Nse4 Infraestructura 51-100

Machine Translated by Google
Enrutamiento
NO REIMPRIMIR
© FORTINET
Guía de estudio de FortiGate Infraestructura 7.0 51

Enrutamiento
NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende algunas de las mejores prácticas de enrutamiento.
Ahora, aprenderá sobre el diagnóstico de enrutamiento.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en el diagnóstico de enrutamiento, debería poder determinar las causas fundamentales
de cualquier falla de enrutamiento en su red.

Enrutamiento
NO REIMPRIMIR
© FORTINET
El comando CLI que se muestra en esta diapositiva muestra todas las rutas activas en la tabla de enrutamiento. La
columna más a la izquierda indica el origen de la ruta.
Los atributos de ruta se muestran entre corchetes. El primer número, en el primer par de atributos, es la distancia, que se
aplica tanto a rutas dinámicas como estáticas. El segundo número es métrico, que se aplica solo a las rutas dinámicas.
Las rutas estáticas también pueden tener atributos de prioridad y peso, que se muestran como el último par de atributos de
la ruta respectiva.
Este comando no muestra rutas en espera o inactivas. Por ejemplo, cuando dos rutas estáticas a la misma subred de
destino tienen distancias diferentes, la de menor distancia se considera activa y, por lo tanto, se instala en la tabla de
enrutamiento. El de mayor distancia se considera standby y por lo tanto no se instala en la tabla de enrutamiento.
Entonces, este comando muestra solo la ruta con la distancia más baja (la activa).

Enrutamiento
NO REIMPRIMIR
© FORTINET
Si desea mostrar rutas activas, en espera e inactivas, use el comando CLI que se muestra en esta diapositiva.
En el ejemplo de esta diapositiva, el comando muestra una ruta de reserva. La ruta es la ruta en espera porque la ruta
predeterminada sobre el puerto 1 tiene una distancia menor. La salida también muestra una ruta inactiva. Las rutas se
marcan como inactivas cuando la interfaz correspondiente está administrativamente inactiva, o su enlace está inactivo,
o cuando el monitor de enlace detecta que la puerta de enlace está inactiva.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Las rutas de política y las rutas estáticas creadas con direcciones ISDB no se agregan a la tabla de enrutamiento; se agregan a la
tabla de enrutamiento de políticas. Puede mostrar estas rutas usando el comando CLI que se muestra en esta diapositiva.
Este comando enumera todas las rutas activas en la tabla de enrutamiento de políticas.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Las capturas de paquetes, o sniffers, son una de las fuentes de información más útiles para depurar problemas de
enrutamiento. FortiGate incluye una herramienta de rastreo de tráfico integrada. Puede usarlo para verificar las interfaces
de entrada y salida de los paquetes a medida que pasan. Puede ejecutar el sniffer integrado desde la GUI o la CLI. La sintaxis
del comando CLI se muestra en esta diapositiva.
La <interfaz> es el nombre de la interfaz física o lógica. Si su cuenta tiene el perfil de acceso super_admin, puede especificar
cualquiera para capturar en todas las interfaces. Si está utilizando cualquier opción, recuerde que el sniffer no imprime
ninguna dirección MAC de interfaz.
Los filtros son similares a tcpdump en Linux. Debe configurar filtros específicos para asegurarse de capturar solo lo
que necesita. También puede especificar un valor de <recuento> para detener automáticamente el rastreador después
de capturar una cantidad específica de paquetes. De lo contrario, el sniffer continúa capturando paquetes hasta que usted lo
detenga manualmente usando Ctrl + C. Puede usar la opción <marca de tiempo> para imprimir información de marca de tiempo.
Use a para imprimir la marca de tiempo absoluta, o l (L minúscula) para imprimir la marca de tiempo basada en la zona horaria
local. La información de marca de tiempo es particularmente útil cuando se correlaciona la salida del sniffer con los mensajes
de flujo de depuración. Aprenderá más sobre el flujo de depuración más adelante en este curso.
De forma predeterminada, el rastreador utiliza la MTU configurada en la interfaz. Con el argumento <tamaño de trama>,
puede especificar una longitud mayor o menor que la MTU de la interfaz. Si usa cualquier interfaz, el sniffer tendrá un valor
predeterminado de 1600 bytes.

