve a instalar.
Para evitar que link-monitor elimine la ruta predeterminada, se puede usar el siguiente comando.
# config router static
edit 1
set link-monitor-exempt enable <—– El valor predeterminado es deshabilitado.
siguiente
final
Los registros se pueden ver en FortiGate en Registro e informe -> Eventos -> Eventos del sistema .
date=2021-07-04 time=16:22:06 eventtime=1625408526938249768 tz=»+0200″ logid=»0100022922″ type=»event» subtype=»system» level=»notice» vd=»root» logdesc= «Estado del monitor de enlace» name=»1″ interface=»wan1″ probeproto=»ping» msg=»El monitor de enlace cambió el estado de morir a vivo, protocolo: ping «.
date=2021-07-04 time=16:21:41 eventtime=1625408501933624821 tz=»+0200″ logid=»0100022922″ type=»event» subtype=»system» level=»warning» vd=»root» logdesc= «Estado del monitor de enlace» name=»1″ interface=»wan1″ probeproto=»ping» msg=»El monitor de enlace cambió el estado de vivo a muerto, protocolo: ping «.
date=2021-07-04 time=16:20:25 eventtime=1625408425881086208 tz=»+0200″ logid=»0100022922″ type=»event» subtype=»system» level=»notice» vd=»root» logdesc= «Estado del monitor de enlace» name=»1″ interface=»wan1″ probeproto=»ping» msg=»El estado inicial del monitor de enlace está activo, protocolo: ping «
Documento relacionado.
https://docs.fortinet.com/document/fortigate/7.0.0/cli-reference/123620/config-system-link-monitor
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!