Descripción
Este artículo describe cómo solucionar problemas de sincronización de alta disponibilidad cuando el clúster no está sincronizado.
Solución
Los siguientes son los comandos que se ingresan en el modo global de configuración.
obtener el estado del sistema ha <– Muestra información detallada de HA y el motivo de la conmutación por error del clúster Prim-FW (global) # obtener el estado del sistema ha Estado de salud de HA: OK Modelo: FortiGate-VM64-KVM Modo: HA AP Grupo: 9 Depuración: 0 Tiempo de actividad del clúster : 14 días 5:9:44 Hora de cambio de estado del clúster: 2019-06-13 14:21:15
Maestro seleccionado usando:
<2019/06/13 14:21:15> FGVMXXXXXXXXXX44 se selecciona como maestro porque tiene el mayor valor de tiempo de actividad.
<2019/06/13 14:15:46> FGVM XXXXXXXXXX 46 se selecciona como maestro porque tiene el mayor valor de tiempo de actividad.
<2019/06/12 11:17:04> FGVM XXXXXXXXXX 44 está seleccionado como maestro porque tiene el mayor valor de prioridad de anulación.
ses_pickup: habilitar, ses_pickup_delay=deshabilitar
anular: deshabilitar
Estado de configuración:
FGVMX XXXXXXXXX 44 (actualizado hace 3 segundos): sincronizado
FGVM XXXXXXXXXX 46 (actualizado hace 4 segundos): sincronizado
Estadísticas de uso del sistema:
FGVM XXXXXXXXXX 44 (actualizado hace 3 segundos):
sesiones = 42, usuario promedio de CPU/nice/system/idle = 0 %/0 %/0 %/100 %, memoria = 64 %
FGVM XXXXXXXXXX 46 (actualizado hace 4 segundos ):
sesiones=5, promedio-usuario-cpu/agradable/sistema/inactivo=0%/0%/0%/100%, memoria=54%
Estadísticas de HBDEV:
FGVM XXXXXXXXXX 44 (actualizado hace 3 segundos):
puerto 8: físico/10000 lleno, activo, rx-bytes/paquetes/caídos/errores=2233369747/7606667/0/0, tx=3377368072/8036284/0/0
FGVM XXXXXXXXXX 46 (actualizado hace 4 segundos):
puerto 8: físico/10000 lleno, activo, rx-bytes/paquetes/caídos/errores=3377712830/8038866/0/0, tx=2233022661/7604078/0/0
Estadísticas de MONDEV:
FGVM XXXXXXXXXX 44 (actualizado hace 3 segundos):
puerto 1: físico/10000 lleno, activo, rx-bytes/paquetes/caídos/errores=1140991879/3582047/0/0, tx=319625288/2631960/0/0
FGVM XXXXXXXXXX 46 (actualizado hace 4 segundos):
puerto 1: físico/10000 lleno, activo, rx-bytes/paquetes/caídos/errores=99183156/1638504/0/0, tx=266853/1225/0/0
Maestro: Prim-FW, FGVM XXXXXXXXXX 44, índice de clúster = 1
Esclavo: Bkup-Fw, FGVM XXXXXXXXXX 46, índice de clúster = 0
número de vcluster: 1
vcluster 1: trabajo 169.254.0.2
Maestro: FGVM XXXXXXXXXX 44, índice de clúster operativo = 0
Esclavo: FGVM XXXXXXXXXX 46, índice de clúster operativo = 1
Prim-FW(global)#diag sys ha checksum cluster
================== FGVM XXXXXXXXXX 44 ================= =
is_manage_master()=1, is_root_master()=1
debugzone
global: c5 33 93 23 26 9f 4d 79 ed 5f 29 fa 7a 8c c9 10
root: d3 b5 fc 60 f3 f0 f0 d0 ea e4 a1 7f 1d 17 05 fc
Cust -A: 84 af 8f 23 b5 31 ca 32 c1 0b f2 76 d2 57 d1 bc
todo: 04 ae 37 7e dc 84 aa a4 42 3d db 3c a2 09 b0 60suma de comprobación
global: c5 33 93 23 26 9f 4d 79 ed 5f 29 fa 7a 8c c9 10
root: d3 b5 fc 60 f3 f0 f0 d0 ea e4 a1 7f 1d 17 05 fc
Cust-A: 84 af 8f 23 b5 31 ca 32 c1 0b f2 76 d2 57 d1 bc