Enrutamiento
NO REIMPRIMIR
© FORTINET
El nivel de verbosidad especifica cuánta información desea mostrar. Hay seis niveles diferentes y esta tabla muestra
cuáles muestran los encabezados de IP, la carga útil del paquete, los encabezados de Ethernet y los nombres de las interfaces.
Use el nivel de detalle 4 para observar rápidamente cómo fluye el tráfico a través de FortiGate (si llegan paquetes).
y cómo FortiGate los está eliminando). También puede usar el nivel 4 para verificar si FortiGate está descartando paquetes.
Los niveles de verbosidad 3 y 6 proporcionan la mayor salida. Ambos muestran las cargas útiles de IP y los encabezados
de Ethernet. Puede guardar el resultado y exportarlo a un archivo de captura de paquetes (pcap) mediante un script Perl.
Luego, el archivo pcap se puede abrir con un analizador de paquetes, como Wireshark, para una mayor investigación.
Puede ubicar el script Perl que convierte la salida del sniffer a pcap en el sitio web de la base de conocimientos de Fortinet (kb.fortine

Enrutamiento
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra dos ejemplos de salidas de captura de paquetes. El primer ejemplo captura todo el
tráfico hacia y desde el puerto 443. Utiliza verbosidad 4, por lo que la información es fácil de leer. Muestra una
línea por paquete, que contiene la interfaz entrante y saliente, las direcciones IP, los números de puerto y el tipo de paquete (S
El segundo ejemplo captura todo el tráfico ICMP que proviene o se dirige al host 192.168.1.254. En este caso,
la verbosidad es 3, que es más larga y más difícil de leer, ya que incluye la carga IP de los paquetes.
Sin embargo, este es uno de los dos niveles de verbosidad a usar (siendo 6 el otro) si necesita exportar la salida a
Wireshark.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Si su modelo de FortiGate tiene almacenamiento interno, puede capturar paquetes en la GUI. Las opciones son similares
a las de la CLI. Para ejecutar un seguimiento, especifique una interfaz de origen y un filtro.
¿Cuál es la principal ventaja de usar la GUI sobre la CLI? Descarga la salida en un formato de archivo (pcap) que
está listo para abrirse con Wireshark, sin tener que usar un script de conversión.
Independientemente del método que utilice (CLI o GUI), los filtros de captura de paquetes deben ser muy específicos
para garantizar que solo se capturen los paquetes relevantes y que no se escriban grandes cantidades de datos en el disco.

Enrutamiento
NO REIMPRIMIR
© FORTINET

Enrutamiento
NO REIMPRIMIR
© FORTINET
¡Felicidades! Has completado la lección.
Ahora revisará los objetivos que cubrió en esta lección.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra los objetivos que cubrió en esta lección.
Al dominar los objetivos cubiertos en esta lección, aprendió cómo configurar, mantener y solucionar problemas
de configuración de enrutamiento de FortiGate.

Desglose local de SD-WAN
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre la función SD-WAN disponible en FortiGate.

NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.
Guía de estudio de FortiGate Infraestructura 7.0 sesenta y cinco

Machine Translated by Google Desglose local de SD-WAN
NO REIMPRIMIR
© FORTINET
Al demostrar competencia en SD-WAN, debería poder configurar zonas SD-WAN, miembros y equilibrio de carga de tráfico para usar
múltiples enlaces WAN de manera efectiva en FortiGate.

NO REIMPRIMIR
© FORTINET
SD-WAN es una interfaz virtual que consta de un grupo de interfaces miembro que se pueden conectar a diferentes tipos de
enlaces. FortiGate agrupa todas las interfaces de miembros en una sola interfaz virtual: la interfaz SD-WAN.
El uso de SD-WAN simplifica la configuración porque el administrador puede configurar un conjunto único de rutas y
políticas de firewall y aplicarlas a todas las interfaces de los miembros. Solo puede haber una interfaz SD-WAN por VDOM.
Uno de los principales motivadores para implementar SD-WAN es el uso efectivo de WAN, cuando se utilizan múltiples
enlaces WAN. El uso efectivo de la WAN se logra utilizando varios algoritmos de equilibrio de carga, como el uso del ancho
de banda, las sesiones o el enrutamiento consciente de la aplicación. Otra característica importante de SD-WAN son las mediciones de calid
Usando ping o eco HTTP, FortiGate puede determinar la latencia, la fluctuación o el porcentaje de pérdida de paquetes para
cada enlace y seleccionar enlaces dinámicamente en función de estas medidas. Esto garantiza una alta disponibilidad (HA)
para las aplicaciones críticas del negocio.

