Networking tries

Just another networking blog.

Configurazione link-monitor in ambiente asimmetrico.

Immaginiamo due datacenter con un cluster di FortiGate FGCP collegati a due ISP su reti diverse.

Essendo un cluster FGCP la configurazione รจ sincronizzata tra le unitร  e durante il failover il FortiGate secondario non sarร  mai raggiungibile a causa della configurazione sulla rete sbagliata.
Normalmente questa configurazione รจ richiesta principalmente in ambienti cloud dove perรฒ รจ possibile configurare le eccezioni per evitare la sincronizzazione delle diverse interface e rotte statiche disponibili nelle VM:
Technical Tip: VDOM Exception

Tuttavia questa configurazione non รจ disponibile nei modelli hardware in quanto il clustering protocol non รจ mai stato pensato per essere usato in ambienti assimetrici dove il FortiGate non condivide il broadcast domain tra i due device.

Un potenziale workaround รจ assegnare un ip secondario sull’interfaccia e usare ip di entrambe le network, dunque creare due rotte default per ogni gateway.

Normalmente con questa configurazione si ottiene la seguente condizione:

Essendo rotte statiche entrambe verrano installate in kernel ma solo quella con il gateway minore sarร  utilizzata.

Dunque รจ necessario disabilitare uno delle due rotte nel momento dello swap per funzionare, esempio di un link-monitor configurato:

config system link-monitor
    edit "down10000"
        set srcintf "port2"
        set server "10.0.0.1"
        set gateway-ip 10.0.0.1
        set route "0.0.0.0/0"
    next
    edit "down20000"
        set srcintf "port2"
        set server "20.0.0.1"
        set gateway-ip 20.0.0.1
        set route "0.0.0.0/0"
    next
end

Due opzioni fondamentali sono:

set gateway-ip
set route

Questa configurazione effettua un ping continuo verso il server e nel caso viene rilevato down la rotta “0.0.0.0/0” con gateway “20.0.0.1” viene disabilitata:

In kernel non รจ piรน presente la rotta per con gateway 20.0.0.1:

Subito dopo il failover senza modificare la configurazione il link-monitor รจ cambiato rilevando il peer 10.0.0.1 morto e disabilitando la rotta:

Traceroute:

Il link-monitor รจ una feature molto potente che permette anche di spegnere le porte fisiche, di default ha molte opzioni invasive abilitate e potrebbe creare disservizi durante una prima configurazione non testata.

Da notare che il link-monitor ha effetto su rotte statiche e PBR ma non ha effetto su SD-WAN policy o interfacce membri di una zona.

,

BK201Pai

Leave a Reply

Your email address will not be published. Required fields are marked *