todo: 04 ae 37 7e dc 84 aa a4 42 3d db 3c a2 09 b0 60================== FGVM XXXXXXXXXX46 ==================
is_manage_master()=0, is_root_master()=0
debugzone
global: c5 33 93 23 26 9f 4d 79 ed 5f 29 fa 7a 8c c9 10
root : d3 b5 fc 60 f3 f0 f0 d0 ea e4 a1 7f 1d 17 05 fc
Cust-A: 84 af 8f 23 b5 31 ca 32 c1 0b f2 76 d2 57 d1 bc
todo: 04 ae 37 7e dc 84 aa a4 42 3d db 3c a2 09 b0 60suma de comprobación
global: c5 33 93 23 26 9f 4d 79 ed 5f 29 fa 7a 8c c9 10
raíz: d3 b5 fc 60 f3 f0 f0 d0 ea e4 a1 7f 1d 17 05 fc
Cust-A: 84 af 8f 23 b5 31 ca 32 c1 0b f2 76 d2 57 d1 bc
todo: 04 ae 37 7e dc 84 aa a4 42 3d db 3c a2 09 b0 60
Verifique la discrepancia de la suma de verificación en lo anterior y luego busque la suma de verificación del clúster y compare la salida para ver si no coincide.
Emita comandos para entrar en granular para el comando de paso de VDOM no coincidente:
Diag sys ha checksum show <vdom>
diag sys ha checksum show <global>
Use la opción grep para mostrar solo las sumas de verificación para partes de la configuración. Por ejemplo, para mostrar las sumas de verificación de la configuración relacionada con el sistema en el VDOM raíz o las sumas de verificación relacionadas con el registro en la configuración global:
diagnosticar sys ha checksum show root | sistema grep
diagnosticar sys ha checksum show global | registro de grep
Repita los comandos anteriores en todos los dispositivos para comparar la falta de coincidencia y verificar la salida de configuración de los mismos.
Si no se encuentra ninguna discrepancia, vuelva a calcular las sumas de verificación. Las sumas de comprobación recalculadas deberían coincidir y los mensajes de error de sincronización deberían dejar de aparecer.
El siguiente comando es para volver a calcular las sumas de verificación de HA:
diagnosticar sys ha checksum recalcular [<vdom-name> | global]
Simplemente ingresando el comando sin opciones se recalculan todas las sumas de verificación. Se puede especificar un nombre de VDOM para volver a calcular las sumas de verificación para ese VDOM. Introduzca global para volver a calcular la suma de comprobación global. Debería coincidir en ambos dispositivos.
Ejecute los siguientes comandos para depurar la sincronización de alta disponibilidad:
diag debug aplicación hasync 255
diag debug habilitar
ejecutar ha sincronizar iniciar
diagnosticar aplicación de depuración hatalk -1 <– Para verificar la comunicación Heartbeat entre dispositivos HA
Ejecute los siguientes comandos para verificar la discrepancia de inmediato:
diag debug config-error-log read <– (1)
diag hardware device disk <– (2)
show sys storage <– (3) show wanopt storage <– (4)
(1): verifique la salida para identificar el problema con las líneas de configuración que no ingresan y profundice para encontrar problemas. Intente configurar manualmente el elemento de configuración del dispositivo
(2): Verifique el disco del dispositivo en ambos dispositivos, ya que el tamaño debe coincidir
(3): Verifique el tamaño del disco de almacenamiento, ya que debe coincidir en ambos dispositivos
(4): Verifique el tamaño de wanopt el tamaño del disco debe coincidir
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!