NO REIMPRIMIR
© FORTINET
Ahora, aprenderá sobre los casos de uso de SD-WAN. En el ejemplo que se muestra en esta diapositiva, el cliente depende en gran
medida de un MPLS costoso e inflexible. Todo el tráfico se enruta a través del circuito MPLS a la nube del proveedor, luego a la nube
pública o Internet, según las aplicaciones. Como se mencionó anteriormente, no hay flexibilidad en este escenario y, sin embargo, es una
solución costosa para el cliente. ¿Cómo puede el cliente agregar redundancia, flexibilidad, confiabilidad y, lo que es más importante,
seguridad, sin agregar una infraestructura costosa? Aprenderá sobre la solución en esta lección.

NO REIMPRIMIR
© FORTINET
En el ejemplo que se muestra en esta diapositiva, al cliente le gustaría mantener MPLS para las aplicaciones críticas para el negocio, al
mismo tiempo que agrega flexibilidad y redundancia. MPLS se usa para enviar tráfico crítico para el negocio (por ejemplo, voz y video)
basado en la mejor ruta con menos demora, inestabilidad o pérdida de paquetes. En caso de que la ruta actual se degrade por debajo del
umbral de la política, el tráfico crítico para el negocio se redirigirá a un nuevo túnel. Además, la carga del tráfico no crítico se equilibra
en diferentes líneas para maximizar el ancho de banda o minimizar el costo. Al mismo tiempo, la sucursal puede tener acceso seguro
directo a Internet, lo que mejora el rendimiento de la aplicación en la nube y puede equilibrar la carga de contenido SaaS e IaaS si es
necesario.

NO REIMPRIMIR
© FORTINET
En el ejemplo que se muestra en esta diapositiva, el costoso MPLS se reemplaza por dos túneles de VPN de Internet y, sin embargo, gana
resistencia y redundancia sólidas. Al reemplazar MPLS, el cliente puede minimizar los costos y maximizar la calidad. La solución SD-WAN
es una solución consciente de las aplicaciones de red y selecciona dinámicamente la mejor WAN para mantener un SLA más alto.

NO REIMPRIMIR
© FORTINET
Cuando configura SD-WAN, debe especificar al menos dos interfaces miembro, sus puertas de enlace asociadas y una zona SD-
WAN. Debe configurar SD-WAN temprano durante la configuración inicial de FortiGate porque, si una política de firewall o ruta estática
ya hace referencia a una interfaz, no puede usarla como una interfaz de miembro. Si tiene la intención de usar una interfaz como
miembro de SD-WAN, y una política de firewall o ruta estática hace referencia a esa interfaz, debe eliminar la política de firewall y la ruta
estática asociadas antes de poder asignar esa interfaz como miembro de SD-WAN. . SD-WAN admite interfaces físicas, así como
interfaces VLAN, agregadas e IPsec.
También puede agregar fácilmente otra interfaz de miembro en una fecha posterior, para agregar más ancho de banda u opciones de QoS.
FortiGate agrupa todas las interfaces de los miembros en una sola interfaz virtual para crear rutas: la SD-WAN
interfaz. El uso de SD-WAN simplifica la configuración porque el administrador puede configurar un único conjunto de rutas y
aplicarlas a todas las interfaces de los miembros. Solo puede haber una interfaz SD-WAN por VDOM.
Una regla implícita se genera automáticamente cuando habilita SD-WAN. Si no se cumple ninguna de las condiciones de ninguna de
las otras reglas, se utiliza la regla implícita. Esta regla implícita está diseñada para equilibrar el tráfico entre todos los enlaces de
miembros SD-WAN disponibles. Aprenderá sobre las reglas de SD-WAN más adelante en esta lección.

