Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SD-WAN 7.2 Study Guide-Online-ES
SD-WAN 7.2 Study Guide-Online-ES
NO REIMPRIMIR
© FORTINET
SDWAN
Guía de estudio
FortiOS 7.2
Machine Translated by Google
NO REIMPRIMIR ©
FORTINET
https://formación.fortinet.com
https://docs.fortinet.com
https://kb.fortinet.com
https://fusecommunity.fortinet.com/home
Foros de Fortinet
https://foro.fortinet.com
https://support.fortinet.com
Laboratorios FortiGuard
https://www.fortiguard.com
https://www.fortinet.com/nsetraining
https://home.pearsonvue.com/fortinet
Servicio de asistencia técnica de Fortinet Training Institute (preguntas, comentarios y opiniones sobre capacitación)
https://helpdesk.training.fortinet.com/support/home
13/12/2023
Machine Translated by Google
NO REIMPRIMIR
© FORTINET
TABLA DE CONTENIDO
Registro de cambios 4
01 Introducción 5
02 Gestión Centralizada 38
03 Miembros, zonas y SLA de rendimiento 81
04 Enrutamiento y sesiones 123
05 reglas 168
06 Diseño de superposición SDWAN y mejores prácticas 230
07 Monitoreo y solución de problemas 294
Diapositivas de solución 324
Machine Translated by Google
NO REIMPRIMIR
© FORTINET
Registro de cambios
Esta tabla incluye actualizaciones de la Guía de estudio con fecha del 30/03/2023 a la versión actualizada del documento con fecha
13/12/2023.
Cambiar Ubicación
03 Miembros, Zonas y
"paquete" cambió a "pérdida de paquete"
SLA de desempeño: diapositiva 17 notas
NO REIMPRIMIR
© FORTINET
En esta lección, se le presentará el concepto, los casos de uso y los componentes principales de SDWAN. También
aprenderá a utilizar la GUI de FortiGate para configurar y monitorear una configuración SDWAN básica.
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al comprender una solución SDWAN y sus casos de uso, debería poder identificar los escenarios más comunes en los que
se puede implementar SDWAN para distribuir el tráfico a través de sus enlaces WAN de manera efectiva y segura.
NO REIMPRIMIR
© FORTINET
Según Gartner, la WAN definida por software (SDWAN) proporciona una selección dinámica de rutas de aplicaciones basada en políticas a través de
múltiples conexiones WAN y admite el encadenamiento de servicios para servicios adicionales, como optimización de WAN y firewalls. La implementación
de SDWAN en Fortinet se denomina SDWAN segura porque también proporciona seguridad al aprovechar las funciones de seguridad integradas
disponibles en FortiOS.
Secure SDWAN se basa en características conocidas de FortiOS, como IPsec, VPN de descubrimiento automático (ADVPN), monitoreo de enlaces,
enrutamiento avanzado, base de datos de servicios de Internet (ISDB), configuración de tráfico, inspección UTM y equilibrio de carga. Luego, el administrador
puede combinar estas características y establecer reglas que definan cómo FortiGate dirige el tráfico a través de la WAN en función de múltiples factores, como
el protocolo, servicio o aplicación identificada para el tráfico; y la calidad de los enlaces. Tenga en cuenta que SDWAN controla el tráfico de salida, no el tráfico
de entrada. Esto significa que el tráfico de retorno puede utilizar un enlace diferente al que SDWAN eligió para la salida.
Un beneficio de SDWAN es el uso efectivo de WAN. Es decir, puedes utilizar público (por ejemplo, banda ancha, LTE)
y enlaces privados (por ejemplo, MPLS) para dirigir el tráfico de forma segura a diferentes destinos: Internet, nube pública, nube privada y la red corporativa.
Este enfoque de utilizar diferentes tipos de enlaces para conectar sitios a redes públicas y privadas se conoce como WAN híbrida. El uso de una WAN
híbrida reduce los costos principalmente porque los administradores generalmente dirigen el tráfico a través de enlaces de Internet rápidos y de bajo costo
más que a través de enlaces privados lentos y de alto costo.
El resultado es que los enlaces privados, como los enlaces MPLS, a menudo se utilizan para dirigir el tráfico crítico únicamente o como enlaces de
conmutación por error para alta disponibilidad.
Otro beneficio de SDWAN es el rendimiento mejorado de las aplicaciones porque puede dirigir el tráfico a través del mejor enlace que cumpla con los
requisitos de la aplicación. Durante la congestión, puede aprovechar la configuración del tráfico para priorizar las aplicaciones sensibles y críticas sobre
las menos importantes. Además, la compatibilidad con accesos directos de ADVPN permite a SDWAN utilizar túneles IPsec directos entre sitios para dirigir
el tráfico, lo que da como resultado una menor latencia para el tráfico entre los sitios (radios) y una menor carga en las ubicaciones centrales (hubs).
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra los componentes de la arquitectura de la solución Fortinet Secure SDWAN.
El componente central de la arquitectura es FortiGate. Cuando utiliza FortiGate para implementar SDWAN, aprovecha las funciones
existentes de conectividad, administración y firewall de próxima generación (NGFW) compatibles con FortiOS. Esto significa que puede
consolidar SDWAN y la seguridad en un solo dispositivo, de ahí el término Secure SDWAN.
Debido a que FortiGate es uno de los componentes principales de Fortinet Security Fabric, por extensión, su implementación SDWAN
también puede beneficiarse de muchas de las características admitidas por otros productos de Fortinet. Por ejemplo, podría utilizar
FortiManager para realizar aprovisionamiento sin intervención para sucursales que requieren una configuración SDWAN. De manera similar,
puede usar FortiSwitch para conectar sus dispositivos de borde WAN y LAN de su sucursal SDWAN.
Un beneficio clave de usar FortiOS y FortiGate para su solución SDWAN es la capacidad de realizar dirección de aplicaciones en SDWAN.
FortiGate inspecciona el tráfico utilizando su motor IPS y las firmas de aplicaciones proporcionadas por FortiGuard para identificar miles de
aplicaciones. El resultado es que puede configurar FortiGate para dirigir el tráfico según la aplicación detectada, en lugar de los puertos,
protocolos y direcciones IP. El hecho de que FortiGate pueda identificar la aplicación independientemente de la información de Capa 3 y
Capa 4 en el paquete le permite reducir significativamente la sobrecarga administrativa y escalar más fácilmente al implementar
nuevas aplicaciones y sitios.
NO REIMPRIMIR
© FORTINET
El acceso directo a Internet (DIA), también conocido como ruptura local, es posiblemente el caso de uso más común de SDWAN. Un sitio
tiene múltiples enlaces de Internet (también conocidos como enlaces subyacentes) y el administrador quiere que FortiGate dirija el tráfico de
Internet a través de los enlaces. Los enlaces se conectan a FortiGate mediante diferentes tipos de interfaces físicas: puerto físico, VLAN,
agregación de enlaces (LAG), módem USB o mediante FortiExtender.
Por lo general, el tráfico sensible se acelera y dirige a través de los enlaces de mejor rendimiento, mientras que el tráfico no crítico se
distribuye entre uno o más enlaces utilizando un enfoque de mejor esfuerzo. Los costosos enlaces de Internet se utilizan comúnmente como
enlaces de respaldo o para dirigir el tráfico crítico únicamente.
Debido a que el tráfico de Internet sale de los límites de la organización directamente en el sitio local, los administradores suelen imponer
políticas de seguridad estrictas en el tráfico de Internet. Para el enrutamiento, una configuración típica utiliza rutas estáticas predeterminadas.
Sin embargo, en algunos casos, se utiliza BGP entre el ISP y FortiGate, especialmente si el sitio debe anunciar un prefijo de IP público.
Los administradores también pueden definir manualmente las velocidades ascendentes y descendentes de cada enlace para evitar la
saturación durante la distribución del tráfico. Alternativamente, pueden configurar FortiGate para usar el servicio de monitoreo de ancho de
banda SDWAN para ejecutar pruebas de velocidad contra FortiGuard y luego ajustar automáticamente las velocidades ascendentes y
descendentes de los enlaces según los resultados de las pruebas.
NO REIMPRIMIR
© FORTINET
FortiGate tiene dos enlaces a Internet. Un enlace está conectado a wan1 y el otro a wan2. FortiGate utiliza ambos enlaces para dirigir
el tráfico procedente de la LAN y destinado a aplicaciones en la nube y sitios web en Internet.
NO REIMPRIMIR
© FORTINET
Puede utilizar SDWAN para dirigir el tráfico corporativo de un sitio a otro. Por lo general, las empresas siguen una topología huband
spoke y utilizan túneles VPN (normalmente túneles IPsec de acceso telefónico ) para transportar el tráfico entre los sitios. Los túneles (también
conocidos como enlaces superpuestos) se establecen a través de Internet y enlaces MPLS (también conocidos como enlaces subyacentes).
Los túneles también pueden transportar tráfico de Internet desde un radio a un centro, desde donde luego se dirige a Internet.
Esto también se conoce como acceso remoto a Internet (RIA) y aprenderá más al respecto en esta lección.
SDWAN puede monitorear la calidad del enlace de los túneles y seleccionar el enlace de mejor rendimiento para el tráfico sensible y crítico. Si
se utiliza ADVPN, SDWAN puede descargar el tráfico desde un túnel principal a un acceso directo, reduciendo así la latencia del
tráfico de radio a radio. SDWAN también puede monitorear el estado de los túneles de acceso directo para garantizar que cumplan con el
acuerdo de nivel de servicio (SLA) configurado.
Si utiliza ADVPN, debe aplicar todas las inspecciones de seguridad necesarias en el sitio local porque el tráfico de radio a radio eventualmente
fluirá directamente a través del acceso directo y, por lo tanto, evitará cualquier inspección habilitada en el centro. Si no utiliza ADVPN, puede
considerar aplicar una política menos restrictiva en el radio siempre que
Configure el concentrador para realizar la inspección adicional requerida.
Para el enrutamiento, a menudo se utiliza un protocolo de enrutamiento dinámico, como BGP, para intercambiar información de enrutamiento
a través de los túneles y escalar más fácilmente al agregar nuevos sitios. Si utiliza ADVPN, se recomienda BGP interno (IBGP) para preservar
la información del próximo salto.
Al igual que DIA, el centro FortiGate puede ejecutar pruebas de velocidad contra los radios para determinar la velocidad aguas arriba de los
túneles. Luego, el centro FortiGate puede aplicar el resultado de la prueba de velocidad como la velocidad aguas arriba en el túnel para fines
de configuración del tráfico.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de una implementación que utiliza SDWAN para dirigir el tráfico de un sitio a otro.
Cada sitio tiene dos superposiciones configuradas, una que utiliza la base de Internet y la otra la base MPLS. SDWAN dirige el tráfico de
radio a radio y de radio a centro. Debido a que ADVPN está configurado en la red, los accesos directos se establecen
automáticamente entre los radios cuando el tráfico de radio a radio se envía a través de la red. Luego, SDWAN puede descargar
automáticamente el tráfico de radio a radio desde los túneles principales a los accesos directos, mejorando así el rendimiento. SDWAN
también monitorea el estado de los accesos directos y toma decisiones dinámicas en función de su estado y disponibilidad.
NO REIMPRIMIR
© FORTINET
RIA, también conocida como ruptura remota, es otro caso de uso de SDWAN. El tráfico de Internet desde los radios se
redirige a través de la WAN mediante enlaces superpuestos. Cuando el tráfico llega al centro, se dirige a Internet.
La razón más común para utilizar RIA es centralizar la inspección de seguridad y el acceso a Internet en el centro. Por ejemplo,
puede tener un dispositivo FortiGate central de alta gama que inspeccione todo el tráfico de Internet que sale de la organización y
que se ajuste a la política de la empresa, en lugar de tener cada FortiGate de gama baja.
dispositivo para inspeccionar el tráfico, reduciendo así costes y gastos administrativos.
Otra razón para utilizar RIA es la copia de seguridad DIA. Por ejemplo, podría configurar FortiGate para dirigir el tráfico de
Internet a través de un enlace MPLS si el rendimiento medido para las aplicaciones de Internet en enlaces de Internet es peor
que en enlaces MPLS, o simplemente si los enlaces de Internet dejan de estar disponibles.
