Gestion des sessions en haute disponibilité sur FortiGate

Cet article concerne un retour d’expérience sur FortiGate où le session-pickup ne s’est pas comporté comme prévu.

Lors d’une bascule du membre actif vers le passif dans un cluster, nous avons observé une instabilité de 5 minutes que nous n’avions pas auparavant.

Habituellement, pour que la bascule se déroule de manière transparente, nous aimons employer la commande :

config system ha
  set session-pickup enable
end

Après analyse de la configuration, nous avons identifié que l’intégrateur avait ajouté cette ligne de commande pour éviter que le session-pickup ne soit trop consommateur sur la partie haute disponibilité : set session-pickup-delay enable.

En se basant sur la documentation officielle, on apprend que cela permet de ne reprendre que les flux actifs dont les sessions durent plus de 30 secondes. Mais le ressenti utilisateur comme la supervision ont montré que les connexions ont été instables pour une durée de 5 minutes.

Devant rebasculer dans l’autre sens et par souci homogénéisation, j’ai pris la décision de retirer la commande en question. Ainsi, la bascule suivante s’est déroulée sans impact. Je ne recommande donc pas de passer cette commande par anticipation mais seulement si un jour vous avez une bascule qui se déroule mal.

Photo de bannière par Waldemar Brandt sur Unsplash

• Reseau
• Fortinet
• FortiGate
• Firewall
• Troubleshooting