NO REIMPRIMIR
© FORTINET
El balanceo de carga de SD-WAN usa métodos de distribución de tráfico que son similares a los que usa ECMP (equal cost
multipath). Sin embargo, el equilibrio de carga del enlace SD-WAN incluye un método de equilibrio más: el volumen.
De forma predeterminada, el modo de equilibrio de carga está configurado como basado en IP de origen. Sin embargo, puede cambiar
el modo de equilibrio de carga a cualquiera de los siguientes:
• basado en IP de origen:
o Todo el tráfico de una IP de origen se envía a la misma interfaz.
• basado en el peso:
o Las interfaces con pesos más altos tienen mayor prioridad y obtienen más tráfico.
• basado en el uso:
o Todo el tráfico se envía a la primera interfaz de la lista. Cuando el ancho de banda en esa interfaz excede el
límite de desbordamiento, el nuevo tráfico se envía a la siguiente interfaz.
• fuente-destino-basado en ip:
o Equilibrio de carga de IP de origen y destino. Todo el tráfico de una IP de origen a una IP de destino se envía a
la misma interfaz.
• basado en el volumen medido:
o Equilibrio de carga basado en volumen. La carga del tráfico se equilibra en función del volumen de tráfico (en bytes). Más
el tráfico se envía a interfaces con proporciones de volumen más altas.

NO REIMPRIMIR
© FORTINET
Puede dividir las interfaces SD-WAN en grupos lógicos más pequeños llamados zonas SD-WAN. Luego puede usar estas zonas SD-WAN en
políticas de firewall para permitirle tener un control más granular sobre el tráfico que se inspecciona y permite. Puede crear varias zonas SD-
WAN para miembros de SD-WAN. Sin embargo, los miembros de SD-WAN no se pueden compartir entre varias zonas. De forma
predeterminada, FortiGate tiene creada la zona virtual-wan-link.

NO REIMPRIMIR
© FORTINET
Cuando crea un miembro SD-WAN, debe especificar una interfaz, una zona SD-WAN y una dirección de puerta de enlace. Puede
usar la zona SD-WAN predeterminada creada en FortiGate, o puede crear una nueva zona SD-WAN. Después de asignar una interfaz
SD-WAN a una zona SD-WAN, tiene la opción de cambiar la zona.

NO REIMPRIMIR
© FORTINET
Después de habilitar SD-WAN y configurar las interfaces miembro y el método de equilibrio de carga, se agrega
automáticamente una interfaz lógica con el nombre SD-WAN a la lista de interfaces cuando crea una ruta estática.
A continuación, debe crear las rutas utilizando esta interfaz virtual.
Para las políticas de firewall, debe usar las zonas SD-WAN como interfaz de origen o interfaz de destino. No puede usar
miembros individuales o una interfaz virtual SD-WAN en las políticas de firewall. Las políticas de firewall creadas con la
interfaz SD-WAN permiten que el tráfico se reenvíe a través de cualquier interfaz miembro.
Aún debe configurar una ruta predeterminada al implementar SD-WAN. La configuración de ruta predeterminada que
utiliza la interfaz SD-WAN no requiere una dirección de puerta de enlace porque FortiGate reenvía paquetes a la puerta
de enlace adecuada, según la información de la puerta de enlace de la interfaz de miembro.

NO REIMPRIMIR
© FORTINET
Aunque debe configurar rutas mediante la interfaz virtual SD-WAN, FortiGate instala rutas individuales para las interfaces de
miembros en la tabla de enrutamiento. Estas rutas comparten los mismos atributos (dirección de destino y subred, distancia y
prioridad) y están todas activas. Esto permite que FortiGate elimine rutas individuales en caso de una interrupción de la interfaz y
redirija todo el tráfico a las interfaces de miembros restantes, sin afectar todo el grupo de equilibrio de carga SD-WAN.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende la función SD-WAN en FortiGate.
Ahora, aprenderá sobre el SLA de rendimiento de SD-WAN y las medidas de calidad del enlace.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en el SLA de rendimiento de SD-WAN, debería poder configurar el SLA de rendimiento de SD WAN e
identificar cómo FortiGate mide la calidad del enlace.

NO REIMPRIMIR
© FORTINET
Ahora, aprenderá sobre las dos partes que componen la ventana Performance SLA: el monitor de estado del enlace (o verificación de
estado) y los objetivos de SLA.