NO REIMPRIMIR
© FORTINET
En lugar de utilizar la base de Internet local para reenviar el tráfico de Internet, el dispositivo FortiGate en el sitio 1 dirige el
tráfico de Internet al centro a través de la superposición construida sobre MPLS. Una vez que el tráfico llega al centro, está sujeto
a una inspección de seguridad exhaustiva antes de que llegue a Internet.
NO REIMPRIMIR
© FORTINET
Para mejorar el rendimiento de las aplicaciones en la nube y al mismo tiempo mantener seguro el tráfico de la red, puede
configurar superposiciones contra el punto de presencia (PoP) más cercano ofrecido por el proveedor de la nube en el área, reduciendo
así la latencia. Puede configurar FortiGate para conectarse a la puerta de enlace VPN integrada del proveedor de la nube.
Alternativamente, puede implementar una máquina virtual FortiGate en la nube y establecer las superposiciones en ella. Elegir implementar un
FortiGate VM en la nube le permite usar las funciones de seguridad de FortiOS en el tráfico que ingresa o sale de la nube, así como usar
SDWAN para dirigir las sesiones originadas desde la nube.
Por motivos de rendimiento, una conexión de rampa de acceso a la nube generalmente se establece directamente desde el radio porque
una conexión directa a menudo da como resultado la latencia más baja. Sin embargo, en algunos casos, el tráfico podría redirigirse
a través de la WAN mediante enlaces superpuestos debido a la política de la empresa o porque los túneles en la nube solo están
disponibles en el centro. Otra razón para redirigir el tráfico de la nube a través de la WAN puede ser el rendimiento. Por ejemplo, una
empresa puede utilizar enlaces WAN premium entre los radios y el centro, y entre el centro y la nube.
El rendimiento de los enlaces premium es tan alto que enviar el tráfico a través de la WAN daría como resultado una mejor experiencia
de usuario que acceder al PoP local directamente desde el radio.
NO REIMPRIMIR
© FORTINET
El dispositivo FortiGate en el sitio 1 tiene un túnel directo contra una VM FortiGate que se ejecuta en la nube. Este túnel se utiliza para dirigir el tráfico de
aplicaciones en la nube por motivos de rendimiento y seguridad. Además, a diferencia del sitio 1, el dispositivo FortiGate en el sitio 2 utiliza una
superposición al centro para enviar tráfico de aplicaciones en la nube. Luego, el centro enruta el tráfico a través de su túnel en la nube local.
NO REIMPRIMIR
© FORTINET
Para implementaciones más grandes, puede ampliar el diseño básico de SDWAN para incluir una segunda puerta de enlace SDWAN.
Esta segunda puerta de enlace puede estar en una ubicación diferente para proporcionar redundancia geográfica.
En tales topologías, los dispositivos SDWAN de sucursal se conectan a dos (o más) puertas de enlace SDWAN. FortiGate dirige el tráfico a una puerta de
enlace u otra, según el estado, el estado del enlace y el SLA de los dispositivos.
Para facilitar la administración y la definición de reglas, el administrador agrupará enlaces superpuestos por dispositivos y por ubicación.
Además de la redundancia geográfica, sigue siendo posible la redundancia dentro del sitio con un clúster HA (FGCP o FGSP).
Puede combinar una topología con redundancia geográfica con el uso de ADVPN. En tales escenarios, todos los sitios deben conservar los valores
originales del próximo salto BGP. Los prefijos del sitio deben permanecer sin cambios, incluido su valor de siguiente salto BGP original. Una forma común
de lograr esto es con la función de reflector de ruta. Alternativamente, puede utilizar los selectores Phase2 para el intercambio de rutas ADVPN. Aprenderás
más sobre ambas opciones en otra lección.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de una implementación que utiliza SDWAN para dirigir el tráfico con redundancia geográfica de
doble concentrador.
Cada sitio tiene cuatro superposiciones configuradas, dos para el sitio principal (una en cada enlace de capa subyacente WAN) y dos para
el sitio secundario. SDWAN dirige el tráfico de radio al concentrador hacia el concentrador principal y continúa monitoreando el
estado de todos los enlaces superpuestos. Según las definiciones de las reglas, SDWAN activa un retorno al centro secundario, según la calidad
del enlace o la disponibilidad del sitio.
NO REIMPRIMIR
© FORTINET
Para una mayor escalabilidad, a medida que su solución se expande geográficamente y crece la cantidad de sitios, puede decidir
segmentar el tráfico y la administración de dispositivos en múltiples regiones. Para cada región, puede definir una topología SD
WAN de concentrador único o de concentrador doble.
En cada región, los dispositivos de las sucursales se conectan a la puerta de enlace SDWAN regional. Luego, las puertas de
enlace regionales se interconectan entre regiones en un diseño de malla completa. Cuando un usuario de una región necesita
conectarse a un usuario o una aplicación en otra región, el tráfico pasará por puertas de enlace regionales.
Debería considerar un diseño como este cuando el tráfico intercambiado dentro de cada región es significativamente mayor que el
tráfico a través de las regiones. Normalmente, las regiones corresponden a áreas geográficas pero, según los flujos de tráfico
esperados, es posible que desees considerar una segmentación diferente. Podrían ser tiendas y fábricas o cualquier otra agrupación
lógica aplicable a su negocio.
NO REIMPRIMIR
© FORTINET
Cada región tiene su propia topología SDWAN, que puede ser de concentrador único o dual. Se pueden establecer accesos
directos ADVPN entre dispositivos en cada región, pero el tráfico entre regiones siempre debe fluir a través de centros regionales.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en los fundamentos de SDWAN, debería poder comprender los conceptos básicos de SDWAN,
incluido cómo configurar una configuración DIA básica.
NO REIMPRIMIR
© FORTINET
El primer paso para configurar SDWAN es definir los miembros y asignarlos a zonas. Esta configuración se realiza en la página
Zonas SDWAN.
Los miembros (también conocidos como enlaces) son interfaces FortiOS físicas o lógicas existentes que usted selecciona para ser
parte de SDWAN. Luego, las interfaces se utilizan para dirigir el tráfico según las reglas SDWAN configuradas.
Cuando configura un miembro en SDWAN, debe asignarlo a una zona y, opcionalmente, configurar una puerta de enlace. Las zonas
son agrupaciones lógicas de interfaces. Las interfaces de una zona tienen requisitos de configuración similares. Al igual que las
zonas de interfaz FortiGate, el objetivo de las zonas SDWAN es hacer referencia a ellas en la configuración en lugar de a
miembros individuales para optimizar la configuración evitando configuraciones duplicadas y lograr la segmentación de la red.
Cuando se establece, la configuración de la puerta de enlace se utiliza como el siguiente salto para reenviar el tráfico a través del miembro.
Se crea una zona de forma predeterminada: virtualwanlink. La zona, virtualwanlink, es la zona predeterminada donde se
colocan los miembros cuando los crea. La zona predeterminada también se usa cuando actualiza un dispositivo FortiGate que
ejecuta una versión sin soporte para zonas a una versión que admite zonas. Durante la actualización, FortiGate coloca a todos
los miembros existentes en la zona virtualwanlink.
El ejemplo de esta diapositiva muestra la zona SDWAN predeterminada (virtualwanlink) y una zona definida por el usuario:
subyacente. La zona subyacente contiene el puerto1 y el puerto2 como miembros, que se utilizan para una configuración DIA básica.
Tenga en cuenta que, aunque la zona se denomina subyacente porque contiene ese tipo de miembros, puede asignar cualquier
nombre que desee.
NO REIMPRIMIR
© FORTINET
Después de definir sus miembros SDWAN y asignarlos a zonas, probablemente desee monitorear el estado de sus miembros SDWAN
en la página SLA de rendimiento.
Los SLA de rendimiento de FortiGate monitorean el estado de cada miembro, ya sea que esté vivo o muerto, y miden la pérdida de
paquetes, la latencia y la fluctuación de los miembros. Luego, SDWAN utiliza la información de salud de los miembros para tomar decisiones
de dirección del tráfico basadas en las reglas de SDWAN configuradas. Por ejemplo, puede indicarle a FortiGate que dirija el tráfico de
Internet a un miembro, siempre que el miembro esté vivo y su latencia no exceda un umbral determinado.
Los SLA de rendimiento también detectarán situaciones en las que la interfaz está físicamente activa, pero FortiGate no puede llegar al
destino deseado y marca el enlace correspondiente como inactivo.
Cuando configura un SLA de rendimiento, hay varias entradas creadas de forma predeterminada entre las que puede elegir. Las entradas
predeterminadas miden la salud de los miembros comparándola con servicios de Internet conocidos, como FortiGuard, Google Search
y Amazon AWS. Alternativamente, puede crear su propia entrada y elegir si desea monitorear el estado de forma activa o pasiva. En el
monitoreo activo, la salud del miembro se verifica periódicamente (por defecto cada 500 ms) enviando sondas desde el miembro a uno o dos
servidores que actúan como una baliza. En el monitoreo pasivo, la salud de un miembro se determina en función del tráfico que pasa por
él.
El ejemplo de esta diapositiva muestra una nueva entrada denominada Level3_DNS. La entrada contiene el conocido 4.2.2.1
y 4.2.2.2 servidores DNS, los cuales se utilizan para monitorear el estado del puerto1 y el puerto2. Los resultados muestran que los
miembros están vivos (flecha verde), no informan pérdida de paquetes y tienen valores promedio de retraso y fluctuación en Internet.
NO REIMPRIMIR
© FORTINET
Después de configurar las zonas, los miembros y los SLA de rendimiento, es hora de definir las reglas de dirección del tráfico para SDWAN.
Esto se hace en la página Reglas SDWAN.
Cuando configura una regla SDWAN, primero define la aplicación o el patrón de tráfico que debe coincidir. Después de eso, indica los
miembros o zonas preferidos a los que dirigir el tráfico coincidente y, en algunos casos, las métricas de rendimiento que el
miembro debe cumplir para ser elegible para recibir y reenviar el tráfico.
Las reglas SDWAN se evalúan de la misma manera que las políticas de firewall: de arriba a abajo, utilizando la primera coincidencia.
Sin embargo, a diferencia de las políticas de firewall, se utilizan para dirigir el tráfico, no para permitirlo. Cuando utiliza reglas SDWAN,
debe configurar las políticas de firewall correspondientes para permitir el tráfico SDWAN.
Hay una regla SDWAN implícita creada de forma predeterminada. Si ninguna de las reglas SDWAN definidas por el usuario coincide, se
utiliza la regla implícita. De forma predeterminada, la carga de la regla implícita equilibra el tráfico entre todos los miembros SDWAN
disponibles.
El ejemplo de esta diapositiva muestra dos reglas definidas por el usuario denominadas CriticalDIA y NonCriticalDIA, que se utilizan para
dirigir el tráfico en esta configuración básica de DIA. CriticalDIA dirige el tráfico de GoToMeeting,
Microsoft.Office.365.Portal y Salesforce al miembro con la latencia más baja, entre el puerto 1
y puerto2. El ejemplo muestra que el puerto1 está seleccionado porque es el miembro con la marca de verificación al lado.
La regla DIA no crítica dirige el tráfico de Facebook y Twitter al puerto 2.
La regla implícita, ubicada al final de la lista, se utiliza si ninguna de las dos reglas definidas por el usuario coincide.
Puede ver que se aplica a todas las direcciones de origen y destino IPv4 e IPv6. Los iconos al lado de los nombres de los objetos (4 y 6)
distinguen los objetos IPv4 de los objetos IPv6.
NO REIMPRIMIR
© FORTINET
Para aplicaciones conocidas, puede confiar en los servicios de FortiGuard y definir reglas SDWAN para dirigir el tráfico por aplicación o
categoría de aplicación. Por ejemplo, puede decidir dirigir aplicaciones de ocio como juegos o Facebook a enlaces de bajo coste y
reservar enlaces costosos y de alta calidad para el tráfico empresarial.
