Sincronizar Equipos FortiGate en HA

El comando diagnose sys ha checksum recalculate en FortiGate se utiliza en un entorno de Alta Disponibilidad (HA) para recalcular los checksums de las configuraciones sincronizadas entre los dispositivos del clúster HA. En un clúster de HA, dos o más dispositivos FortiGate trabajan juntos para proporcionar redundancia, failover y balanceo de carga. Es crucial que la configuración en todos los dispositivos sea idéntica, y para ello, FortiGate utiliza checksums que verifican si las configuraciones coinciden entre los nodos primario y secundario.

Funcionamiento del Clúster HA en FortiGate:

En un entorno HA, el nodo primario (conocido como Master) es responsable de gestionar y sincronizar la configuración con los nodos secundarios (o Slave). Cuando realizas cambios en la configuración o recalculas los checksums en el nodo primario, este automáticamente sincroniza la configuración con los demás nodos en el clúster. Por lo tanto:

  1. El nodo primario gestiona la sincronización: Cuando ejecutas el comando en el nodo primario, este recalcula los checksums y asegura que los demás nodos (secundarios) estén en sincronía. No es necesario recalcular el checksum en cada nodo porque el nodo primario transmite cualquier actualización de configuración a los secundarios.
  2. El nodo secundario no debe ejecutar el comando: Los nodos secundarios solo reciben las configuraciones sincronizadas del primario, y no actúan de manera independiente en la gestión de la configuración. Ejecutar el comando en los nodos secundarios sería redundante.

¿Para qué sirve?

El propósito principal de este comando es:

  1. Verificar la consistencia de la configuración: Se asegura de que la configuración en todos los dispositivos del clúster HA sea idéntica. Si las configuraciones no coinciden entre los nodos, puede haber problemas de sincronización o fallos en la conmutación por error (failover).
  2. Recalcular checksums: Los checksums son valores hash que representan la configuración de los dispositivos. Si alguna configuración ha cambiado en alguno de los dispositivos, este comando recalcula el checksum para reflejar esos cambios.
  3. Detección de discrepancias: Si hay discrepancias en las configuraciones entre los miembros del clúster HA, recalcular los checksums puede ayudar a identificarlas y solucionarlas, facilitando la sincronización correcta.

¿Cómo se utiliza?

  1. Acceder a la CLI de FortiGate: Debes estar en el CLI del dispositivo FortiGate, ya sea a través de SSH o una consola local.
  2. Ejecutar el comando:
  • Si estás utilizando un entorno de HA, ingresa el siguiente comando en el dispositivo que actúa como el nodo primario del clúster HA:
diagnose sys ha checksum recalculate
  1. Verificar el estado del HA: Luego de ejecutar el comando, puedes usar el siguiente comando para revisar si los checksums coinciden entre los miembros del clúster:
  diag sys ha checksum cluster
  1. Interpretar los resultados: Si los checksums no coinciden, verás un error o diferencia en el estado de sincronización. En ese caso, puedes proceder a revisar las configuraciones manualmente o forzar una sincronización.

Cuándo usarlo

  • Después de realizar cambios de configuración: Si realizas cambios en la configuración del clúster HA y deseas asegurarte de que todos los dispositivos están sincronizados.
  • Cuando sospechas de una desincronización: Si el failover no funciona correctamente o ves advertencias de inconsistencias de configuración entre los nodos, este comando es útil para recalcular y verificar los checksums.
  • Mantenimiento preventivo: Puedes usar este comando periódicamente como parte del mantenimiento del clúster HA para asegurar que todo esté funcionando correctamente.

Este comando es clave en la administración y resolución de problemas en entornos HA, asegurando que los dispositivos tengan configuraciones consistentes y puedan operar en alta disponibilidad sin problemas.

Scroll al inicio
WordPress Appliance - Powered by TurnKey Linux