NO REIMPRIMIR
© FORTINET
El monitor de salud del enlace es un mecanismo que detecta cuando un enrutador a lo largo de la ruta se detiene o se degrada.
FortiGate puede verificar el estado (o la salud) de cada interfaz miembro de SD-WAN que participa en un SLA de rendimiento,
según el modo de detección que haya seleccionado.
• Activo: el estado del enlace se mide mediante el envío de paquetes de prueba a los servidores configurados.
• Pasivo: el estado del enlace se mide utilizando la información de la sesión que se captura en las políticas de firewall que
tener habilitada la medición pasiva de salud wan.
• Preferir pasivo: el estado del enlace se mide mediante el tráfico que pasa a través de los miembros de SD-WAN.
Cuando no pasa tráfico a través de la interfaz de miembros, los paquetes de prueba se envían a los servidores
configurados para medir el estado del enlace.
Puede especificar hasta dos servidores para que actúen como balizas. Esto evita que el servidor tenga la culpa y no el enlace.
En la GUI, puede especificar miembros o seleccionar todos los miembros de SD-WAN como participantes. En la CLI, usted
ahora puede agregar el miembro 0, lo que equivale a agregar todos los miembros como participantes para el SLA de
desempeño particular.
Se agrega una entrada de ruta FIB en el kernel para llegar a los servidores definidos en la página Performance SLA sobre
cada interfaz de participante. Estas rutas del núcleo están marcadas como proto=17. Estas rutas del kernel actuarán
independientemente de las fuentes habituales de enrutamiento.
La GUI proporciona tres opciones de protocolo con las que realizar la verificación de estado: ping, HTTP y DNS, pero en la CLI
tiene seis opciones. Esas opciones son: ping, HTTP y DNS, al igual que en la GUI, pero también eco TCP, eco UDP y protocolo
de medición activa bidireccional (TWAMP).

NO REIMPRIMIR
© FORTINET
La calidad de servicio para el tráfico asociado con este SLA de desempeño está definida por los Objetivos de SLA.
Un enlace miembro de SD-WAN asignado a este SLA de rendimiento debe cumplir con el objetivo de SLA para ser
seleccionado sobre los otros enlaces participantes. Puede configurar los umbrales de latencia, fluctuación y pérdida
de paquetes para satisfacer sus necesidades y crear objetivos granulares de SLA para ajustar SD-WAN para aplicaciones específic
Aunque los objetivos de SLA se especifican en la página Performance SLA, en realidad no se utilizan allí. Los
valores configurados en esa página se usan solo cuando una regla hace referencia a ellos. Puede crear varios objetivos
de SLA por SLA de rendimiento, aunque hay algunos escenarios en los que desearía hacerlo.
Un escenario podría ser, si está ubicado en una sucursal y usa algunas aplicaciones diferentes que se ejecutan en
la misma sede del servidor. Puede crear un SLA de rendimiento para realizar la verificación de estado en ese
servidor, pero luego tener diferentes objetivos de SLA para las diferentes aplicaciones. Puede hacer que las reglas
para algunas aplicaciones sean indulgentes, pero más estrictas para otras. Sin embargo, si las aplicaciones se
ejecutan en diferentes servidores, querrá crear diferentes SLA de rendimiento para cada aplicación, a fin de que la
verificación de estado se realice en el servidor de aplicaciones específico. Y cada SLA de rendimiento requeriría solo
un objetivo de SLA para esa aplicación.

NO REIMPRIMIR
© FORTINET
El estado del enlace contiene configuraciones que especifican la frecuencia con la que el sistema verifica el estado del enlace para
determinar si necesita transferir el tráfico a otro enlace. Las configuraciones Fallo antes de inactivo y Restaurar enlace después evitan
que el sistema transfiera tráfico continuamente entre enlaces, una condición conocida como aleteo.

NO REIMPRIMIR
© FORTINET
El SLA de rendimiento (comprobaciones de estado) mide la calidad de los enlaces conectados a la interfaz de miembros que
participan en un SLA de rendimiento. Para esta medición se utilizan tres criterios diferentes: latencia, fluctuación y porcentaje de
pérdida de paquetes.
Son estos valores los que se usan contra los criterios de SLA dentro de las reglas que se usan para enrutar el tráfico en función de
la calidad del enlace de cada miembro.
La pérdida de paquetes, la latencia y la fluctuación que se muestran se basan en las respuestas (promediadas durante un período
breve) del servidor que utiliza el SLA de rendimiento. El sistema comienza con el primer servidor. Si ese servidor deja de estar
disponible, cambia al segundo servidor. Permanece en ese segundo servidor hasta que deja de estar disponible, momento en el
que vuelve al primer servidor. Si ambos servidores no están disponibles, entonces ese SLA de rendimiento se considera inactivo.
Es importante tener en cuenta que las flechas verdes hacia arriba solo indican que el servidor está respondiendo a la verificación de
estado, independientemente de los valores de pérdida de paquetes, latencia y fluctuación. No es una indicación de que se esté
cumpliendo alguno de los SLA.