La visibilidad de los criterios de detección de aplicaciones está, de forma predeterminada, oculta en la GUI de FortiGate. Debe habilitar la
visibilidad de funciones en la CLI mediante el comando global set guiappdetectionsdwan enable. Tenga en cuenta que si la visibilidad de
la GUI está deshabilitada, la configuración para los criterios de la aplicación permanece activa y la configuración aún es visible en la CLI.
Además de las aplicaciones y los grupos de aplicaciones, también puede seleccionar categorías de aplicaciones como criterios de destino
de reglas SDWAN para las reglas IPv4.
Para determinar qué aplicaciones que fluyen a través de su red calculan las aplicaciones definidas, use el comando CLI diagnostic
sys sdwan internetserviceappctrlcategorylist <id>.
NO REIMPRIMIR
© FORTINET
Las reglas de SDWAN definen las políticas de dirección del tráfico en SDWAN. Sin embargo, el tráfico no se reenviará a un miembro de
SDWAN a menos que exista una ruta válida que coincida con la dirección de destino del tráfico a través del miembro de SDWAN.
Puede utilizar enrutamiento estático y dinámico en SDWAN. Esta diapositiva muestra un ejemplo de una ruta estática predeterminada
configurada para la zona subyacente, que se utiliza para enrutar el tráfico en nuestra configuración DIA básica. Cuando configura rutas
estáticas para SDWAN, generalmente hace referencia a una zona SDWAN para simplificar la configuración. Sin embargo, también puede
hacer referencia a miembros individuales, de modo que pueda tener un control más granular sobre el tráfico. Cuando hace referencia a
una zona en una ruta estática, FortiGate instala rutas individuales para cada miembro de la zona. Luego, las rutas individuales se muestran
en la tabla de enrutamiento como rutas de múltiples rutas de igual costo (ECMP).
Tenga en cuenta que cuando configura una ruta estática que hace referencia a una zona, no tiene que especificar una dirección de
puerta de enlace porque FortiGate la recupera de la configuración del miembro.
NO REIMPRIMIR
© FORTINET
Además de tener una ruta válida, también debes tener una política de firewall que permita el tráfico dirigido por SDWAN.
Las políticas de firewall SDWAN se configuran de la misma manera que las políticas de firewall normales, excepto que, cuando
Al seleccionar una interfaz saliente o entrante, debe hacer referencia a una zona SDWAN. Cuando hace referencia a una zona,
simplifica la configuración evitando políticas de firewall duplicadas.
Es posible que necesite hacer referencia a un miembro en su política de firewall porque desea aplicar una acción diferente en el tráfico
que fluye a través de ese miembro, como aplicar diferentes perfiles de seguridad y configuraciones de NAT. Como no se puede hacer
referencia a miembros en una política de firewall, una solución alternativa es colocar un solo miembro en una zona separada y
luego hacer referencia a esa zona en la política de firewall.
El ejemplo de esta diapositiva muestra una política de firewall denominada LANtounderlay que hace referencia al subyacente
zona, que contiene el puerto1 y el puerto2 como miembros. Como resultado, FortiGate permitirá el tráfico DIA dirigido a través del
puerto1 o puerto2 siempre que coincida con los criterios de la política de firewall y pase la inspección de seguridad configurada
en la política.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra la configuración CLI equivalente para la configuración básica de SDWAN DIA descrita hasta ahora. La
configuración específica de SDWAN se encuentra en el sistema de configuración sdwan. Dentro del sistema de configuración
sdwan, hay secciones de configuración separadas para cada componente SDWAN.
El ejemplo que se muestra en esta diapositiva divide la configuración CLI en dos. La primera parte muestra la configuración
del SLA de zona, miembro y rendimiento. El segundo, la configuración de reglas SDWAN. Tenga en cuenta que
FortiOS utiliza los términos verificación de estado y servicio para referirse al SLA de rendimiento y la configuración de reglas en la
CLI, respectivamente. Explorará con más detalle la configuración CLI en otras lecciones.
NO REIMPRIMIR
© FORTINET
Antes de agregar una interfaz como miembro SDWAN, primero debe eliminar cualquier referencia de configuración a la
interfaz. Esto está bien si su configuración es simple, pero si su configuración tiene una cantidad considerable de referencias, entonces
el proceso de eliminación y adición de referencias puede llevar mucho tiempo y ser perjudicial para la red.
Una alternativa es utilizar la función Integrar interfaz disponible en la página Interfaces en la GUI de FortiGate. Cuando utiliza la función
de integración de interfaz, puede indicarle a FortiGate que migre una interfaz a SDWAN. El resultado es que FortiGate intenta
automáticamente reemplazar la interfaz individual con la zona SDWAN seleccionada en cada objeto de configuración que hace referencia
a la interfaz. Tenga en cuenta que si el cambio no se aplica a un nodo de configuración o si FortiGate no puede reemplazar la referencia,
entonces FortiGate deja el nodo de configuración como está.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al comprender el monitoreo básico de SDWAN, debería poder identificar las diferentes herramientas disponibles en la GUI de
FortiGate para verificar la distribución, el estado y los eventos del tráfico SDWAN.
NO REIMPRIMIR
© FORTINET
Puede navegar a la página Zonas SDWAN para monitorear la distribución del tráfico entre los miembros de SDWAN.
La página contiene gráficos que muestran la distribución del tráfico según el ancho de banda, el volumen o las sesiones. Tenga en cuenta que el
ancho de banda se refiere a la velocidad de datos, mientras que el volumen se refiere a la cantidad de datos.
También puede pasar el cursor sobre un miembro o el gráfico para obtener una cantidad específica de ancho de banda, volumen o sesiones.
El ejemplo de esta diapositiva muestra los gráficos de distribución de tráfico correspondientes de la configuración básica de DIA.
NO REIMPRIMIR
© FORTINET
Puede navegar a la página SLA de rendimiento para monitorear el estado de sus miembros.
Primero seleccione el SLA de rendimiento que desea verificar (Level3_DNS en el ejemplo). Los gráficos de la página mostrarán la pérdida de
paquetes, la latencia y la fluctuación de cada miembro utilizando el SLA de rendimiento seleccionado. Tenga en cuenta que la información
que se muestra en los gráficos se limita a los últimos 10 minutos.
También puede pasar el cursor sobre el gráfico para obtener una cantidad específica de pérdida de paquetes, latencia o fluctuación. El ejemplo
de esta diapositiva muestra los gráficos de salud correspondientes para los dos miembros utilizados en la configuración básica de DIA.
NO REIMPRIMIR
© FORTINET
El widget SDWAN ofrece una vista consolidada tanto del estado de un miembro como de su uso. El ejemplo
En esta diapositiva se muestran dos miembros SDWAN configurados: puerto1 y puerto2. Sin embargo, el puerto1 está
actualmente inactivo, por lo que solo hay tráfico a través del puerto2.
Los gráficos de la página resumen el estado de los miembros activos (solo el puerto 2 en este caso) e indican cuántos de ellos se
encuentran dentro de algunos rangos predefinidos de pérdida de paquetes, latencia y fluctuación. El ejemplo muestra que la pérdida
de paquetes y la fluctuación en el puerto 2 están dentro del rango bajo y su latencia está dentro del rango medio. Puede hacer clic en
un rango para mostrar la lista de miembros que se encuentran dentro de ese rango.
NO REIMPRIMIR
© FORTINET
La página de registros de tráfico directo es útil para identificar cómo se distribuyen las sesiones en SDWAN y el motivo.
Asegúrese de habilitar las columnas Nombre de regla SDWAN y Calidad SDWAN, que están deshabilitadas de forma predeterminada.
El primero indica la regla SDWAN coincidente para una sesión y el segundo, el miembro al que se dirigió la sesión y el motivo.
La tabla de esta diapositiva muestra varias sesiones. La primera sesión de la tabla se identificó como Salesforce.
aplicación, coincidió con la regla CriticalDIA y se envió al puerto 1. La razón por la que se seleccionó el puerto 1 fue porque tenía la
latencia más baja.
La segunda sesión de la tabla, que se identificó como una aplicación de Facebook, coincidió con la regla DIA no crítica y se envió al puerto
2. La regla DIA no crítica le indica a FortiGate que dirija el tráfico coincidente solo al puerto 2, siempre que el puerto esté activo. Este
comportamiento coincide con el motivo descrito en Calidad SDWAN.
columna para esa sesión.
NO REIMPRIMIR
© FORTINET
La subsección Eventos de SDWAN en la página Eventos muestra registros que informan los cambios de estado de los miembros de SD
WAN.
En la mayoría de los casos, querrás hacer clic en un registro para comprender completamente el evento. Por ejemplo, el tercer registro
de la tabla indica que el estado del puerto1 cambió de muerto a vivo. Aunque los detalles del segundo y primer registro
no se muestran, los registros informan que el puerto1 está listo para reenviar tráfico y que la preferencia de miembro en la regla que usa el
puerto1 (CriticalDIA) se actualizó para incluir el puerto1.
NO REIMPRIMIR
© FORTINET
Al dominar los objetivos cubiertos en esta lección, aprendió los casos de uso más comunes de SDWAN, sus
componentes principales y cómo configurar y monitorear una configuración básica de SDWAN DIA.
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá cómo FortiManager puede ayudar a implementar y mantener redes SDWAN.
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al comprender cómo implementar SDWAN usando FortiManager, debería poder aprovechar las funciones
centralizadas de FortiManager para reducir los costos operativos al implementar y mantener SDWAN en una red grande.
NO REIMPRIMIR
© FORTINET
FortiManager es un componente clave para implementar SDWAN en una red grande. La administración centralizada (panel único) a través
de FortiManager puede ayudarlo a administrar más fácilmente la implementación de SDWAN en muchos dispositivos y reducir el costo de
operación.
• Proporcione plantillas SDWAN, plantillas CLI y políticas de firewall en múltiples dispositivos con el mismo
requisitos de configuración.
• Le permite configurar SDWAN por dispositivo.
• Monitorear el estado de SDWAN.
• Actuar como repositorio central para el control de revisiones de configuración y auditorías de seguridad.
• Implementar y monitorear topologías VPN IPsec complejas (superposiciones de IPsec).
• Realizar aprovisionamiento sin intervención para nuevos sitios SDWAN.
• Utilice scripts y API JSON para automatizar el aprovisionamiento de dispositivos y realizar cambios de políticas para SDWAN.
NO REIMPRIMIR
© FORTINET
Para organizar y gestionar eficientemente una red a gran escala, FortiManager tiene múltiples capas de gestión.
La capa ADOM global tiene dos piezas clave: la base de datos de objetos global y los paquetes de políticas de encabezado y pie
de página. Los paquetes de políticas de encabezado y pie de página envuelven las políticas para cada ADOM. Los paquetes de políticas se
utilizan a menudo en un entorno de operador, donde el operador permite que el tráfico del cliente pase a través de su red pero no
permite que el cliente tenga acceso a su infraestructura de red.
La capa ADOM es donde se crean, administran e instalan paquetes de políticas en dispositivos o grupos de dispositivos administrados.
Puede crear varios paquetes de políticas aquí. La capa ADOM incluye un objeto común.
base de datos para cada ADOM. La base de datos de objetos comunes contiene información como direcciones, servicios y perfiles de
seguridad. Los ADOM le permiten crear agrupaciones de dispositivos para que los administradores los supervisen y administren. El
propósito de los ADOM es dividir la administración de dispositivos por ADOM y controlar (restringir) el acceso del administrador.
La capa del Administrador de dispositivos registra información sobre los dispositivos administrados centralmente por FortiManager.
dispositivo, como el nombre del dispositivo, tipo de dispositivo, modelo, dirección IP, firmware instalado actualmente, historial de revisiones y
estado en tiempo real.
NO REIMPRIMIR
© FORTINET
El panel Administrador de dispositivos proporciona asistentes de instalación y dispositivos para ayudarle en diversas tareas administrativas
y de mantenimiento. El uso de estos asistentes puede reducir la cantidad de tiempo que lleva realizar muchas tareas comunes.
