FortiSwitch ‘Offline’ Durumunu Düzeltmek

tuncaybas FortiGate

Açıklama

Bu makale, FortiSwitch’in FortiGate biriminde Security Fabric -> Physical Topology -> FortiSwitch -> Status: Offline altında ‘Çevrimdışı’ olarak gösterildiği bir sorunun nasıl düzeltileceğini açıklar.

Kapsam

FortiSwitch’e bağlı FortiGate.

Çözüm

Bu sorun oluştuğunda, FortiSwitch FortiGate’e bağlıdır ancak beklendiği gibi çalışmaz.

FortiGate’deki durumu Security Fabric -> Physical Topology -> FortiSwitch -> Status: Offline altında kontrol edin.

Fabrika ayarlarına göre FortiLink arayüzü aşağıdaki gibi olacaktır:

config system interface
    edit "fortilink"
        set vdom "root"
        set fortilink enable
        set ip 10.255.1.1 255.255.255.0
        set allowaccess ping fabric
        set type aggregate
        set member "a" "b"
        set lldp-reception enable
        set lldp-transmission enable
    next
end

‘set fortilink’ seçeneği daha önce GUI veya CLI aracılığıyla devre dışı bırakıldıysa, yeniden etkinleştirilmesi gerekir ve bu yalnızca CLI aracılığıyla mümkündür. Aksi takdirde, FortiSwitches senkronize olmaz.

Yeniden etkinleştirmek için:

config system interface
    edit "fortilink"
        set fortilink enable
    next
end

“FortiLink” özelliği devre dışı bırakıldığında, GUI’de ‘Dedicated to FortiSwitch‘ ifadesi görünmeyecektir:

Devam etmeden önce, tarih, saat ve saat diliminin FortiGate’i yönetenle aynı olduğundan emin olun. Uyuşmayan saatler çok sayıda soruna neden olur.

FortiGate’deki FortiSwitch bağlantısını kontrol etmek için aşağıdaki CLI komutunu kullanın:

execute switch-controller get-conn-status <FortiSwitch_serial_number>

Sonuç aşağıdaki gibi görünecektir (‘No CAPWAP IP address retrieved for FortiSwitch S448ENTFxxxxxxxx‘ hata mesajıyla birlikte).

Fortilink interface ... OK
FortiLink enabled

DHCP server … OK
FortiLink enabled

NTP server … FAIL
FortiLink not enabled
NTP server sync … OK
HA primary: yes, HA primary ip: 192.168.0.1, management_vfid: 0 ha_direct=0, ha_mgmt_vfid=1
synchronized: no, ntpsync: enabled, server-mode: enabled

ipv4 server(ntp2.fortiguard.com) unresolved — unreachable(0xff) S:0 T:2
no data
ipv4 server(ntp1.fortiguard.com) unresolved — unreachable(0xff) S:0 T:2
no data

HA mode Active-Passive… enabled

Fortilink
Status … SWITCH_AUTHORIZED_READY
Last keepalive … 15 seconds ago

 

No CAPWAP IP address retrieved for FortiSwitch S448ENTFxxxxxxxx
CAPWAP
Remote Address : N/A
Status ... Idle

No CAPWAP IP address retrieved for FortiSwitch S448ENTFxxxxxxxx‘ mesajının göründüğüne dikkat edin. Bu durumda, S448ENTFxxxxxxxx FortiSwitch seri numarasıdır.

Sorunu çözmek için aşağıdaki gibi NTP ayarlarına bir ‘FortiLink’ arayüzü eklemeyi düşünün.

Aşağıdaki CLI yapılandırmasını çalıştırın:

config system ntp

get                <- Daha önce herhangi bir arayüz ayarının olup olmadığını kontrol etmek için.
    set interface “portxx” “portyy” “FortiLink”
end

Yukarıdaki yapılandırmada, ‘portxx’ ve ‘portyy’ ‘get’ komutuyla görülebilen eski arayüz ayarıdır.
FortiLink, eklenen FortiLink arayüzüdür.

Ayrıca, aşağıdaki komutu çalıştırdıktan sonra aşağıdaki hata gözlemlenirse, aşağıdaki adımları izleyin:

execute switch-controller get-conn-status < FortiSwitch Serial Number>

Get managed-switch S248EFTF23009804 connection status:
Admin Status: Authorized
Connection: Idle

Diagnosing...
FGT can not detect S248EFTF23009804 at LAG.
Please Check FortiGate:
CAPWAP in LAG is enabled.
Please Check FortiSwitch:
1. S248EFTF23009804 is in FortiLink mode.
2. S248EFTF23009804 is managed via LAG.
3. Execute 'execute switch-controller diagnose-connection S248EFTF23009804' for further details.

