Fortigate HA:如何定位连接到无源单元的交换机端口?

网络工程 转变 加强
2021-07-18 16:20:57

在一个新客户的网络中,我发现了以下场景:

图表

  • Fortigate 1 和 2 形成主动-被动模式下的 HA 集群。HA 链路只是直接连接它们的电缆。
  • 机架 A 和 B 相距几米,它们之间的电缆穿过天花板。无法跟踪它们,也无法识别它们:没有面板,没有标签,......
  • 每个 Fortigate 的端口 1 连接到交换机,但客户不知道交换机端口。
  • 所有交换机端口都是默认 VLAN 中的接入端口。Fortigate 端口 1 是与此 VLAN 关联的子网的默认网关

为了定位交换机端口,我考虑将我的 PC 连接到一台交换机上,设置子网地址并 ping 默认网关。然后检查ARP寻找默认网关的MAC地址,最后在两台交换机的CAM中寻找这个MAC地址。但是,我意识到这只会让我发现连接到活动 Fortigate 设备的交换机端口。

有没有办法追踪连接到被动 Fortigate 设备的交换机端口,而无需断开防火墙侧的电缆,既不强制集群主动设备转换?

2个回答

您可以做的是通过 SSH 连接到活动单元,然后运行:

execute ha manage <x>

其中 x 是另一个单元的 ID。

然后运行

config system interface
edit "port1"
set status down
next 
edit "port1"
set status up
end

然后您可以登录到交换机(假设它正在记录接口 UP/DOWNS)并查看哪个接口出现故障。

没有直接的方法可以确定端口 1 的从属 MAC,因为两个 HA 集群成员单元为每个端口共享相同的虚拟 MAC。
断开(或禁用)端口有 50% 的机会触发集群故障转移,随后会丢弃一些流量。

为了尽量减少网络中断,我会在 HA 配置设置中暂时禁用端口 1 的端口监控。然后拉一根 port1 线,观察哪个交换机端口发出一条链路断开的信号。这样,流量只会在此操作期间被丢弃,而不会在一次或可能两次 HA 集群故障转移的(更长)期间内被丢弃。

一种不同的方法是观察有多少流量流过每个交换机端口。slave的wan口不会承载太多流量,所以两个switchport上的流量速率应该相差很大。

其它你可能感兴趣的问题
上一篇设置交换机以从 SPAN 端口传递数据 下一篇802.3bd-2011 实际上为 802.3 以太网添加了哪些功能?