• Utilice Agregar dispositivo para agregar dispositivos a la administración central e importar sus configuraciones.
• Utilice el Asistente de instalación para instalar cambios de configuración desde el panel Administrador de dispositivos o Políticas y objetos
panel a los dispositivos administrados. Le permite obtener una vista previa de los cambios y, si el administrador no está de acuerdo con
los cambios, cancelarlos y modificarlos.
• Utilice Importar configuración para importar asignaciones de interfaz, bases de datos de políticas y objetos asociados con los
dispositivos administrados en un paquete de políticas en la página Política y objeto. Se ejecuta con Agregar dispositivo
asistente, de forma predeterminada, y puede ejecutarlo en cualquier momento desde la lista de dispositivos administrados.
• Utilice Reinstalar política para realizar una instalación rápida del paquete de políticas. Proporciona la posibilidad de obtener una vista previa
los cambios que se instalarán en el dispositivo administrado.
Puede abrir los asistentes Importar configuración y Reinstalar política haciendo clic derecho en su dispositivo administrado en el
Administrador de dispositivos.
NO REIMPRIMIR
© FORTINET
FortiManager ofrece dos enfoques para configurar SDWAN: administración por dispositivo y administración central.
En la administración por dispositivo, usted configura los ajustes de SDWAN para dispositivos individuales. tu haces la configuracion
cambios en la página SDWAN del dispositivo administrado y luego instálelos. El enfoque de administración por dispositivo es útil
cuando sus dispositivos tienen diferentes requisitos de configuración SDWAN y, por lo tanto, debe mantener configuraciones separadas
para cada dispositivo.
En la administración central, usted configura plantillas SDWAN y las asigna a uno o más dispositivos FortiGate.
Para cada plantilla SDWAN, usted define miembros, zonas, SLA de rendimiento, reglas, etc. Este enfoque es conveniente para implementar
múltiples dispositivos que usan configuraciones similares porque reduce la sobrecarga administrativa. Es decir, en lugar de aplicar un
cambio en cada dispositivo administrado, lo aplica en la plantilla compartida. Luego, cuando instala los cambios de la plantilla,
FortiManager envía el cambio a todos los dispositivos de destino de la plantilla.
Las capturas de pantalla en esta diapositiva muestran las páginas de FortiManager donde aplica la configuración SDWAN central y por
dispositivo. Mientras ambas páginas están en el panel Administrador de dispositivos, debe hacer clic en el dispositivo administrado para
acceder a la configuración SDWAN por dispositivo. Puede encontrar la configuración central de SDWAN en la sección Plantillas
de aprovisionamiento en el panel Administrador de dispositivos.
Las plantillas de superposición SDWAN combinan, de forma guiada, la configuración de plantillas SDWAN, superposición IPsec y
ADVPN. Aprenderá más sobre las plantillas de superposición SDWAN en esta lección.
NO REIMPRIMIR
© FORTINET
Ya sea que configure SDWAN mediante administración por dispositivo o administración central, las páginas de FortiManager para
ambos enfoques se ven casi iguales. Una diferencia es que la página de configuración por dispositivo muestra el botón Crear VPN, que le
permite crear rápidamente un túnel IPsec que luego se puede agregar como miembro SDWAN.
Otra diferencia es que cuando configura un miembro SDWAN usando una plantilla SDWAN (administración central), puede usar
metavariables en la configuración del Miembro de interfaz, Puerta de enlace y Servidor HealthCheck. Las metavariables le permiten
definir variables a las que se les pueden asignar diferentes valores por dispositivo.
Las metavariables se introducen con FortiManager 7.2.0 y reemplazan los metacampos. Aprenderá más sobre las metavariables en
esta lección.
La forma en que configura los ajustes de SDWAN usando FortiManager es muy similar a cómo los configura en la GUI de FortiGate. Esta
diapositiva muestra un ejemplo de una configuración realizada mediante la administración por dispositivo. Al igual que FortiGate, hay
tres secciones disponibles en la GUI: miembros de la interfaz, SLA de rendimiento y reglas SDWAN, y tienen el mismo propósito que
en la GUI de FortiGate.
NO REIMPRIMIR
© FORTINET
Las variables de metadatos son parámetros de nivel ADOM (también disponibles para ADOM global para mapeo por ADOM).
introducido con FortiManager versión 7.2.0. Puede utilizar variables de metadatos en scripts CLI, plantillas o dispositivos modelo.
Proporcionan la flexibilidad requerida cada vez que un parámetro tiene valores diferentes en cada dispositivo.
Puede acceder al menú Variables de metadatos en Política y objetos > Avanzado para revisar y editar variables de metadatos.
El nombre de la variable de metadatos solo puede contener letras, números y guiones bajos.
Al actualizar desde la versión 7.0 o anterior, FortiManager crea variables de metadatos en el nivel ADOM para los metacampos
utilizados en ADOM.
Si un metacampo contiene caracteres no admitidos para nombres de variables de metadatos, el nombre se modifica y cada carácter no
admitido se reemplaza con un guión bajo "_".
Los metacampos a nivel del sistema se mantienen en actualización como referencia. Permanecen visibles en Configuración del sistema
> Avanzado > Metacampos.
NO REIMPRIMIR
© FORTINET
Las variables de metadatos de FortiManager son variables definidas por el usuario que le permiten asignar diferentes valores a una configuración
para un dispositivo determinado. Son particularmente útiles cuando configura miembros SDWAN mediante plantillas SDWAN.
Puede utilizar metadatos para la configuración de Miembro de interfaz. Esto le permite utilizar diferentes interfaces en diferentes
dispositivos sin tener que crear plantillas independientes.
Otro caso de uso de los metadatos es la configuración de la puerta de enlace de los miembros de SDWAN. Incluso si utiliza el mismo
nombre de interfaz para los dispositivos asignados a una plantilla, es probable que su puerta de enlace sea diferente. Por este motivo, puede
definir una variable de metadatos para la configuración de la puerta de enlace que indique la dirección IP de la puerta de enlace que debe
enviar el miembro en cada dispositivo.
El ejemplo de esta diapositiva muestra el uso de dos variables de metadatos para la configuración de miembros de SDWAN. El
La variable de metadatos sdwan_port1_gw se utiliza para definir una puerta de enlace diferente para el puerto 1 en cada dispositivo administrado.
Es decir, la puerta de enlace para el puerto1 en Branch1_fgt y Branch2_fgt será 192.2.0.2 y 203.0.113.2, respectivamente. Para el ID de
miembro 5 en la zona subyacente, la variable de metadatos inet3_port se usa para indicar el nombre de la interfaz que se usará como miembro
en cada dispositivo administrado. Es decir, Branch1_fgt utilizará el puerto3 como miembro y Branch2_fgt utilizará el puerto8.
En la sección Performance SLA, los servidores de verificación de estado para la entrada Level3_DNS se definen con una IP de servidor
estática, la misma IP para cada dispositivo y una variable de metadatos para ajustar la IP del servidor de verificación de estado según la
ubicación del dispositivo.
Para hacer referencia a una variable de metadatos en la configuración del miembro SDWAN, escriba $ al principio de la cadena para que
FortiManager muestre una lista de variables de metadatos disponibles. En este menú emergente, un signo "+" permite al usuario crear una nueva
variable de metadatos, si es necesario.
NO REIMPRIMIR
© FORTINET
La lupa con un signo $ indica los campos donde puede utilizar una variable de metadatos.
.
En el ejemplo que se muestra en esta diapositiva, el usuario puede ingresar la dirección IP y la máscara de red como de costumbre, o ingresar
$ para mostrar el menú de variables de metadatos y seleccionar una variable de metadatos para la subred y una variable de metadatos
para la máscara de subred.
Tenga en cuenta que es obligatorio especificar la máscara de subred por separado.
Las opciones
válidas son: $(LAN_Subnet)/$(LAN_Mask)
$(LAN_Subred)/255.255.255.0
Después de ingresar el signo $ en un campo, un menú emergente le permite seleccionar una variable ya definida. Puede crear una nueva variable
con el signo + o editar una metavariable existente con el signo de lápiz que se muestra cuando pasa el cursor sobre una variable.
Para revisar y editar todas las variables de metadatos en el nivel ADOM, vaya a Política y objetos >
Configuraciones de objetos > Avanzado > Variables de metadatos.
NO REIMPRIMIR
© FORTINET
Si hace clic en el signo + para crear una nueva variable de metadatos, FortiManager muestra una ventana donde puede crear una
nueva variable y su asignación por dispositivo. Luego puede definir el nombre de la variable y sus valores.
Tenga en cuenta que para algunos campos, no puede utilizar una variable de metadatos sin un valor predeterminado. Por lo tanto,
es una buena práctica establecer un valor predeterminado para cada variable de metadatos que cree. FortiManager usa el valor
predeterminado al instalar la configuración en cada FortiGate para el cual no especificó una asignación por dispositivo. Un ejemplo
de un campo que requiere un valor predeterminado es IP/Máscara de red, para un objeto de dirección de firewall.
NO REIMPRIMIR
© FORTINET
Para la administración central de SDWAN, puede importar la configuración de SDWAN de un dispositivo a una
plantilla SDWAN en FortiManager. Luego puede usar la plantilla para implementar SDWAN en otros dispositivos FortiGate
que requieran la misma configuración.
NO REIMPRIMIR
© FORTINET
Después de configurar una nueva plantilla o importar su configuración desde un dispositivo administrado, puede asignar la
plantilla a uno o más dispositivos o grupos de dispositivos.
NO REIMPRIMIR
© FORTINET
Además de configurar una plantilla SDWAN, es posible que también necesite configurar una plantilla del sistema y una o más
plantillas CLI. Una plantilla de sistema le permite crear y administrar configuraciones comunes a nivel de sistema para el dispositivo
administrado. La página Plantilla del sistema contiene un perfil genérico llamado predeterminado, que contiene widgets
para configuraciones como DNS, correo electrónico de alerta, configuración de administrador, configuración de registro y otras.
Puede crear un nuevo perfil de dispositivo y configurar los ajustes en los widgets de ese perfil. Puede usar el ícono Más e Importar
para importar la configuración de un dispositivo administrado específico, que hereda la configuración a nivel del sistema de ese
dispositivo administrado.
Puede utilizar la pestaña Asignar a dispositivo/grupo para asociar dispositivos con un perfil o para ver la lista de dispositivos ya
asignados a un perfil.
Puede aplicar estos perfiles configurados a varios dispositivos dentro del mismo ADOM, lo que facilita configuraciones idénticas a
nivel de dispositivo en muchos dispositivos.
NO REIMPRIMIR
© FORTINET
Las plantillas CLI le permiten crear scripts CLI o un grupo de scripts CLI que puede asignar a dispositivos administrados. Luego,
FortiManager aplica el contenido del script al enviar la configuración a los dispositivos administrados.
Las plantillas CLI son útiles para impulsar configuraciones CLI avanzadas o configuraciones que hacen referencia a variables de metadatos.
Por ejemplo, puede usar plantillas CLI para impulsar la configuración de SDWAN que se muestra en esta diapositiva, que le indica
a FortiManager que configure la dirección de origen para las sondas de verificación de estado utilizadas por los miembros de SDWAN.
En lugar de indicar la dirección de origen directamente, puede hacer referencia a una variable de metadatos
(sdwan_vpn_hc_srcip en el ejemplo). Debido a que la variable de metadatos se define con valores de mapeo por dispositivo, FortiManager
puede enviar una dirección de origen diferente según el dispositivo de destino.
NO REIMPRIMIR
© FORTINET
En FortiManager puedes crear dos tipos de scripts: scripts CLI y scripts Jinja. Para los scripts CLI, utilizará los comandos CLI de FortiGate y
el signo $ para hacer referencia a las variables de metadatos. Este tipo de script es muy fácil de usar pero no ofrece funciones de programación
avanzadas. Con los scripts de Jinja, puede utilizar una sintaxis similar a Python para configurar escenarios avanzados. Tenga en cuenta que
para los scripts de Jinja, debe hacer referencia a las variables de metadatos con un símbolo de doble llave—{—.
