Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Nse4 Infraestructura 101-150
Nse4 Infraestructura 101-150
NO REIMPRIMIR
© FORTINET
Puede usar el monitor de uso de SD-WAN para ver la distribución del tráfico entre las interfaces de los miembros, según el ancho de banda
o el volumen.
La vista de volumen brinda una mejor representación del tráfico enviado y recibido en todas las interfaces de los miembros;
mientras que la vista Ancho de banda le muestra cuánto ancho de banda utiliza cada interfaz como resultado de las sesiones que pasan a
través de ellas. La vista Sesiones muestra el número de sesiones que pasan por cada interfaz.
NO REIMPRIMIR
© FORTINET
Debido a que la calidad del enlace juega un papel importante en la selección de enlaces cuando se usa SD-WAN, es una buena práctica
monitorear el estado de calidad del enlace de las interfaces miembro de SD-WAN. Debe investigar cualquier problema prolongado con la
pérdida de paquetes y la latencia para asegurarse de que el tráfico de su red no experimente interrupciones o un rendimiento degradado.
Las flechas verdes indican que las interfaces están activas en el grupo SD-WAN. Las flechas rojas indican que la interfaz está inactiva para
esa verificación de estado específica.
FortiGate también genera registros de eventos del sistema cuando la ruta de una interfaz miembro de SD-WAN se elimina o se agrega a
la tabla de enrutamiento. Utilice los registros de eventos para revisar los registros.
NO REIMPRIMIR
© FORTINET
Puede usar la columna Interfaz de destino en los registros de tráfico de reenvío para verificar que el tráfico sale de las interfaces miembro
de SD-WAN. Como alternativa, puede usar los niveles de detalle 4 y 6 para ver la interfaz de salida mediante la herramienta de captura de
paquetes CLI.
NO REIMPRIMIR
© FORTINET
NO REIMPRIMIR
© FORTINET
NO REIMPRIMIR
© FORTINET
Al dominar los objetivos cubiertos en esta lección, aprendió cómo configurar, mantener y diagnosticar su solución FortiGate SD-WAN.
NO REIMPRIMIR
© FORTINET
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr el objetivo que se muestra en esta diapositiva.
Al demostrar competencia en la creación de cuentas administrativas de VDOM, podrá comprender las diferencias
entre los distintos niveles y tipos de administradores de VDOM.
NO REIMPRIMIR
© FORTINET
Si desea otorgar acceso a todos los VDOM y configuraciones globales, seleccione super_admin como perfil de
acceso al configurar la cuenta de administrador. Similar a la cuenta denominada admin, esta cuenta puede configurar
todos los VDOM.
NO REIMPRIMIR
© FORTINET
En la mayoría de los casos, comienza creando una cuenta de administrador por VDOM. Ese administrador es
el principal responsable de ese dominio, incluidas las copias de seguridad de configuración de ese VDOM. En
organizaciones más grandes, es posible que deba crear varios administradores de VDOM. Puede asignar varios
administradores a cada VDOM. Puede subdividir los permisos utilizando perfiles de acceso, para seguir las mejores prácticas para
NO REIMPRIMIR
© FORTINET
Para crear nuevas cuentas de administrador y asignarlas a un VDOM, haga clic en Global > Sistema > Administradores.
NO REIMPRIMIR
© FORTINET
NO REIMPRIMIR
© FORTINET
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, podrá lograr el objetivo que se muestra en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Hay dos modos VDOM: split-vdom y multi-vdom. En split-vdom, FortiGate tiene dos VDOM en total, incluidos root y FG-traffic vdoms. No
puede agregar VDOM en modo split-vdom. 1. modo split-vdom:
a) El VDOM raíz en modo split-vdom es el VDOM de administración y solo realiza trabajo de administración. Las siguientes entradas y
páginas de la barra de navegación están ocultas en el vdom raíz:
• Sistema > Conectores de estructura, Reputación, Visibilidad de funciones, Entradas de etiquetas de objetos
• Entradas Wan-Opt
• La mayoría de las entradas de ruta
b) El VDOM de tráfico FG puede proporcionar políticas de seguridad separadas y permitir el tráfico a través de FortiGate.
2. En el modo multi-vdom, puede crear varios VDOM que funcionan como varias unidades independientes. De manera predeterminada, la
raíz es el VDOM de administración y se puede usar para realizar tareas de administración y permitir otro tráfico. Puede seleccionar cualquier
VDOM para que actúe como el VDOM de administración.