NO REIMPRIMIR
© FORTINET
Los comandos CLI utilizados para configurar un SLA de rendimiento ofrecen más opciones. Las opciones tcp-echo, udp-echo, tcp-connect,
ftp y twamp solo están disponibles en la CLI. Estas opciones proporcionan diferentes métodos para medir el rendimiento de la red de ida y
vuelta entre dos dispositivos que las admitan. Hay otras opciones solo de CLI que están disponibles, basadas únicamente en el protocolo
SLA de rendimiento que elija. Para obtener más información sobre estas opciones, consulte la Guía de referencia de la CLI en
docs.fortinet.com.
Puede configurar los umbrales de advertencia y alerta para las comprobaciones de calidad de latencia, fluctuación y pérdida de paquetes.
Estos tampoco están disponibles en la GUI.

NO REIMPRIMIR
© FORTINET
Puede configurar los parámetros de estado de los enlaces usando los comandos que se muestran en esta diapositiva. También puede
configurar varios objetivos de SLA con diferentes valores tanto en la GUI como en la CLI.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende el SLA de rendimiento de SD-WAN.
Ahora, aprenderá sobre las reglas de SD-WAN.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en las reglas SD-WAN, debería poder configurar la selección de enlaces dinámicos en función de la
calidad del enlace para garantizar una alta disponibilidad para las aplicaciones críticas para el negocio.

NO REIMPRIMIR
© FORTINET
Las reglas SD-WAN le permiten especificar qué tráfico desea enrutar a través de qué interfaz. Puede configurar las reglas de SD-WAN
para elegir la interfaz de salida según la latencia, la fluctuación o el porcentaje de pérdida de paquetes, en función de la configuración
que configuró en la página Objetivos de SLA de un enlace. Las reglas se evalúan de la misma manera que las políticas de firewall: de
arriba a abajo, utilizando la primera coincidencia. Puede utilizar los siguientes parámetros para hacer coincidir el tráfico:
• Dirección IP origen
• Dirección IP de destino
• Número de puerto de destino
• Objetos de dirección ISDB como destino
• Aplicación de cortafuegos como destino
• Usuarios o grupos de usuarios
• Tipo de servicio (ToS)
Las reglas SD-WAN ofrecen una gran flexibilidad al hacer coincidir el tráfico. Por ejemplo, puede enrutar el tráfico de Netflix de
usuarios autenticados específicos a través de un ISP, mientras enruta el resto de su tráfico de Internet a través de otro ISP.

NO REIMPRIMIR
© FORTINET
SD-WAN puede usar la base de datos de Servicios de Internet, así como la base de datos de Control de aplicaciones para dirigir
las aplicaciones a lo largo de un enlace específico.
FortiGuard mantiene estas bases de datos y FortiGate obtiene periódicamente una copia actualizada. Cuando utilice la base de datos
de Application Control, debe habilitar la inspección SSL para obtener la identificación de aplicación más precisa.

NO REIMPRIMIR
© FORTINET
FortiGate SD-WAN ofrece cuatro estrategias para seleccionar la(s) interfaz(es) saliente(s): Manual, Mejor calidad, Costo más bajo (SLA) y
Maximizar ancho de banda (SLA).
Si selecciona Manual, puede especificar la prioridad de la interfaz desde la que desea enviar el tráfico. Si el tráfico coincide con los
criterios de la regla, el tráfico saldrá de la primera interfaz disponible según la preferencia de interfaz. Esta estrategia no depende
del SLA de rendimiento ni de los objetivos del SLA.

NO REIMPRIMIR
© FORTINET
La mejor estrategia de calidad se basa en el rendimiento de la red. En el ejemplo que se muestra en esta diapositiva,
port1 y port2 están incluidos en la preferencia de interfaz. Por lo tanto, se usa el puerto 1 (porque es el primero de la
lista) hasta que el criterio de calidad de esa red es un 10 % peor que el del puerto 2, momento en el que el puerto 2 se hace cargo.
De manera predeterminada, el criterio de calidad es del 10 %, pero puede cambiarlo en la CLI mediante el
comando establecer umbral de costo de enlace. Tenga en cuenta que aquí no utiliza ninguno de los SLA. La verificación
de calidad en el SLA de rendimiento (DC_PBX_SLA) utiliza solo la información del servidor (verificación de estado) contra
los criterios de calidad. Puede utilizar las opciones de latencia, fluctuación y porcentaje de pérdida de paquetes. También
puede usar las opciones de ancho de banda (ancho de banda descendente, ancho de banda ascendente o ancho de banda
bidireccional) para que FortiGate seleccione el enlace en función del ancho de banda disponible del tráfico entrante,
saliente o bidireccional. Esto es útil porque los usuarios pueden usar algunas aplicaciones principalmente para descargar y otras aplica
La última opción, perfil personalizado-1, le permite basar la selección de enlaces en una combinación de sus valores de criterio.
La calidad del enlace está determinada por la ecuación.
Cuanto mayor sea el valor, más peso tendrá ese criterio en la selección. Deje el valor de peso en cero para excluir ese
criterio de la ecuación.

NO REIMPRIMIR
© FORTINET
Cuando utiliza la estrategia de costo más bajo (SLA), selecciona un objetivo de SLA de un SLA de rendimiento con el que desea medir
el tráfico. Tenga en cuenta que incluso si un SLA de rendimiento tiene varios objetivos de SLA, puede seleccionar solo uno de los
objetivos de SLA de ese SLA de rendimiento en particular.

NO REIMPRIMIR
© FORTINET
(Animación al final de la diapositiva)
FortiGate sigue el flujo que se muestra en la diapositiva para seleccionar una interfaz saliente para el costo más bajo (SLA).
Por ejemplo, SD-WAN tiene cuatro miembros: interfaz 1, 2, 3 y 4. Consulte la tabla que se muestra en la diapositiva.
Primero, FortiGate considera el SLA y elimina la interfaz 4 de la selección de interfaz saliente. Según el SLA, FortiGate
considerará tres interfaces.
Luego, FortiGate considera el costo de eliminar cualquier interfaz de la consideración. Puede configurar el costo en Red > SD-
WAN en Miembros de la interfaz SD-WAN. FortiGate selecciona una interfaz con un costo más bajo. En el ejemplo que se muestra
en esta diapositiva, las interfaces 1 y 2 tienen un costo de 5, y la interfaz 3 tiene un costo de 10 conjuntos. En este caso, FortiGate
elimina la interfaz 3 de la consideración y considera la interfaz 1 y 2 para la interfaz de salida.
Por último, FortiGate verifica el conjunto de prioridades para todas las interfaces para seleccionar una interfaz saliente. En
el ejemplo que se muestra en esta diapositiva, la interfaz 2 tiene una prioridad más alta que la interfaz 1. En este caso, FortiGate
selecciona la interfaz 2 como la interfaz saliente para el tráfico que coincide con la regla. (hacer clic)

NO REIMPRIMIR
© FORTINET
(La diapositiva contiene animación)
Esta función presenta un nuevo modo de equilibrio de carga para la regla SD-WAN. Si el tráfico coincide con las
especificaciones de la regla, la carga del tráfico se equilibra entre los miembros seleccionados, lo que satisface la especificación del SLA.
Si hay varios criterios de SLA, la carga del tráfico se equilibra solo para los miembros que satisfacen la mayoría de los criterios de SLA.
El ejemplo de esta diapositiva muestra que las interfaces 1, 2 y 3 cumplen los requisitos del SLA y la interfaz 4 no. En este caso, el
tráfico que coincide con la regla tiene una carga equilibrada entre las interfaces 1, 2 y 3. (Haga clic)
Con este método, FortiGate no tiene en cuenta el costo ni la prioridad.

NO REIMPRIMIR
© FORTINET
Las reglas específicas de la aplicación se evalúan de la misma manera que las políticas de firewall: de arriba a abajo, utilizando la
primera coincidencia.
Una regla implícita se genera automáticamente cuando habilita SD-WAN. Si no se cumple ninguna de las condiciones de ninguna
de las otras reglas, se utiliza la regla implícita. Esta regla implícita está diseñada para equilibrar el tráfico entre todos los enlaces de
miembros SD-WAN disponibles.
Al hacer doble clic en la regla implícita, se muestran las opciones de equilibrio de carga.
Al igual que las rutas ISDB, las reglas de SD-WAN funcionan como rutas de políticas. Tienen prioridad sobre cualquier otra ruta en
la tabla de enrutamiento. Cuando se trata de enrutamiento de políticas, FortiGate verifica primero las rutas de políticas regulares,
antes de verificar las rutas de políticas SD-WAN.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende las reglas de SD-WAN.
Ahora, aprenderá sobre los diagnósticos de SD-WAN.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en el diagnóstico SD-WAN, debería poder mantener una solución SD-WAN eficiente y efectiva.

