Configurar HA con direcciones IP de mgmt distintas

Para discusiones sobre temas técnicos (solución de problemas, configuraciones) cuyo tema no pertenezca especificamente a otros foros.
Responder
lpedroza
Mensajes: 1
Registrado: 16 Sep 2021, 23:09

Configurar HA con direcciones IP de mgmt distintas

Mensaje por lpedroza »

Hola:

Tengo configurados varios FG3301E, FG1101E y muchos FG501E con FortiOS 6.2.7 y, por cuestiones de inventario en línea, y de monitoreo SNMP, es necesario crear una dirección IP distinta para cada equipo en el cluster.

En algún lado leía (no recuerdo el enlace, que pena) que se necesita otro cable UTP, en otro puerto de red, para poder tener esto. ¿Es cierto?

Yo no puedo darme el lujo de dedicar otro puerto de Firewall a estos servicios por costos embebidos de hardware (para eso está el de mgmt en los FG501E) y estaría en bastantes sedes dedicando puertos en los switches, o en los mismos Firewall, o en ambos casos, que no tengo porque estoy full y sin crecimiento de puertos. No se si las nuevas versiones de FortiOS soporten esto, pero cambiar el OS es un proyecto para el 2023.

¿¿Alguien ha probado alguna solución que no implique más cables (es otro proyecto para el cual no tengo presupuesto) o upgrade de equipos??

Algo así como asignar doble dirección IP al mismo puerto de mgmt.


alguien ha probado en producción el comando:


config system interface
edit "mgmt"
set management-ip x.x.x.x y.y.y.y
set dedicate-to management
next
end


Intenté con ese commando, pero la pérdida de pings es muy grande. Tiene la ventaja de que es un comando que no se sincroniza con el HA y permite tener las dos interfaces de mgmt con distintas IP. NO lo hice con set secondary-IP, porque ese si sincroniza la IP y necesito que sean distintas por equipo en el cluster.

Esa dirección IP que se configure, va a estar permanentemente recibiendo y generando traps y copias de configuración.

Cualquier experiencia o consejo es bienvenido y de antemano gracias.
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Configurar HA con direcciones IP de mgmt distintas

Mensaje por AndresW »

Claro que se puede estimado, de hecho lo tengo operando en distintos sites con clústers de hasta 4 FortiGates sin probemas. Revisa este KB donde se explica como implementar el escenario que planteas.

[Debes identificarte para poder ver enlaces.]
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder