Uno de los problemas mas graves que se puede encontrar un administrador de redes es perder la gestión de su equipo. Por suerte, si contamos con un FortiManager y aplicamos alguna configuración que nos haga perder la gestión de uno de nuestros FortiGate podremos recuperarlo con facilidad.
En cada despliegue de configuración FortiManager enviará al FortiGate:
- Un listado de los comandos set necesarios para aplicar los cambios de configuración
- Un listado de los comandos unset que revertirían los cambios de configuración
De tal manera, que si los cambios aplicados en el FortiGate nos hacen perder la conexión con el FortiManager mediante el túnel fgfm se aplicarán los comandos unset para volver al estado anterior.
Por defecto, FortiManager aplica las siguientes configuraciones para reintentar desplegar una configuración:
FMG-ALOZANOX # get system dm
...
nr-retry : 1
retry : enable
retry-intvl : 15
rollback-allow-reboot: disable
En este caso, voy a modificar el valor «retry» a disable para que no reinstale y de este modo lleve menos tiempo la recuperación del equipo. También voy a habilitar la opción «rollback-allow-reboot» para que en caso de que tampoco sea posible recuperar el equipo mediante los «unsets» que le ha enviado previamente el FortiManager al equipo, se reinicie y vuelva a la configuración anterior.
El valor retry-intvl se puede modificar pero no tendrá ningún efecto, siempre serán 15 minutos al menos en las pruebas que he podido realizar.
FMG-ALOZANOX # config system dm
(dm)# set retry disable
(dm)# set rollback-allow-reboot enable
(dm)# end
Hagamos una prueba, supongamos que tenemos los siguientes equipos en el FMG:
Y que modifico por error la IP del equipo FGT_Barcelona por otra IP totalmente diferente. De este modo provocaremos la pérdida de gestión con el equipo y probaremos que todo lo comentado anteriormente funciona, es decir, deberemos recuperar el equipo pasados 15 minutos:
Observamos que se ha modificado y aplicamos los cambios en el equipo desde el FMG:
Esperamos…
Aunque si nos conectamos por consola al equipo durante este progreso podremos observar que el cambio de IP ya está realizado y en este punto la comunicación entre el FortiManager y el FortiGate está caída:
Comprobamos que no tenemos ping desde el FMG al FGT:
Una vez pasados los 15 minutos se actualizará la ventana indicándonos que la instalación ha fallado:
Si hacemos click sobre «View Progress Report» nos dará mas detalle de todo el progreso. Como no ha habido respuesta del FortiGate tras la modificación de la IP la instalación no se ha podido realizar de manera satisfactoria, de modo que en este momento se revierten los cambios aplicados en el equipo.
Como comentábamos, tras haber fallado la instalación volvemos a tener gestión del equipo pero la configuración seguirá estando como «Modified» en el FortiManager porque el cambio que hicimos anteriormente persiste en la base de datos. Deberemos corregir la IP o realizar un «Retrieve» del equipo para tener la configuración sincronizada.
Como podéis ver, está muy bien conocer que FortiManager cuenta con esta funcionalidad y que cuando una infraestructura disponga de un FMG se realicen siempre todas las modificaciones desde él mismo, por este motivo que nos permite evitar la pérdida de gestión entre los dispositivos, y para que toda la planta se encuentre siempre correctamente sincronizada, además de que FortiManager nos permitirá realizar despliegues masivos de una forma muy rápida y eficiente, aunque eso lo iremos viendo en otras entradas.