Puede utilizar un grupo de plantillas para asignar varios scripts CLI a dispositivos administrados. Los grupos de plantillas pueden contener
una combinación de secuencias de comandos CLI y Jinja y se aplican en orden de arriba hacia abajo.
NO REIMPRIMIR
© FORTINET
Cuando configura políticas de firewall para SDWAN, primero debe crear un paquete de políticas. Luego, el paquete de políticas contiene
una o más políticas de firewall que se asignan a uno o más dispositivos administrados. Cortafuegos
Las políticas para el tráfico SDWAN deben hacer referencia a zonas SDWAN y no a miembros individuales. La otra interfaz
configurada en la política de firewall suele ser una interfaz normalizada, para la cual debe configurar reglas de mapeo correctas.
Las interfaces normalizadas le permiten hacer referencia a diferentes interfaces por dispositivo o por plataforma. El objetivo es poder
compartir objetos, como políticas de firewall, entre múltiples dispositivos con diferentes configuraciones de interfaz. Cuando
FortiManager instala objetos que hacen referencia a una interfaz normalizada, lee el
reglas de mapeo configuradas y luego asigna la interfaz mapeada a la configuración enviada de cada dispositivo de destino.
En el ejemplo que se muestra en esta diapositiva, el paquete de políticas Branchespp contiene una política de firewall denominada DIA.
La interfaz LAN normalizada está configurada como la interfaz entrante en la política. LAN está asignada al puerto 5
en dispositivos Branch1_fgt y Branch2_fgt, pero podría asignarse a diferentes interfaces si fuera necesario.
NO REIMPRIMIR
© FORTINET
Después de instalar la configuración SDWAN y la configuración relevante en FortiGate, puede usar la página SDWAN Monitor en
FortiManager para ver el estado de los dispositivos FortiGate y sus miembros SDWAN. Tenga en cuenta que, de forma predeterminada, debe
actualizar manualmente la página para sondear el estado más reciente del dispositivo. Alternativamente, puede seleccionar un intervalo de
actualización automática.
La opción Vista de mapa muestra la ubicación de los dispositivos en un mapa. La ubicación se basa en la configuración de ubicación
configurada para el dispositivo en FortiManager.
Pase el cursor sobre un miembro para ver sus detalles de salud y utilización. Tenga en cuenta que el porcentaje de utilización de miembros
se calcula en función de los valores configurados para las configuraciones de interfaz de ancho de banda ascendente estimado y ancho
de banda descendente estimado . Aprenderá más sobre estas configuraciones en otra lección.
Finalmente, puede hacer clic en un dispositivo para ver gráficos históricos que informan sobre la utilización y el estado de los miembros.
La siguiente diapositiva muestra un ejemplo de esos gráficos.
NO REIMPRIMIR
© FORTINET
Cuando hace clic en un dispositivo en la página del monitor SDWAN, FortiManager muestra gráficos históricos que informan
sobre la utilización y el estado de los miembros SDWAN en ese dispositivo. Esta diapositiva muestra un ejemplo de
los gráficos de utilización y salud que muestra FortiManager.
Tenga en cuenta que, de forma predeterminada, FortiManager muestra los datos de los últimos 10 minutos únicamente. Para recopilar y
mostrar datos durante un período de tiempo prolongado, debe habilitar el almacenamiento de datos en el disco FortiManager con los siguientes
comandos CLI:
configuración de administrador del sistema de configuración
configurar sdwanmonitorhistory habilitar
fin
Una vez activada la función, FortiManager almacena los datos en su disco para cada dispositivo SDWAN administrado por
hasta 180 días. Para evitar el uso excesivo del disco, puede reducir la conservación de datos a solo unos pocos días con los
siguientes comandos CLI:
configuración de administrador del sistema de configuración
establecer rtmmaxmonitorbydays <n.º de días>
fin
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al comprender las plantillas de configuración de IPsec disponibles en FortiManager, podrá configurar fácilmente túneles
VPN de IPsec en FortiGate. Luego verá cómo utilizar los túneles IPsec configurados como
superposiciones en SDWAN.
NO REIMPRIMIR
© FORTINET
En FortiManager, puede utilizar la plantilla IPsec para configurar fácilmente ajustes IPsec consistentes en múltiples dispositivos.
Las plantillas recomendadas le permitirán preparar una plantilla para túneles IPsec utilizando la configuración recomendada de
Fortinet para los parámetros de fase 1 y fase 2. • La
plantilla IPsec_Fortinet_Recommended define una plantilla para un túnel estático punto a punto
• La plantilla BRANCH_IPsec_Recommended define una plantilla para un túnel estático (con un
dirección IP remota)
• La plantilla HUB_IPsec_Recommended define una plantilla para un túnel dinámico (un concentrador IPsec
para túneles de acceso telefónico)
Esta diapositiva muestra un ejemplo de una cantidad limitada de parámetros que debe proporcionar para preparar una
configuración de túnel de rama con la plantilla recomendada Branch_IPsec. Luego, usando esos parámetros,
FortiManager prepara una plantilla con la configuración de IPsec lista para instalar en el dispositivo. Aún puedes revisar la
plantilla y ajustarla si es necesario. Como ya descubrió para las plantillas SDWAN o CLI,
Los metadatos son útiles para personalizar la plantilla con valores específicos de cada dispositivo.
Tenga en cuenta que si ya está familiarizado con FortiManager y ha utilizado el administrador de VPN para sus
implementaciones, puede seguir usándolo. Sin embargo, para nuevas implementaciones, debe utilizar el IPsec recomendado
plantillas.
NO REIMPRIMIR
© FORTINET
La plantilla recomendada de Hub IPsec prepara una plantilla para un túnel VPN IPsec dinámico con una interfaz saliente, una clave
previamente compartida y un rango de direcciones IP para el túnel remoto especificado por el administrador.
El nombre del túnel, el ID de la red y la propuesta de cifrado se configuran automáticamente con los valores VPN1, ID1 y aes256sha256.
Tenga en cuenta que al crear una plantilla, Keep Alive está desactivado. Puedes editar Keep Alive para habilitarlo.
NO REIMPRIMIR
© FORTINET
La plantilla recomendada de Branch IPsec prepara una plantilla para el túnel VPN de IPsec estático. Debe especificar la dirección IP para
el extremo remoto del túnel. La plantilla utiliza la interfaz saliente, la clave previamente compartida y el ID de sucursal local especificado por
el administrador. La identificación local debe ser única para cada sucursal. Por tanto, es conveniente definirla como variable de metadatos.
El nombre del túnel, el ID de la red y la propuesta de cifrado se configuran automáticamente en HUB1VPN1, ID1 y aes256sha256.
Si es necesario, puede editar y ajustar esos valores y cualquier otro parámetro de la plantilla.
Tenga en cuenta que en la creación de plantillas, como para concentradores, Keep Alive está deshabilitado. Puede editar la plantilla para
habilitar Keep Alive.
NO REIMPRIMIR
© FORTINET
Las interfaces normalizadas le permiten hacer referencia a diferentes interfaces por dispositivo o por plataforma, simplificando así el
proceso de configuración e implementación para múltiples dispositivos. Por lo general, FortiManager requiere que normalices las interfaces.
Sin embargo, no es necesario si planea configurar una interfaz IPsec como miembro de SDWAN. Esto se debe a que los miembros de
SDWAN no utilizan interfaces normalizadas. Otra razón es que las políticas de firewall para SDWAN deben hacer referencia a zonas SD
WAN y no a miembros individuales.
Si no planea utilizar una interfaz IPsec como miembro de SDWAN, debe normalizar la interfaz para poder hacer referencia
a ella en las políticas de firewall, que son necesarias para que el túnel funcione. Tenga en cuenta lo siguiente al
normalizar la interfaz para IPsec:
• Si planea utilizar mapeo por plataforma, no necesita instalar primero la configuración de VPN. Esto se debe a
que FortiManager le pide que escriba el nombre de la interfaz. Debe escribir el nombre de interfaz correcto; debe
corresponder a una interfaz normalizada que ya haya definido.
• Si planea utilizar la asignación por dispositivo, primero debe instalar la configuración de VPN. Esto se debe a que en el
mapeo por dispositivo, FortiManager busca interfaces existentes en la base de datos de configuración del dispositivo,
que se crean solo después de realizar la instalación.
Después de configurar la interfaz IPsec normalizada, puede hacer referencia a la interfaz en las políticas de firewall.
NO REIMPRIMIR
© FORTINET
Puede monitorear el estado del túnel y forzar su subida o bajada desde la página VPN Monitor, como se muestra en esta diapositiva.
Tenga en cuenta que la Vista de mapa está disponible solo para túneles configurados con el administrador de VPN. Debe seleccionar Mostrar
tabla para monitorear los túneles configurados con plantillas de túnel.
NO REIMPRIMIR
© FORTINET
Después de configurar sus túneles IPsec, puede comenzar a usarlos como miembros SDWAN. Sólo asegúrese de eliminar cualquier
referencia existente a los miembros individuales en las políticas de firewall. De lo contrario, FortiManager no puede instalar la configuración
SDWAN porque no puede hacer referencia a miembros SDWAN individuales en las políticas de firewall. Solo puede hacer
referencia a zonas SDWAN.
Tenga en cuenta que los miembros de SDWAN no utilizan interfaces normalizadas. En su lugar, debe escribir el nombre de la
interfaz en el dispositivo o utilizar una variable de metadatos.
En el ejemplo que se muestra en esta diapositiva, T_INET_0 es el nombre de la interfaz IPsec en el dispositivo. La interfaz se configura
como miembro de SDWAN y se coloca en la zona de superposición.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en las plantillas de superposición SDWAN de FortiManager, podrá configurar e implementar una
gran topología SDWAN y una red IPsec superpuesta asociada con un esfuerzo reducido.
NO REIMPRIMIR
© FORTINET
La mayoría de las implementaciones de SDWAN requieren configuraciones de superposición complejas para la conectividad del centro de datos o la nube.
FortiManager incluye una plantilla de superposición SDWAN con un asistente para automatizar y simplificar el proceso utilizando las configuraciones
de IPsec y BGP recomendadas por Fortinet. Los asistentes de plantillas de superposición de SDWAN lo guían a través de los pasos de configuración
y generan un conjunto de plantillas de configuración consistentes para configuraciones de SDWAN, superposición y enrutamiento para
concentradores y dispositivos de sucursales.
Tenga en cuenta que no puede utilizar el administrador de VPN y las plantillas de superposición SDWAN para la misma red. Cuando
corresponda, para una nueva implementación, debe utilizar la plantilla de superposición SDWAN. Proporciona un enfoque integral y lo guía a través de
la configuración de IPsec, BGP y SDWAN.
Tenga en cuenta que si necesita agregar dispositivos de sucursal adicionales más adelante, puede hacerlo agregando dispositivos al grupo de
dispositivos de sucursal.
NO REIMPRIMIR
© FORTINET
Antes de poder definir la plantilla de superposición SDWAN, el primer paso es importar dispositivos concentradores a FortiManager
(puede usar dispositivos modelo) y configurar los enlaces e interfaces necesarios.
Puede importar dispositivos de sucursal en esta fase preliminar o más adelante, pero debe crear un grupo de dispositivos que contenga los
dispositivos de sucursal antes de continuar con la plantilla de superposición SDWAN.
Tenga en cuenta que para utilizar la plantilla de superposición SDWAN, su configuración debe incluir una única red superpuesta.
NO REIMPRIMIR
© FORTINET
Las plantillas de superposición de SDWAN le ayudan a configurar plantillas para topologías de concentrador único y doble. La topología de doble
concentrador ofrece opciones para concentradores primarios y secundarios o dos concentradores activos simultáneamente (llamados Primario
y Primario).
En las próximas diapositivas, explorará cómo utilizar los asistentes para crear plantillas para configurar dispositivos para la topología que se
muestra en el diagrama.
NO REIMPRIMIR
© FORTINET
Primero se define el tipo de topología utilizada, ya sea concentrador único o concentrador dual, y el tipo de redundancia.
La plantilla de superposición de SDWan le guía a través de varios asistentes. FortiManager ajusta los campos disponibles en cada asistente
según la opción que hayas seleccionado durante este primer paso.