NO REIMPRIMIR
© FORTINET
¿Cuándo seleccionaría un modo VDOM sobre otro? La respuesta depende del entorno y de la metodología de
segmentación de tráfico deseada.
Puede usar el modo VDOM dividido cuando no desea que el tráfico de administración y el tráfico de red existan en
el mismo VDOM. Utilice el VDOM raíz para aislar el tráfico de administración, mientras reserva el VDOM de tráfico
FG para el tráfico de red.
Utilice el modo multi-VDOM cuando desee crear varios cortafuegos lógicos desde un único FortiGate. Cada
VDOM actúa como un FortiGate independiente. Este modo de configuración funciona bien para los proveedores
de servicios gestionados que aprovechan las configuraciones de múltiples inquilinos o los grandes entornos
empresariales que desean la segmentación por departamentos. Puede dar a cada inquilino o departamento
individual, visibilidad y control de su VDOM, mientras mantiene otros VDOM independientes y ocultos.
NO REIMPRIMIR
© FORTINET
Para habilitar los VDOM mediante la GUI, haga clic en Sistema > Configuración > Dominios virtuales. Luego, haga
clic en alternar el modo vdom en la sección Dominios virtuales. Tenga en cuenta que en la serie FortiGate-60 y modelos
anteriores, debe habilitar los VDOM solo en la CLI mediante el siguiente comando:
Habilitar los VDOM no reiniciará su dispositivo FortiGate, pero cerrará todas las sesiones de administrador activas.
Habilitar VDOM reestructura tanto la GUI como la CLI, que verá cuando vuelva a iniciar sesión. Esto tampoco afecta el
tráfico que pasa por FortiGate.
NO REIMPRIMIR
© FORTINET
Después de habilitar los VDOM en modo multi-vdom, de manera predeterminada, solo existe un VDOM: el VDOM raíz. Es el VDOM
de administración predeterminado.
Debe agregar un VDOM para cada uno de sus dominios de seguridad. Si es un MSSP, por ejemplo, puede agregar un VDOM para
cada empresa cliente. Si es una empresa empresarial, puede agregar un VDOM para cada división de su empresa.
El modo de inspección predeterminado es flujo, por lo que puede cambiar el modo NGFW de basado en perfil (predeterminado) a
basado en políticas directamente en Sistema > Configuración para el VDOM.
El NGFW basado en perfiles es el modo tradicional y debe crear perfiles de antivirus, filtro web e IPS, que luego se aplican a la
política. El modo basado en políticas es en realidad un nuevo modo de políticas. Puede agregar aplicaciones y categorías de
filtrado web directamente a una política sin tener que crear y configurar primero perfiles de control de aplicaciones o filtrado
web. El modo NGFW es una configuración por VDOM. Si configura el modo NGFW en Basado en perfil, puede configurar políticas
en ese VDOM para inspección de flujo o proxy. Sin embargo, si el modo NGFW está basado en políticas, entonces el modo de
inspección para todas las políticas en ese VDOM siempre es fluido y no hay ninguna opción disponible en la política para cambiarlo.
Cambiar entre los modos NGFW da como resultado la pérdida de todas las políticas actuales configuradas en el VDOM. Si no
quiere que esto suceda, o simplemente quiere experimentar con un modo NGFW en particular, considere crear un nuevo VDOM
para fines de prueba. También puede hacer una copia de seguridad de su configuración antes de cambiar de modo.
El modo de operación es una configuración por VDOM. Puede combinar VDOM de modo transparente con VDOM de modo NAT
en el mismo FortiGate físico.
NO REIMPRIMIR
© FORTINET
Se agregó un mensaje de confirmación de VDOM para que los usuarios no creen accidentalmente nuevos VDOM en la CLI.
Esta configuración está deshabilitada de forma predeterminada. Una vez habilitado, cuando un administrador crea un
nuevo VDOM, FortiGate muestra un aviso para confirmar antes de crear el VDOM.
NO REIMPRIMIR
© FORTINET
Después de agregar los VDOM adicionales, puede especificar qué interfaces pertenecen a cada VDOM. Cada
interfaz (física o VLAN) puede pertenecer a un solo VDOM.
Puede mover interfaces de un VDOM a otro, siempre que no tengan referencias asociadas, por ejemplo, políticas de
firewall.
NO REIMPRIMIR
© FORTINET
Los límites de recursos globales son un ejemplo de configuración global. El firmware de su dispositivo FortiGate
y algunas configuraciones, como la hora del sistema, se aplican a todo el dispositivo; no son específicas de cada VDOM.