Daha detaylı kontrol için aşağıdaki komutu çalıştırın:

execute switch-controller diagnose-connection < FortiSwitch Serial Number>

Fortilink interface ... OK
LAG enabled

DHCP server ... OK
LAG enabled
WARNING : NTP service for DHCP entry should be set to local mode .... please check config <- (It is necessary to change the NTP server to 'local' in the FortiLink interface.)

NTP server ... OK
LAG enabled
NTP server sync ... OK
HA primary: yes, HA primary ip: 169.254.0.2, management_vfid: 0 ha_direct=0, ha_mgmt_vfid=-1
synchronized: no, ntpsync: enabled, server-mode: enabled

ipv4 server(ntp2.fortiguard.com) unresolved -- unreachable(0xff) S:0 T:9
no data
ipv4 server(ntp1.fortiguard.com) unresolved -- unreachable(0xff) S:0 T:9
no data

HA mode Active-Passive... enabled

Fortilink
Status ... SWITCH_AUTHORIZED_READY
Last keepalive ... 2 seconds ago

No CAPWAP IP address retrieved for FortiSwitch S248EFTF23009804
CAPWAP
Remote Address : N/A
Status ... Idle

FortiLink arayüzünün yapılandırmasında, NTP sunucusunu ‘Specify‘ten ‘Local’e değiştirin:

Ayrıca FortiGate üzerindeki arayüz ayarlarını da kontrol edin:

config system interface

    edit <interface name> <- Ex : FortiLink.

     set switch-controller-mgmt-vlan 4094 <- Varsayılan olarak 4094 olur.

    end

Bunun nedeni, bazen anahtarın 4094 VLAN kimliğine sahip olmaması ve FortiSwitch ve FortiGate’te bunu 4093 olarak değiştirmenin mümkün olmasıdır.

FortiLink arayüz IP adresinin doğru olduğunu doğrulayın (örneğin, DHCP sunucusu FortiLink arayüzünde etkinleştirilmişse arayüz IP’si 169.254.1.1 olmamalıdır) ve DHCP aralığının arayüz IP’siyle aynı aralıkta olduğundan emin olun.

FortiSwitch’e konsol erişimi sağlayın ve aşağıdaki komutları çalıştırın:

Ayrıca, FortiSwitch DHCP teklifini gönderiyor ancak Fortigate’ten IP adresini almıyorsa, VCI’nin Fortigate’teki DHCP sunucusu ayarı altında doğru şekilde yapılandırılıp yapılandırılmadığını kontrol edin.

config system dhcp server

    edit <id> <- For example: the DHCP ID.

             set vci-match enable

        set vci-string FortiSwitch 

    end

FortiSwitch’te:
show switch auto-network

Yapılandırma şu şekilde görünmelidir:

config switch auto-network
set mgmt.-vlan 4094 <- 4094 varsayılan VLAN'dır.
set status enable

Ayrıca, FortiSwitch’teki bu ayarı kontrol edin:

config switch interface
edit <interface connected to fortigate or fortiswitch>
show

Bu ayar görünürse:

unset allowed-vlans

Ardından şununla değiştirin:

set allowed-vlans 4094

end

FortiSwitch’i yeniden başlatın ve komutu tekrar çalıştırın:

execute switch-controller diagnose-connection < FortiSwitch Serial Number>

Fortilink interface ... OK
LAG enabled

DHCP server ... OK
LAG enabled

NTP server ... OK
LAG enabled
NTP server sync ... OK
HA primary: yes, HA primary ip: 169.254.0.2, management_vfid: 0 ha_direct=0, ha_mgmt_vfid=-1
synchronized: no, ntpsync: enabled, server-mode: enabled

HA mode Active-Passive... enabled

Fortilink
Status ... SWITCH_AUTHORIZED_READY
Last keepalive ... 1 seconds ago

CAPWAP
Remote Address: 10.17.1.2 <-- The remote IP address.
Status ... CONNECTED
Last keepalive ... 26 seconds ago

PING 10.17.1.2 (10.17.1.2): 56 data bytes
64 bytes from 10.17.1.2: icmp_seq=0 ttl=64 time=0.7 ms
64 bytes from 10.17.1.2: icmp_seq=1 ttl=64 time=0.6 ms
64 bytes from 10.17.1.2: icmp_seq=2 ttl=64 time=24.2 ms
64 bytes from 10.17.1.2: icmp_seq=3 ttl=64 time=3.0 ms
64 bytes from 10.17.1.2: icmp_seq=4 ttl=64 time=0.6 ms

--- 10.17.1.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.6/5.8/24.2 ms

Ping başarılıdır, yani FortiSwitch çevrimiçidir. Bu GUI’den de doğrulanabilir.

9 total views, 9 views today

tuncaybas

Bir Cevap Yazın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>