NO REIMPRIMIR
© FORTINET
Para dispositivos concentradores (dos para una topología de concentrador dual), debe seleccionar entre los dispositivos ya descubiertos en
FortiManager.
Para dispositivos de sucursal, en esta etapa, debe definir un grupo de dispositivos de sucursal. Este grupo puede estar vacío mientras trabaja en la
plantilla. Más adelante en esta lección, aprenderá cómo realizar una importación masiva de dispositivos desde un archivo CSV. Más adelante, podrá agregar
dispositivos al grupo de dispositivos de la sucursal a medida que la red evolucione y nuevos sitios se unan a la topología SDWAN.
NO REIMPRIMIR
© FORTINET
En esta etapa, definirá las interfaces de red utilizadas para los enlaces subyacentes, generalmente una definición estática para los
concentradores y variables de metadatos para las sucursales.
La casilla de verificación Enlace privado indica un enlace interno seguro. FortiManager NO definirá un enlace superpuesto a través de esta
interfaz.
También puede agregar enlaces subyacentes adicionales en esta etapa (signo +).
Para los anuncios de red, puede decidir entre anuncios de subredes conectadas o definición de prefijos de red estática. Para la publicidad de
subredes conectadas debe seleccionar las interfaces que correspondan a
subredes para anunciar.
Los mapas de rutas de sucursales corresponden a mapas de rutas que el centro aplica a un grupo vecino de sucursales.
NO REIMPRIMIR
© FORTINET
Por lo general, para definir interfaces subyacentes WAN para dispositivos de sucursales se utilizan variables de metadatos. Esto le permite
adaptarse a varios tipos de sitios de sucursales y dispositivos de sucursales. De manera similar, puede utilizar variables de metadatos para
definiciones de interfaz de subred conectada.
En la sección Avanzado, puede definir el mapeo de rutas por enlace superpuesto del concentrador o globalmente para todos los enlaces.
Puede definir las configuraciones preferibles de Entrada de mapa de ruta, Salida de mapa de ruta y Salida de mapa de ruta.
Mapa de ruta y Mapa de ruta preferible permiten anuncios de mapas de ruta diferenciados.
Si un miembro de SDWAN cumple con el umbral de SLA, FortiGate aplica el mapa de ruta definido en la
opción preferible de mapa de ruta del vecino BGP .
Si el miembro SDWAN no cumple con el SLA, FortiGate aplica el mapa de ruta definido en la opción de mapa de ruta
del vecino BGP .
Esto permite a FortiGate anunciar el estado del miembro SDWAN a su vecino BGP anunciando diferentes
cadenas de comunidad según el estado del SLA.
Explorará las opciones de mapas de ruta con mayor detalle en otra lección.
NO REIMPRIMIR
© FORTINET
En el paso 4, debe definir la plantilla SDWAN que utiliza el proceso de plantilla de superposición SDWAN. El proceso no lo crea
automáticamente.
Puede llamar a una plantilla SDWAN existente y el proceso de plantilla de superposición SDWAN le agrega configuraciones de
acuerdo con las opciones que seleccionó. Por lo general, el proceso agrega miembros y zonas de la interfaz, como mínimo.
Si no tiene una plantilla SDWAN predefinida, debe crear una.
Si selecciona Agregar servidores de verificación de estado para cada HUB como SLA de rendimiento, el proceso crea una
verificación de SLA de rendimiento para cada IP de loopback del concentrador. Estas comprobaciones de SLA se definen con el
protocolo de detección de valores predeterminado Ping, el umbral de falla 5 y el umbral de recuperación 5. Una vez creada, puede
editar la plantilla SDWAN para revisar y ajustar los valores según sea necesario.
El asistente no crea reglas SDWAN. Puede agregarlos más adelante y perfeccionarlos a medida que evolucionen los requisitos.
NO REIMPRIMIR
© FORTINET
Puede revisar todas las configuraciones y, si es necesario realizar ajustes, ir directamente al menú correspondiente. Una vez que esté
satisfecho con la configuración, haga clic en Finalizar.
NO REIMPRIMIR
© FORTINET
Para los dispositivos de la sucursal, crea configuraciones para la plantilla SDWAN definida.
Para sucursales y concentradores, crea plantillas BGP, IPsec y CLI para dar cabida a todos los cambios de configuración necesarios.
Las plantillas están agrupadas por dispositivo y la asignación de dispositivos se realiza por usted.
En esta etapa, puede revisar cada plantilla y ajustar la configuración según sea necesario antes de aplicar las configuraciones
a los dispositivos.
NO REIMPRIMIR
© FORTINET
Después de completar el asistente de plantilla de superposición SDWAN, debe completar algunas tareas adicionales.
La plantilla de superposición SDWAN crea automáticamente una variable de metadatos llamada Branch_id. Debe definir un valor de
ID de sucursal único para cada dispositivo de sucursal. Si creó variables de metadatos adicionales a través del proceso, también
debe definir los valores correspondientes para cada dispositivo. Por lo general, se utilizan variables de metadatos para el nombre
del dispositivo, la IP de la interfaz o la puerta de enlace.
También editará la plantilla SDWAN para configurar reglas SDWAN y definir criterios SLA, crear paquetes de políticas para sus
dispositivos de sucursal y concentrador y luego instalar cambios en el dispositivo con el asistente de instalación.
Más adelante, podrá volver a la plantilla de superposición SDWAN para editar y modificar la configuración y agregar nuevos dispositivos
de sucursal.
NO REIMPRIMIR
© FORTINET
La plantilla de superposición SDWAN lo guía a través de la creación de plantillas de túnel SDWAN, BGP e IPsec en un proceso combinado.
Si necesita orientación solo para algunas tareas, puede utilizar las plantillas recomendadas por Fortinet. Están disponibles para IPsec y BGP.
Para utilizar una plantilla recomendada, seleccione la plantilla deseada y actívela. Crea una copia personalizada y, mediante un asistente,
te guía a través de la configuración.
NO REIMPRIMIR
© FORTINET
Los planos de dispositivos pueden simplificar nuevas implementaciones que utilizan varios dispositivos del mismo tipo y con
configuraciones similares. Le permiten predefinir varios parámetros por modelo de dispositivo FortiGate, como la versión de firmware, las
plantillas asignadas o el paquete de políticas.
Tenga en cuenta que si decide asignar los dispositivos a un grupo, heredarán todas las plantillas asociadas a ese grupo de dispositivos.
Por lo tanto, para evitar el riesgo de instrucciones de configuración contradictorias, debe asignar plantillas de
aprovisionamiento o agregar dispositivos al grupo para beneficiarse de las plantillas de grupo. No debes hacer ambas cosas en el mismo
plano.
Puede utilizar un plano de dispositivo junto con una importación de archivo CSV para simplificar la tarea de agregar todos los
dispositivos de sucursal a FortiManager.
NO REIMPRIMIR
© FORTINET
Para nuevas implementaciones de SDWAN, debe agregar a FortiManager muchos dispositivos FortiGate similares utilizados en
sucursales. Agregar dispositivos uno por uno sería repetitivo y llevaría mucho tiempo.
Para simplificar este paso, FortiManager proporciona una función de importación de archivos CSV. Debe crear el archivo como valores
separados por comas (CSV) con números de serie de dispositivos, nombres de dispositivos, planos asociados y, para modelos de VM, la cantidad
de interfaces.
La plantilla de superposición SDWAN crea automáticamente una variable de metadatos Branch_id. Si utiliza un archivo CSV para importar
dispositivos de sucursal SDWAN, debe asignar un valor de Branch_id único para cada dispositivo. Además de
esos parámetros requeridos, puede usar un archivo CSV para definir varios parámetros por dispositivo con variables de metadatos.
El archivo CSV debe crearse con encabezados de columna y la lista de valores correspondiente. Las primeras columnas deben ser: sn,
dispositivo_blueprint, nombre y, para máquinas virtuales, vm_interface_number. Los nombres de columnas opcionales adicionales deben
coincidir exactamente con los nombres de las variables de metadatos.
Al importar archivos, FortiManager establece valores de variables de metadatos para cada valor predefinido e ignora las columnas que
coinciden con variables de metadatos ya definidas.
Tenga en cuenta que los modos Agregar dispositivo modelo e Importar dispositivos modelo desde archivo CSV están destinados a nuevas
implementaciones de FortiGate, donde no se debe conservar ninguna configuración preexistente en el dispositivo FortiGate. La configuración
asociada con el modelo de dispositivo sobrescribe la configuración del dispositivo FortiGate como parte del proceso de instalación, después de
que FortiManager autoriza el dispositivo FortiGate.
NO REIMPRIMIR
© FORTINET
Al dominar los objetivos cubiertos en esta lección, aprendió las funciones más útiles disponibles en
FortiManager para implementar SDWAN en redes grandes.
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá en detalle sobre los miembros, las zonas y los SLA de rendimiento.
NO REIMPRIMIR
© FORTINET
En esta lección aprenderá sobre los temas que se muestran en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al comprender los miembros y las zonas de SDWAN, debería poder seleccionar y organizar sus enlaces subyacentes y
superpuestos para un uso eficaz de la WAN.
NO REIMPRIMIR
© FORTINET
Los términos subyacente y superpuesto se utilizan para describir el tipo de enlace de un miembro SDWAN.
Los subyacentes se refieren a los enlaces físicos que puede alquilar o comprar a un ISP, como enlaces de cable, DSL, fibra, MPLS,
3G/4G/LTE y ATM. Estos enlaces son parte de la infraestructura física del ISP que es responsable de entregar paquetes a través
de las redes. El tráfico que viaja a través de capas subyacentes está restringido a las políticas de enrutamiento implementadas
por el ISP y, por lo tanto, las direcciones IP de origen y destino del paquete deben poder enrutarse dentro de la red del ISP. Esta
restricción le deja con opciones limitadas para definir su plan de direccionamiento de red.
Además, el tráfico transmitido a través de capas subyacentes generalmente no está cifrado por la red del ISP, lo que significa que
partes no autorizadas pueden acceder a datos confidenciales si el remitente no los cifra.
Las superposiciones son enlaces virtuales que se crean encima de las superposiciones. Un ejemplo común de superposición es un
túnel IPsec. Debido a que los paquetes originales suelen estar encapsulados en paquetes ESP, las redes que se comunican a
través del túnel IPsec ya no están restringidas a las políticas de enrutamiento del ISP. Además, las funciones de privacidad y autenticación
proporcionadas por IPsec protegen su tráfico del acceso no autorizado.
Esta diapositiva muestra los diferentes enlaces subyacentes y superpuestos admitidos por FortiGate como miembros de SDWAN.
NO REIMPRIMIR
© FORTINET
Cuando configura un miembro SDWAN usando el Administrador de dispositivos o la plantilla de aprovisionamiento SDWAN en FortiManager,
puede configurar los siguientes ajustes:
• Número de secuencia: establece el número de índice de configuración del miembro. Es asignado automáticamente por
FortiManager en orden secuencial, pero el administrador puede cambiarlo. • Miembro de interfaz: escriba el
nombre de la interfaz en el dispositivo para usar como miembro SDWAN, o un
variable de metadatos.
• Zona SDWAN: seleccione la zona en la que colocar al miembro. Un miembro solo puede asignarse a una zona.
• IP de puerta de enlace: indica la dirección de puerta de enlace IPv4 que utilizará el miembro. Establezca la dirección en 0.0.0.0 si la interfaz es DHCP, PPPoE
o IPsec. Esto le indica a FortiGate que utilice automáticamente la puerta de enlace asignada por el ISP. Luego, la puerta de enlace se utiliza para rutas
estáticas y sondas de verificación de estado. Tenga en cuenta que puede asignar una puerta de enlace solo por miembro.
• Costo: Establece el costo del miembro. El costo sirve como desempate en las reglas de SDWAN utilizando el costo más bajo
como estrategia.
• Estado: habilitar o deshabilitar un miembro. Cuando está deshabilitado, el miembro no se utiliza en SDWAN.
