{"id":87,"date":"2025-12-17T11:55:46","date_gmt":"2025-12-17T09:55:46","guid":{"rendered":"https:\/\/blog.bk201.eu\/?p=87"},"modified":"2025-12-17T11:57:48","modified_gmt":"2025-12-17T09:57:48","slug":"configurazione-link-monitor-in-ambiente-asimmetrico","status":"publish","type":"post","link":"https:\/\/blog.bk201.eu\/?p=87","title":{"rendered":"Configurazione link-monitor in ambiente asimmetrico."},"content":{"rendered":"\n

Immaginiamo due datacenter con un cluster di FortiGate FGCP collegati a due ISP su reti diverse.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Essendo un cluster FGCP la configurazione \u00e8 sincronizzata tra le unit\u00e0 e durante il failover il FortiGate secondario non sar\u00e0 mai raggiungibile a causa della configurazione sulla rete sbagliata.
Normalmente questa configurazione \u00e8 richiesta principalmente in ambienti cloud dove per\u00f2 \u00e8 possibile configurare le eccezioni per evitare la sincronizzazione delle diverse interface e rotte statiche disponibili nelle VM:
Technical Tip: VDOM Exception<\/a>

Tuttavia questa configurazione non \u00e8 disponibile nei modelli hardware in quanto il clustering protocol non \u00e8 mai stato pensato per essere usato in ambienti assimetrici dove il FortiGate non condivide il broadcast domain tra i due device.<\/p>\n\n\n\n

Un potenziale workaround \u00e8 assegnare un ip secondario sull’interfaccia e usare ip di entrambe le network, dunque creare due rotte default per ogni gateway.<\/p>\n\n\n\n

Normalmente con questa configurazione si ottiene la seguente condizione:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Essendo rotte statiche entrambe verrano installate in kernel ma solo quella con il gateway minore sar\u00e0 utilizzata.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Dunque \u00e8 necessario disabilitare uno delle due rotte nel momento dello swap per funzionare, esempio di un link-monitor configurato:<\/p>\n\n\n\n

config system link-monitor\n    edit \"down10000\"\n        set srcintf \"port2\"\n        set server \"10.0.0.1\"\n        set gateway-ip 10.0.0.1\n        set route \"0.0.0.0\/0\"\n    next\n    edit \"down20000\"\n        set srcintf \"port2\"\n        set server \"20.0.0.1\"\n        set gateway-ip 20.0.0.1\n        set route \"0.0.0.0\/0\"\n    next\nend<\/code><\/pre>\n\n\n\n
Due opzioni fondamentali sono:<\/p>\n\n\n\n
set gateway-ip\nset route<\/code><\/pre>\n\n\n\n
Questa configurazione effettua un ping continuo verso il server e nel caso viene rilevato down la rotta “0.0.0.0\/0” con gateway “20.0.0.1” viene disabilitata:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
In kernel non \u00e8 pi\u00f9 presente la rotta per con gateway 20.0.0.1:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Subito dopo il failover senza modificare la configurazione il link-monitor \u00e8 cambiato rilevando il peer 10.0.0.1 morto e disabilitando la rotta:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Traceroute:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Il link-monitor \u00e8 una feature molto potente che permette anche di spegnere le porte fisiche, di default ha molte opzioni invasive abilitate e potrebbe creare disservizi durante una prima configurazione non testata.<\/p>\n\n\n\n
Da notare che il link-monitor ha effetto su rotte statiche e PBR ma non ha effetto su SD-WAN policy o interfacce membri di una zona.<\/p>\n","protected":false},"excerpt":{"rendered":"
Immaginiamo due datacenter con un cluster di FortiGate FGCP collegati a due ISP su reti diverse. Essendo un cluster FGCP la configurazione \u00e8 sincronizzata tra le unit\u00e0 e durante il failover il FortiGate secondario non sar\u00e0 mai raggiungibile a causa della configurazione sulla rete sbagliata.Normalmente questa configurazione \u00e8 richiesta principalmente in ambienti cloud dove per\u00f2 […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[17,1],"tags":[],"class_list":["post-87","post","type-post","status-publish","format-standard","hentry","category-fortigate","category-network"],"_links":{"self":[{"href":"https:\/\/blog.bk201.eu\/index.php?rest_route=\/wp\/v2\/posts\/87","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.bk201.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.bk201.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.bk201.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.bk201.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=87"}],"version-history":[{"count":6,"href":"https:\/\/blog.bk201.eu\/index.php?rest_route=\/wp\/v2\/posts\/87\/revisions"}],"predecessor-version":[{"id":103,"href":"https:\/\/blog.bk201.eu\/index.php?rest_route=\/wp\/v2\/posts\/87\/revisions\/103"}],"wp:attachment":[{"href":"https:\/\/blog.bk201.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=87"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.bk201.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=87"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.bk201.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=87"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}