Configuración de conectividad de la interfaz de administración de alta disponibilidad para el modo activo-pasivo

Descripción:
Este artículo explica y proporciona un ejemplo de configuración relacionado con la configuración de la interfaz de administración de alta disponibilidad.
Ejemplo típico de configuración activa-pasiva de alta disponibilidad con configuración de interfaz de administración reservada de alta disponibilidad.


Para obtener más información sobre cómo configurar la interfaz de administración reservada de alta disponibilidad:
https://docs.fortinet.com/document/FortiWeb/6.4.1/administration-guide/404272/configuring-high-avail…
Solo se permite una ruta predeterminada en FortiWeb, lo que genera confusión al agregar otra ruta predeterminada que intenta enrutar el tráfico de administración de alta disponibilidad a través de la ruta esperada.
 
Nota:

Por diseño, solo se permite una ruta predeterminada (la ruta estática con destino 0.0.0.0/0) en FortiWeb.

Por ejemplo, si se configura una ruta predeterminada en Sistema -> Red -> Ruta , entonces no se permite configurar otra ruta predeterminada en la configuración de ruta HA.

Por lo tanto, la conectividad a la interfaz de administración de alta disponibilidad a menudo se interrumpe debido a la configuración de la ruta. Más información sobre cómo se comportan la ruta estática HA y la ruta política. Consulte la guía a continuación.
https://docs.fortinet.com/document/FortiWeb/6.4.1/administration-guide/964016/configuring-ha-setting…

Solución
Basada en la topología típica de configuración activa-pasiva de HA, con menos de 2 casos de uso, la solución debe cumplir con los requisitos del caso para enrutar el tráfico de administración de HA a través de la ruta esperada.
Consulte a continuación las 2 posibles soluciones:

Escenario 1

La red del cliente (usuarios administradores) proviene de una red desconocida: Red
desconocida significa que la conexión del cliente puede provenir de 10.10.10.x e Internet.

Desde CLI

 
Desde GUI

 

El tráfico coincide con la IP de origen (dirección IP de la interfaz de administración) se enviará a través de la interfaz de salida PORT1 hacia la puerta de enlace especificada, independientemente de la dirección IP de origen del cliente.
A pesar de que el destino indica cualquier destino (0.0.0.0/0), debido a la restricción de la IP de origen, no entrará en conflicto con otras rutas.
 
Reemplace la dirección de origen, la interfaz de salida y la dirección de la puerta de enlace de acuerdo con la configuración de su entorno.
 
Pasos de verificación


Realice un seguimiento del rastreador para determinar el destino de la conectividad para que la interfaz de administración de alta disponibilidad responda en consecuencia.
La captura de sniffer indica el retorno del tráfico de administración de HA de acuerdo con la ruta de la política de HA.

# diagnose network sniffer any ‘host 172.10.10.1’ 4
filters=[host 172.10.10.1]

interface=[port1] 9.374762 10.10.10.7.51131 -> 172.10.10.1.443: syn 1836135939

interface=[port1] 9.374775 172.10.10.1.443 -> 10.10.10.7.51131: syn 171024616 ack 1836135940

interface=[port1] 9.376389 10.10.10.7.51131 -> 172.10.10.1.443: ack 171024617

Escenario 2

Artículos relacionados  Cómo habilitar 'cookiessession1' con el indicador Secure a True
La red del cliente (usuarios administradores) proviene de una red conocida:
Red conocida significa que la conexión del cliente sólo vendrá de 10.10.10.x; cualquiera de las dos opciones funcionará dependiendo de la configuración del entorno.
 

Si el tráfico debe coincidir con la IP de origen, utilice la opción A.

Opción A

Desde CLI
 

Desde GUI
Si el tráfico no necesita coincidir con la IP de origen, utilice la opción B.

Opción B
Desde CLI

 

Desde GUI 

El tráfico coincide con la IP de origen (dirección IP de la interfaz de administración) y la IP de destino se enviará a través de la interfaz de salida Puerto 1 hacia la puerta de enlace especificada.
Debido a la restricción de la IP de origen, solo funcionará con el tráfico que coincida con ambos criterios y no entrará en conflicto con otras rutas.
 
Alternativamente, en caso de que no se requiera una coincidencia de IP de origen, la opción B debería ser buena.
Reemplace la dirección de origen, la dirección de destino, la interfaz saliente y la dirección de la puerta de enlace de acuerdo con la configuración de su entorno.

Pasos de verificación

Realice un seguimiento del rastreador para determinar el destino de la conectividad para que la interfaz de administración de alta disponibilidad responda en consecuencia.
La captura de sniffer indica el retorno del tráfico de administración de HA de acuerdo con la política de HA o la ruta estática de HA.

# diag network sniffer any ‘host 172.10.10.2’ 4
filters=[host 172.10.10.2]

interface=[port1] 3.373251 10.10.10.7.51211 -> 172.10.10.2.443: syn 560192458

interface=[port1] 3.373261 172.10.10.2.443 -> 10.10.10.7.51211: syn 2110820095 ack 560192459

interface=[port1] 3.374993 10.10.10.7.51211 -> 172.10.10.2.443: ack 2110820096

Deja una respuesta 0

Your email address will not be published. Required fields are marked *