NO REIMPRIMIR
© FORTINET
Sin embargo, puede configurar la mayoría de las configuraciones de manera diferente para cada VDOM. Algunos ejemplos
son: políticas de firewall, objetos de firewall, rutas estáticas, perfiles de protección, etc.
NO REIMPRIMIR
© FORTINET
Si inicia sesión como la mayoría de las cuentas de administrador, ingresa su VDOM automáticamente.
Pero, si ha iniciado sesión con la cuenta denominada admin, no está asignado a ningún VDOM. Como tal, tiene acceso a todos
los VDOM.
Para ingresar un VDOM en la GUI, seleccione el VDOM de la lista desplegable en la parte superior de la página.
Dentro de cada VDOM, el submenú debería ser familiar; es esencialmente el mismo menú de navegación que tenía antes de
habilitar los VDOM. Sin embargo, la configuración global se mueve al menú Global.
NO REIMPRIMIR
© FORTINET
Para acceder a los ajustes de configuración global en la CLI, debe ingresar config global para ingresar al contexto
global. Después de eso, puede ejecutar comandos globales y cambiar los ajustes de configuración global.
Para acceder a los ajustes de configuración por VDOM en la CLI, debe ingresar config vdom, luego ingresar editar
seguido del nombre de VDOM. Desde el contexto de VDOM, puede ejecutar comandos específicos de VDOM y cambiar los
ajustes de configuración por VDOM. Es importante tener en cuenta que los nombres de VDOM distinguen entre mayúsculas
y minúsculas. Si ingresa el nombre usando el caso incorrecto, FortiGate creará un nuevo VDOM.
Independientemente del contexto en el que se encuentre (global o VDOM), puede usar la palabra clave sudo para ejecutar
comandos de diagnóstico en un contexto diferente al actual. Esto le permite ejecutar comandos globales y por VDOM, por
ejemplo, sin alternar entre los contextos global y por VDOM.
NO REIMPRIMIR
© FORTINET
Puede configurar perfiles de seguridad globalmente para que los utilicen varios VDOM, a fin de evitar la creación de perfiles
idénticos para cada VDOM por separado. Los perfiles globales están disponibles para las siguientes funciones de seguridad:
• Antivirus •
Control de aplicaciones
• Prevención de fuga de
datos • Prevención de intrusiones
• Filtrado web
Algunas funciones del perfil de seguridad, como los filtros de URL, no están disponibles para su uso en un perfil global. El
nombre de cualquier perfil global debe comenzar con "g-" para su identificación. Los perfiles globales están disponibles como
de solo lectura para los administradores de nivel VDOM y solo se pueden editar o eliminar en la configuración global. Cada
función de seguridad tiene al menos un perfil global predeterminado.
NO REIMPRIMIR
© FORTINET
Puede incluir dispositivos FortiGate configurados con VDOM en Security Fabric. La topología física de Security
Fabric representa cada FortiGate descendente como un único dispositivo FortiGate. En la topología lógica de
Security Fabric, cada FortiGate muestra los puertos agrupados por VDOM. Los dispositivos FortiGate aguas abajo
deben unirse a Security Fabric a través del VDOM de administración de su dispositivo FortiGate aguas arriba.
NO REIMPRIMIR
© FORTINET
Puede hacer clic en Global > Topología física para ver el dispositivo FortiGate raíz y todos los dispositivos
FortiGate posteriores que se encuentran en el mismo Security Fabric que el dispositivo FortiGate raíz. Puede
hacer clic en raíz > Topología física o FG-Tráfico > Topología física para ver el dispositivo FortiGate raíz y solo los
dispositivos FortiGate descendentes que están conectados al VDOM seleccionado actualmente en el dispositivo FortiGate raíz.
NO REIMPRIMIR
© FORTINET
Cuando configura dispositivos FortiGate en modo multi-vdom y los agrega a la estructura de seguridad, cada VDOM
con sus puertos asignados se muestra cuando se detectan uno o más dispositivos. Solo los puertos con
dispositivos descubiertos y conectados aparecen en la vista de Security Fabric y, debido a esto, debe habilitar
Detección de dispositivos en los puertos que desea que se muestren en Security Fabric. No se muestran los VDOM
sin puertos con dispositivos conectados. Todos los VDOM configurados deben formar parte de un solo Security
Fabric. En el ejemplo que se muestra en esta diapositiva, Local-FortiGate está configurado en modo multi-VDOM y
tiene tres VDOM (raíz, VDOM1 y VDOM2), cada uno con puertos que tienen dispositivos conectados.