• Prioridad: Asigna la prioridad de las rutas estáticas creadas por SDWAN. La configuración de prioridad es útil para priorizar una ruta ECMP
sobre otras rutas ECMP. La prioridad predeterminada es 1 (era 0 en versiones anteriores).
• Fuente: indica la dirección IP de origen del miembro para las sondas de verificación de estado. Si se establece en 0.0.0.0, FortiGate
utiliza la dirección IP principal de la interfaz miembro como fuente. Esta configuración es útil para interfaces IPsec sin dirección IP asignada.
Las configuraciones de puerta de enlace, prioridad y fuente tienen configuraciones equivalentes para IPv6, como se muestra en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Por lo general, debe aplicar un conjunto diferente de políticas según el tipo de enlace de sus miembros SDWAN. Por ejemplo, es
posible que desee habilitar NAT y aplicar políticas de seguridad estrictas al tráfico de Internet enviado a través de enlaces
subyacentes, porque el tráfico sale directamente de los límites del sitio. Por el contrario, es posible que desee desactivar NAT y
aplicar filtrado e inspección básicos al tráfico enviado a través de enlaces superpuestos, porque el sitio remoto es completamente
enrutable y realiza filtrado e inspección adicionales en el tráfico.
Las zonas SDWAN permiten a los administradores agrupar miembros que requieren un conjunto similar de políticas de firewall.
Por lo general, esto significa agrupar capas subyacentes y superpuestas en diferentes zonas SDWAN.
La zona SDWAN virtualwanlink se crea de forma predeterminada y no se puede eliminar. Contiene cualquier miembro de SD
WAN que no esté asignado explícitamente a una zona SDWAN definida por el usuario. Las políticas de firewall definidas para su
tráfico SDWAN deben hacer referencia a las zonas SDWAN y no pueden hacer referencia a miembros SDWAN individuales.
La topología que se muestra en esta diapositiva muestra una sucursal con dos zonas SDWAN configuradas: superpuesta y
subyacente. La zona SDWAN superpuesta está compuesta por túneles IPsec y la zona SDWAN subyacente está compuesta
por un enlace de Internet y un enlace 3G/4G. La sucursal utiliza las superposiciones para acceder a las redes de la sede y las capas
subyacentes para acceder a los servicios en la nube pública. Al dividir los miembros de SDWAN en zonas, puede aplicar el mismo
conjunto de políticas de firewall a una zona en lugar de tener que aplicarlas a sus miembros individuales, lo que reduce la
sobrecarga administrativa y crea una configuración más limpia.
NO REIMPRIMIR
© FORTINET
Cuando configura una zona SDWAN mediante el Administrador de dispositivos o la plantilla de aprovisionamiento SDWAN en
FortiManager, puede configurar los siguientes ajustes:
Tenga en cuenta que cuando crea una zona con la plantilla FortiManager SDWAN, FortiManager crea automáticamente una interfaz
normalizada correspondiente.
Aprenderá más sobre las reglas SDWAN y las estrategias disponibles en otra lección.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra la configuración CLI equivalente para el miembro y la zona SDWAN creados en FortiManager en las diapositivas
anteriores. Aunque este curso se centra en la implementación de SDWAN desde FortiManager, es útil conocer la configuración correspondiente
de SDWAN FortiGate CLI en caso de que desee
aplique la configuración utilizando las plantillas y scripts de FortiManager CLI.
Tenga en cuenta que las configuraciones de puerta de enlace y puerta de enlace6 no están disponibles si la interfaz está configurada como una interfaz IPsec.
Esto se debe a que FortiOS utiliza automáticamente el ID del túnel como puerta de enlace para las interfaces IPsec. A partir de FortiOS 7.0, FortiGate
utiliza ID de túnel para determinar el siguiente salto para el tráfico IPsec. La ID del túnel se puede encontrar en el resultado de la lista de diagnóstico de túneles
vpn. Por lo general, FortiOS utiliza como ID del túnel la dirección IP
configurado como remotogw en la configuración de la fase 1.
Tenga en cuenta también que el resultado que se muestra en esta diapositiva se ha modificado para incluir una combinación de configuraciones con valores
predeterminados y no predeterminados. En FortiGate CLI, puede ejecutar show fullconfiguration system sdwan para mostrar la configuración de SDWAN
con valores predeterminados.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra una configuración de miembros y zonas más elaborada y su correspondiente configuración CLI de FortiOS.
Tenga en cuenta que, de forma predeterminada, la configuración CLI solo muestra configuraciones con valores no predeterminados.
NO REIMPRIMIR
© FORTINET
Además de verificar la configuración de la CLI de FortiOS para SDWAN, también puede ejecutar los comandos que se muestran en esta
diapositiva para verificar la configuración de SDWAN vigente.
diagnostic sys sdwan member muestra la configuración actual de cada miembro. Algunas de las configuraciones que se destacan en
el resultado son el número de índice de configuración, la puerta de enlace y el peso. El número de índice de configuración debe
coincidir con el índice de miembro en miembro de configuración en el sistema de configuración sdwan.
Si el miembro está configurado con detección automática de puerta de enlace (es decir, la puerta de enlace está configurada en 0.0.0.0)
o si el miembro es una interfaz IPsec, el resultado muestra la puerta de enlace detectada por FortiGate. Si el miembro es una interfaz
IPsec, FortiGate utiliza como puerta de enlace su ID de túnel. La ID del túnel se puede encontrar en el resultado de la lista de
diagnóstico de túneles vpn. Por lo general, FortiOS usa como ID de túnel la dirección IP configurada como gw remoto en la configuración
de la fase 1.
La configuración de peso se aplica únicamente al algoritmo de equilibrio de carga basado en volumen, que se puede configurar para la
regla SDWAN implícita. En otra lección aprenderá más sobre los algoritmos de equilibrio de carga disponibles para el tráfico que
coincide con la regla SDWAN implícita.
diagnostic sys sdwan zone muestra las zonas configuradas y sus miembros. Tenga en cuenta que el resultado indica el número
de índice de la interfaz del kernel de un miembro, que debe coincidir con el índice mostrado por la lista de interfaz de diagnóstico
netlink.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al comprender los SLA de rendimiento, debería poder configurar una verificación de estado y un rendimiento adecuados.
monitoreo para sus miembros SDWAN. La verificación del estado y el rendimiento de los miembros son componentes clave en una
implementación efectiva de SDWAN.
NO REIMPRIMIR
© FORTINET
Puede utilizar acuerdos de nivel de servicio de rendimiento para supervisar el estado y el rendimiento de los miembros.
Aunque configurar SLA de rendimiento es opcional, debe configurarlos para garantizar que los miembros cumplan
con los requisitos de salud y rendimiento para dirigir el tráfico, lo cual es fundamental para el uso eficaz de WAN con SDWAN.
Cuando configura SLA de rendimiento, configura comprobaciones de estado y objetivos de SLA. Los controles de
estado determinan el estado de los miembros (vivos o muertos) y monitorean su desempeño en términos de pérdida de
paquetes, latencia y fluctuación. También puede decidir combinar los tres criterios y determinar lo que se denomina puntuación
de opinión media o MOS. Los objetivos de SLA definen los requisitos mínimos de rendimiento para que los miembros sean
elegibles para dirigir el tráfico. Luego, SDWAN utiliza esta información para tomar decisiones de dirección del tráfico basadas
en las reglas de SDWAN configuradas. Por ejemplo, puede indicarle a FortiGate que dirija el tráfico de Internet a un miembro
activo cuya latencia no exceda un umbral determinado.
Hay varios SLA de rendimiento creados de forma predeterminada que puede utilizar para su configuración. Los SLA
de rendimiento predeterminados miden la salud de los miembros en comparación con servicios de Internet conocidos, como
FortiGuard, Google Search y Amazon AWS. Alternativamente, puede crear su propia entrada y elegir si desea monitorear al
miembro de forma activa o pasiva. En el monitoreo activo, la salud del miembro se verifica enviando periódicamente sondas
desde el miembro a uno o dos servidores que actúan como balizas. En el monitoreo pasivo, la salud de un miembro se
determina en función del tráfico que pasa por él.
El ejemplo de esta diapositiva muestra un SLA de rendimiento definido por el usuario llamado Level3_DNS, que monitorea el
estado y el rendimiento de los miembros enviando pings a los conocidos servidores DNS 4.2.2.1 y 4.2.2.2.
NO REIMPRIMIR
© FORTINET
La página de configuración de FortiManager Performance SLA se puede dividir en las siguientes secciones:
• Verificación de salud: Dividido en dos partes, aquí es donde configura cómo se realiza la verificación de salud de los miembros, a qué
miembros se aplica y los criterios para miembros vivos y muertos.
• Objetivos de SLA: definir los requisitos de rendimiento de los miembros activos para que puedan ser elegibles para el tráfico.
direccion. Los objetivos de SLA se utilizan en algunas estrategias de reglas SDWAN, como el costo más bajo o Maximizar el ancho de banda.
• Acciones de cambio de estado miembro: Cuando hay un cambio en el estado de un miembro (vivo o muerto), puedes
Indique a FortiGate que actualice las rutas estáticas que coincidan con la puerta de enlace utilizada por el miembro. Tú también puedes
Indique a FortiGate que desactive o active una o más interfaces de alerta según el estado de todos los miembros.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra la configuración CLI de FortiOS equivalente a la configuración de ejemplo de FortiManager que se muestra en la
diapositiva anterior. Tenga en cuenta que el SLA de rendimiento se denomina verificación de estado en las configuraciones CLI.
Tenga en cuenta también que se hace referencia a los miembros utilizando su número de índice de configuración y no sus nombres. Lo mismo
se hace para la mayoría de las configuraciones y diagnósticos de SDWAN. Por este motivo, es muy útil identificar los números de
índice de configuración de sus miembros para solucionar problemas.
NO REIMPRIMIR
© FORTINET
• Versión IP: seleccione la versión IP que se utilizará para las sondas. Se admiten tanto IPv4 como IPv6.
• Modo de sonda: FortiGate puede monitorear a los miembros de forma activa, pasiva, usando una combinación de ambos (Preferiblemente Pasivo)
o usando información recibida desde un dispositivo remoto. En modo Activo, FortiGate envía sondas periódicas a través del miembro para
monitorear su salud y rendimiento. En modo pasivo, FortiGate monitorea el tráfico de red real que fluye a través del miembro para
determinar su rendimiento. En el modo Preferir pasivo, FortiGate usa primero el modo pasivo y luego cambia al modo activo si el
miembro ha estado inactivo durante tres minutos. Con el modo Remoto, FortiGate utiliza la información SLA recibida desde el dispositivo remoto.
Aprenderá más sobre los modos de detección en esta lección.
• Protocolo: seleccione el protocolo que se utilizará para las sondas. Se admiten varios protocolos. Aunque el ping es a menudo
utilizado, en algunos casos, es más conveniente utilizar un protocolo diferente.
• Servidor: si utiliza los modos Activo o Preferido Pasivo, configure hasta dos servidores para enviar las sondas. Es una buena práctica configurar
dos servidores para protegerse contra falsos positivos causados por el error del servidor y no del enlace.
• Participantes: seleccione si desea utilizar la verificación de estado para monitorear a todos los miembros de SDWAN o a algunos específicos.
• Habilitar paquetes de sonda: si usa los modos Activo o Preferido Pasivo, deshabilite o habilite el uso de sondas.
Cuando desactiva las sondas, FortiGate continúa procesando el tráfico SDWAN utilizando las últimas métricas medidas conocidas para los
miembros, pero deja de monitorearlas, lo que significa que FortiGate no detectará nuevos cambios en la calidad de los enlaces. Por este
motivo, debe desactivar las sondas únicamente con fines de resolución de problemas.
NO REIMPRIMIR
© FORTINET
• Intervalo: define la frecuencia con la que se envían las sondas a los servidores de destino configurados. De forma predeterminada, las sondas están
enviado cada 500 ms.
• Fallo antes de inactivo: define el número de sondas fallidas consecutivas que se detectarán antes de que se determine que un miembro está muerto.
De forma predeterminada, un miembro se considera muerto después de cinco sondeos fallidos consecutivos.