Nse4 Infraestructura 51-100

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Nse4 Infraestructura 51-100

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google

Guía de estudio de FortiGate Infraestructura 7.0 51

¡Buen trabajo! Ahora comprende algunas de las mejores prácticas de enrutamiento.

Ahora, aprenderá sobre el diagnóstico de enrutamiento.

Guía de estudio de FortiGate Infraestructura 7.0 52

Guía de estudio de FortiGate Infraestructura 7.0 53

Guía de estudio de FortiGate Infraestructura 7.0 54

Guía de estudio de FortiGate Infraestructura 7.0 55

Guía de estudio de FortiGate Infraestructura 7.0 56

Guía de estudio de FortiGate Infraestructura 7.0 57

Guía de estudio de FortiGate Infraestructura 7.0 58

Guía de estudio de FortiGate Infraestructura 7.0 59

Guía de estudio de FortiGate Infraestructura 7.0 60

Guía de estudio de FortiGate Infraestructura 7.0 61

¡Felicidades! Has completado la lección.

Ahora revisará los objetivos que cubrió en esta lección.

Guía de estudio de FortiGate Infraestructura 7.0 62

Esta diapositiva muestra los objetivos que cubrió en esta lección.

Guía de estudio de FortiGate Infraestructura 7.0 63

En esta lección, aprenderá sobre la función SD-WAN disponible en FortiGate.

Guía de estudio de FortiGate Infraestructura 7.0 64

Guía de estudio de FortiGate Infraestructura 7.0 sesenta y cinco

Guía de estudio de FortiGate Infraestructura 7.0 66

Guía de estudio de FortiGate Infraestructura 7.0 67

Guía de estudio de FortiGate Infraestructura 7.0 68

Guía de estudio de FortiGate Infraestructura 7.0 69

Guía de estudio de FortiGate Infraestructura 7.0 70

Guía de estudio de FortiGate Infraestructura 7.0 71

Guía de estudio de FortiGate Infraestructura 7.0 72

Guía de estudio de FortiGate Infraestructura 7.0 73

Guía de estudio de FortiGate Infraestructura 7.0 74

Guía de estudio de FortiGate Infraestructura 7.0 75

Guía de estudio de FortiGate Infraestructura 7.0 76

Guía de estudio de FortiGate Infraestructura 7.0 77

¡Buen trabajo! Ahora comprende la función SD-WAN en FortiGate.

Guía de estudio de FortiGate Infraestructura 7.0 78

Guía de estudio de FortiGate Infraestructura 7.0 79

Guía de estudio de FortiGate Infraestructura 7.0 80

Guía de estudio de FortiGate Infraestructura 7.0 81

Guía de estudio de FortiGate Infraestructura 7.0 82

Guía de estudio de FortiGate Infraestructura 7.0 83

Guía de estudio de FortiGate Infraestructura 7.0 84

Guía de estudio de FortiGate Infraestructura 7.0 85

Guía de estudio de FortiGate Infraestructura 7.0 86

Guía de estudio de FortiGate Infraestructura 7.0 87

¡Buen trabajo! Ahora comprende el SLA de rendimiento de SD-WAN.

Ahora, aprenderá sobre las reglas de SD-WAN.

Guía de estudio de FortiGate Infraestructura 7.0 88

Guía de estudio de FortiGate Infraestructura 7.0 89

Guía de estudio de FortiGate Infraestructura 7.0 90

Guía de estudio de FortiGate Infraestructura 7.0 91

Guía de estudio de FortiGate Infraestructura 7.0 92

Guía de estudio de FortiGate Infraestructura 7.0 93

Guía de estudio de FortiGate Infraestructura 7.0 94

(Animación al final de la diapositiva)

Guía de estudio de FortiGate Infraestructura 7.0 95

(La diapositiva contiene animación)

Con este método, FortiGate no tiene en cuenta el costo ni la prioridad.

Guía de estudio de FortiGate Infraestructura 7.0 96

Guía de estudio de FortiGate Infraestructura 7.0 97

Guía de estudio de FortiGate Infraestructura 7.0 98

¡Buen trabajo! Ahora comprende las reglas de SD-WAN.

Ahora, aprenderá sobre los diagnósticos de SD-WAN.

Guía de estudio de FortiGate Infraestructura 7.0 99