NO REIMPRIMIR
© FORTINET
Puede ver las clasificaciones de seguridad a nivel global. Dentro de cada uno de los tres cuadros de mando, cada
entrada de control de seguridad muestra la información VDOM asociada (si la hay) en la columna Ámbito. Esto permite un
desglose más granular del análisis de implementación de Security Fabric.
NO REIMPRIMIR
© FORTINET
NO REIMPRIMIR
© FORTINET
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr el objetivo que se muestra en esta diapositiva.
Al demostrar competencia en los enlaces entre VDOM, podrá enrutar de manera eficaz y eficiente el tráfico entre
VDOM en FortiGate.
NO REIMPRIMIR
© FORTINET
Para repasar, cada VDOM se comporta como si estuviera en un dispositivo FortiGate separado. Con dispositivos FortiGate
separados, normalmente conectaría un cable de red y configuraría el enrutamiento y las políticas entre ellos. Pero los
VDOM están en el mismo FortiGate. Entonces, ¿cómo debe enrutar el tráfico entre ellos?
La solución son los enlaces entre VDOM. Los enlaces entre VDOM son un tipo de interfaz virtual que enrutan el tráfico
entre los VDOM. Esto elimina la necesidad de enlazar un cable físico entre dos VDOM.
En el caso de un enlace inter-VDOM de NAT a NAT, ambos lados del enlace deben estar en la misma subred de IP, porque
está creando una conexión de red punto a punto.
Tenga en cuenta que, de forma similar al uso del enrutamiento entre VLAN, la capa 3 debe estar involucrada: no puede
crear un enlace entre VDOM entre los VDOM de modo transparente de capa 2. Al menos uno de los VDOM debe estar funcionando en modo
Esto, entre otros beneficios, evita posibles bucles de capa 2.
NO REIMPRIMIR
© FORTINET
Al crear enlaces entre VDOM, debe crear las interfaces virtuales. También debe crear las políticas de firewall
adecuadas en cada VDOM, tal como lo haría si el tráfico estuviera llegando por un cable de red, de lo contrario,
FortiGate lo bloqueará.
Además, se requieren rutas para enrutar correctamente los paquetes entre dos VDOM.
NO REIMPRIMIR
© FORTINET
En la GUI, crea una interfaz de red en la configuración global. Para crear la interfaz virtual, haga clic en Crear nuevo
y luego seleccione VDOM Link.
NO REIMPRIMIR
© FORTINET
Los dispositivos FortiGate con procesadores NP4 o NP6 incluyen enlaces entre VDOM que FortiGate puede usar
para acelerar el tráfico de enlaces entre VDOM. Para un FortiGate con dos procesadores NP4 o NP6, hay dos enlaces
entre VDOM acelerados, cada uno con dos interfaces:
• npu0_venlace:
• npu0_vlink0
• npu0_venlace1
• npu1_venlace:
• npu1_vlink0
• npu1_venlace1
Estas interfaces son visibles en la GUI y la CLI. De forma predeterminada, las interfaces en cada enlace entre
VDOM se asignan al VDOM raíz. Para utilizar estas interfaces para acelerar el tráfico de enlaces entre VDOM,
asigne cada interfaz del par a los VDOM entre los que desea descargar el tráfico. Por ejemplo, si agregó un VDOM
llamado New-VDOM a un FortiGate con procesadores NP4, puede hacer clic en Sistema > Red >
Interfaces y edite la interfaz npu0-vlink1 y establezca el VDOM en New-VDOM. Esto da como resultado un
enlace inter-VDOM acelerado entre la raíz y New-VDOM.
NO REIMPRIMIR
© FORTINET
NO REIMPRIMIR
© FORTINET
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr el objetivo que se muestra en esta diapositiva.
Al demostrar competencia en las mejores prácticas y resolución de problemas de VDOM, podrá prevenir,
identificar y resolver problemas comunes de VDOM.
NO REIMPRIMIR
© FORTINET
Recuerde, los VDOM son solo una separación lógica: cada VDOM comparte recursos físicos con los demás.
A diferencia de FortiGate-VM, los VDOM no se asignan ni equilibran con núcleos vCPU ponderados, vRAM y otro
hardware virtualizado.
Para ajustar el rendimiento, puede configurar límites de recursos para cada función (túneles IPsec, objetos de
dirección, etc.) a nivel global y en cada nivel de VDOM. Esto controla la relación entre el uso de recursos del sistema
de cada VDOM y el total de recursos disponibles.
NO REIMPRIMIR
© FORTINET
Por ejemplo, un FortiGate con hardware lo suficientemente potente como para manejar hasta 2000 túneles VPN
IPsec y configurado con tres VDOM podría configurarse de la siguiente manera para cumplir con criterios específicos: VDOM1 y VDO
no utilice túneles VPN IPsec con frecuencia. Por lo tanto, se les permite tener hasta 50 túneles cada uno. VDOM3, sin
embargo, usa mucho VPN. Por lo tanto, este dispositivo FortiGate está configurado para permitir que VDOM3 tenga
hasta 1900 túneles, con 1000 garantizados.
Configure su dispositivo FortiGate con límites globales para funciones críticas, como sesiones, políticas, etc.
Luego, configure cada VDOM con sus propias cuotas y mínimos, dentro de los límites globales.
NO REIMPRIMIR
© FORTINET
En la GUI, puede hacer clic en Global > Sistema > VDOM para ver el monitor VDOM. Muestra el uso de CPU y
memoria para cada VDOM.
NO REIMPRIMIR
© FORTINET
Con los VDOM configurados, los administradores tienen una capa adicional de permisos y pueden tener problemas para
acceder a la información deseada.
• Confirme el VDOM del administrador: cada cuenta de administrador, que no sea la cuenta super_admin, está vinculada a uno o más
VDOM específicos. Ese administrador no puede acceder a ningún otro VDOM. Es posible que estén intentando acceder al VDOM
incorrecto (uno para el que no tienen permisos).
• Confirme las interfaces de VDOM: un administrador puede acceder a su VDOM solo a través de interfaces que son
asignado a ese VDOM. Si las interfaces en ese VDOM están deshabilitadas o no están disponibles, su administrador local no tendrá
ningún método para acceder a ese VDOM. Se requiere que el super_admin abra las interfaces, corrija las interfaces o mueva otra
interfaz a ese VDOM para restaurar el acceso.
• Confirme el acceso de administrador de VDOM: al igual que con todos los dispositivos FortiGate, el acceso de administración en los VDOM
las interfaces deben estar habilitadas para que los administradores de ese VDOM obtengan acceso. Por ejemplo, si SSH no está
habilitado, eso no está disponible para los administradores. Para habilitar el acceso de administrador, el super_admin hace clic en Global >
Red > Interfaces y habilita el acceso de administrador para la interfaz en cuestión.
• Confirme el host y la IP confiables: si los hosts confiables están habilitados en la cuenta del administrador, asegúrese de que el usuario esté
conectarse desde la dirección de host especificada y correcta, y que ningún dispositivo intermedio esté realizando funciones NAT
en la conexión.
Las mejores prácticas dictan que, por lo general, debe evitar agujeros de seguridad innecesarios. No proporcione super_admin
acceso, si es posible. En su lugar, restrinja a cada administrador a su dominio relevante. De esa forma, no pueden afectar
accidental o maliciosamente a otros VDOM, y cualquier daño o error tendrá un alcance limitado.
NO REIMPRIMIR
© FORTINET
Además de ping y traceroute, existen herramientas adicionales para solucionar problemas de configuración de VDOM. Las
herramientas principales para la solución de problemas de VDOM incluyen la detección de paquetes y la depuración del flujo de paquetes.
• Realice un rastreo de sniffer: al solucionar problemas de redes, es útil mirar dentro de los encabezados de los paquetes para
determinar si están viajando a lo largo de la ruta esperada. La detección de paquetes también se puede denominar toma de red,
captura de paquetes o análisis lógico. El sniffer también indica qué tráfico entra o sale de las interfaces de entrada y salida en
todos los VDOMS. Esto lo hace extremadamente útil para solucionar problemas de enrutamiento entre VDOM.
• Depurar el flujo de paquetes: el tráfico debe entrar y salir del VDOM. Si ha identificado que el tráfico de red no entra y sale del
VDOM como se esperaba, depure el flujo de paquetes. Puede depurar solo mediante comandos CLI. Esta herramienta
proporciona detalles más granulares para ayudar a solucionar problemas de tráfico entre VDOM porque brinda detalles de
selección de enrutamiento, NAT y selección de políticas.
NO REIMPRIMIR
© FORTINET
NO REIMPRIMIR
© FORTINET
NO REIMPRIMIR
© FORTINET
Al dominar los objetivos cubiertos en esta lección, aprendió a configurar VDOM y examinó ejemplos de uso
común.
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá cómo usar el modo de operación transparente y el cambio de Capa 2 en FortiGate.
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.