• Restaurar enlace después: define el número de sondeos exitosos consecutivos que se detectarán antes de que un miembro
cambia del estado muerto al estado vivo. Inicialmente, todos los miembros se consideran vivos. Si posteriormente se detecta que el miembro está
muerto, de forma predeterminada, vuelve a estar vivo después de cinco sondas exitosas consecutivas.
NO REIMPRIMIR
© FORTINET
Cuando configura un SLA de rendimiento para usar monitoreo activo, FortiGate envía sondas para determinar el
estado del miembro (si está vivo o muerto) y su rendimiento en términos de latencia, pérdida de paquetes y fluctuación.
Los protocolos admitidos por las sondas se pueden dividir en dos grupos: de propósito general y específicos de la aplicación.
Los protocolos del primer grupo se pueden utilizar para medir la calidad de un enlace independientemente del tipo de aplicación que
esté ejecutando el servidor de destino. Los protocolos específicos de la aplicación le permiten obtener resultados de rendimiento más
precisos para aplicaciones y servicios. Por ejemplo, es posible que desee preferir HTTP a ping para medir el rendimiento de un miembro
que se utiliza para dirigir el tráfico web. En este caso, una sonda HTTP proporcionaría resultados más precisos en lugar de un ping, que
podría bloquearse o limitarse a lo largo de la ruta.
Para las sondas IPv4, FortiGate admite los protocolos enumerados en esta diapositiva. Para las sondas IPv6, FortiGate admite los mismos
protocolos que IPv4, excepto TCP echo, HTTP y TwoWay Active Measurement Protocol (TWAMP).
Aprenderá más sobre estos protocolos en esta lección.
Inicialmente, a todos los miembros configurados se les asigna el estado activo y luego FortiGate comienza a enviar sondas en el intervalo
configurado: 500 ms de forma predeterminada. Después de eso, FortiGate marca a un miembro como muerto si el número de sondas
fallidas consecutivas alcanza el umbral de falla (cinco sondas de forma predeterminada). Un miembro muerto se vuelve a determinar vivo
si el número de sondeos exitosos consecutivos alcanza el umbral de restauración (también cinco sondeos de forma predeterminada).
Las sondas también se utilizan para medir el desempeño de los miembros. FortiGate mide la pérdida de paquetes, la latencia y la fluctuación
en función de las solicitudes y respuestas enviadas y recibidas para las sondas. Luego, el rendimiento medido se puede utilizar en reglas
SDWAN para identificar miembros que cumplan con el rendimiento requerido de aplicaciones y servicios.
NO REIMPRIMIR
© FORTINET
Esta diapositiva describe los protocolos de uso general admitidos por SDWAN cuando se utiliza la supervisión activa.
Ping es el protocolo de monitoreo de red más utilizado porque es compatible con prácticamente todos los dispositivos de red.
Cuando usa ping, FortiGate envía solicitudes de eco ICMP a los servidores de destino configurados y espera las respectivas respuestas de eco ICMP.
Debido a que algunos ISP y proveedores de contenido bloquean o limitan el tráfico ICMP en su red, es posible que desees cambiar a eco TCP, eco UDP
o TWAMP.
Cuando utiliza el eco TCP y el eco UDP, FortiGate envía paquetes periódicos a los servidores de destino configurados,
que están escuchando conexiones en el puerto 7 tanto para TCP como para UDP. Al recibir los paquetes, el servidor devuelve una copia idéntica de los datos
que recibió de FortiGate.
Esta diapositiva muestra un ejemplo de configuración de CLI de FortiOS de SLA de rendimiento utilizando ping, eco TCP y UDP.
protocolos de eco. Tenga en cuenta que puede configurar un puerto personalizado para eco TCP y eco UDP, en caso de que no lo haga.
desea utilizar el puerto predeterminado: el puerto 7.
NO REIMPRIMIR
© FORTINET
TWAMP (RFC 5357) es el protocolo más preciso de los cinco. SDWAN utiliza la implementación del lado del cliente de TWAMP.
Hay dos sesiones utilizadas en TWAMP: control y prueba. El primero está acostumbrado a
autenticar los puntos finales y estos últimos intercambiar paquetes utilizados para medir el rendimiento. Tenga en cuenta que si la
autenticación está deshabilitada (está deshabilitada de forma predeterminada), FortiGate solo genera la sesión de prueba. SDWAN utiliza el
puerto 862 como puerto predeterminado para sesiones de control y prueba, pero puede configurar un puerto diferente, como se muestra en
esta diapositiva.
La conexión TCP funciona iniciando conexiones TCP a los servidores de destino mediante un puerto personalizado. Conexión TCP
le permite probar la conectividad de cualquier aplicación TCP que se ejecute en los servidores de destino mediante el monitoreo de
los paquetes intercambiados para la configuración y desconexión de la conexión TCP. Es decir, cuando configura el método de medición
de calidad en medio abierto, FortiGate determina la latencia en función del tiempo de ida y vuelta (RTT) entre el TCP SYN que envía y el
TCP SYNACK que recibe. Si configura el método de medición de calidad en medio cierre, FortiGate determina la latencia en función del
RTT entre el TCP FIN que envía y el TCP FINACK que recibe.
NO REIMPRIMIR
© FORTINET
También puede configurar FortiGate como un servidor TWAMP en su red. Luego puede configurar los SLA de rendimiento que usan TWAMP
para apuntar al dispositivo FortiGate que actúa como servidor TWAMP.
Esta diapositiva muestra un ejemplo de configuración CLI de un servidor FortiGate TWAMP que tiene la autenticación habilitada.
Para configurar un servidor TWAMP en FortiGate, configure un servicio de respuesta de sonda. Tenga en cuenta que a diferencia del
Mientras que la implementación del lado del cliente se utiliza en los SLA de rendimiento, la implementación del lado del servidor utiliza un puerto predeterminado
diferente para TWAMP: el puerto 8008.
Además, asegúrese de habilitar el acceso de respuesta a sonda en la interfaz que escucha las solicitudes TWAMP.
NO REIMPRIMIR
© FORTINET
SDWAN también admite HTTP, DNS y FTP como protocolos de sonda. Estos protocolos le permiten monitorear el estado y el
rendimiento de los miembros que utilizan servidores web, DNS y FTP como servidores de destino.
Cuando configura HTTP como protocolo, FortiGate envía solicitudes HTTP GET periódicas al servidor de destino y luego espera una
respuesta. Opcionalmente, puede configurar FortiGate para verificar si la respuesta contiene una cadena específica en el contenido
HTML.
Esta diapositiva muestra un ejemplo de configuración CLI de una sonda HTTP para captive.portal.com y el flujo HTTP, tal como lo
decodifica Wireshark, para una captura de paquetes que contiene el GET HTTP de FortiGate resultante y los paquetes de respuesta
del servidor. Tenga en cuenta que FortiGate realiza una búsqueda que distingue entre mayúsculas y minúsculas de la cadena
establecida como httpmatch en el contenido HTML recibido del servidor. También tenga en cuenta que indica la parte de la ruta de la
URL de destino en la configuración httpget , no en la configuración del servidor .
Para que la cadena coincida, debe configurar una cadena que se incluya en la respuesta HTTP del servidor web cuando el servicio
esté disponible y funcione correctamente.
NO REIMPRIMIR
© FORTINET
Cuando configura DNS como protocolo de sonda, FortiGate envía consultas periódicas de registros A de DNS al servidor DNS
configurado. Si no se configura ningún nombre de dominio, FortiGate consulta example.com. En lugar de configurar un servidor DNS
de destino, también puede enviar las consultas a los servidores DNS del sistema utilizados por FortiGate habilitando la opción systemdns .
Después de enviar la consulta de DNS, FortiGate espera la respuesta de DNS y, opcionalmente, verifica si la dirección IP configurada como
dnsmatchip está incluida en la lista de direcciones IP resueltas.
Esta diapositiva muestra un ejemplo de configuración CLI de una sonda DNS que consulta fortinet.com contra el servidor DNS 8.8.8.8 de
Google . FortiGate también verifica que la respuesta DNS incluya 54.186.80.150 en la lista de direcciones IP resueltas.
NO REIMPRIMIR
© FORTINET
Cuando configura FTP como protocolo de sonda, FortiGate se conecta periódicamente al servidor FTP configurado, inicia sesión con las
credenciales configuradas y, opcionalmente, descarga un archivo utilizando una conexión de datos pasiva o activa.
Si no configura un nombre de usuario, FortiGate usa anónimo. Además, si especifica un archivo para descargar, el archivo se recupera
mediante una conexión pasiva de forma predeterminada. Si desea utilizar una conexión activa FTP para descargar el archivo, configure
el modo ftp en el puerto.
Esta diapositiva muestra un ejemplo de una configuración pasiva de FTP. FortiGate inicia sesión en el servidor FTP con el nombre de
usuario test y la contraseña fortinet, y luego descarga el archivo test.txt utilizando una conexión de datos pasiva. Esta diapositiva
también muestra el flujo FTP, tal como lo decodifica Wireshark, para una captura de paquetes de la conexión FTP FortiGate resultante.
NO REIMPRIMIR
© FORTINET
El monitoreo activo requiere que usted configure servidores y protocolos de destino para cada sonda, lo que a veces puede resultar en
configuraciones SDWAN complejas. Además, cuanto más controles de estado activos y miembros configure, más tráfico de monitoreo
se generará en la red.
El monitoreo pasivo simplifica la configuración y reduce el tráfico de la red mediante el uso de un enfoque sin sondas para medir el
desempeño de los miembros. FortiGate mide la pérdida de paquetes, la latencia y la fluctuación según TCP
Tráfico enviado y recibido a través de un miembro. El monitoreo pasivo es un enfoque más preciso que el activo
monitoreo porque mide el rendimiento del miembro en función del tráfico real que pasa a través del miembro, en lugar de medirlo en función
de sondas que pueden no estar relacionadas con la aplicación que desea dirigir de manera efectiva mediante SDWAN. Por ejemplo,
configurar una sonda de ping para monitorear el estado de un miembro que se utiliza para dirigir el tráfico web no proporcionará métricas de
rendimiento más precisas que las obtenidas por
monitorear el tráfico web en sí.
En el monitoreo pasivo, la latencia se calcula en función del RTT de la configuración y desconexión de la conexión TCP, mientras que la
fluctuación y la pérdida de paquetes se calculan en función de la información del encabezado TCP.
Tenga en cuenta que el monitoreo pasivo no detecta miembros muertos. Es decir, los miembros siempre están vivos. Además, tenga en
cuenta que la aceleración de hardware está deshabilitada en el tráfico sujeto a monitoreo pasivo.
Esta diapositiva muestra un ejemplo de configuración CLI para monitoreo pasivo. Tenga en cuenta que, además de configurar la verificación
de estado en modo pasivo (establecer el modo de detección pasivo), también debe habilitar la medición de estado de wan pasiva en
las políticas de firewall que aceptan tráfico para el miembro de monitoreo. Cuando habilita la medición de salud pasivawan en una
política, la descarga automáticaasic se deshabilita automáticamente.
NO REIMPRIMIR
© FORTINET
Cuando utiliza el monitoreo pasivo, obtiene métricas de miembros más precisas porque las métricas se calculan en función del
tráfico real que pasa por los miembros. Sin embargo, si varias aplicaciones utilizan el mismo miembro, las métricas de los miembros son el
resultado de medir el tráfico de varias aplicaciones, incluidas las aplicaciones irrelevantes. Esta falta de granularidad puede afectar
las decisiones de dirección tomadas por FortiGate para las reglas SDWAN configuradas para aplicaciones específicas.
El monitoreo pasivo por aplicación le indica a FortiGate que mida la calidad de los miembros en función del rendimiento de las
aplicaciones seleccionadas en las reglas SDWAN. Para las reglas SDWAN, usted selecciona las aplicaciones eligiendo el servicio
de Internet respectivo o el nombre de la aplicación. Luego, FortiGate diferencia y recopila las métricas para cada servicio y aplicación de
Internet. Si define varias aplicaciones en una regla, FortiGate determina la calidad de los miembros promediando las métricas de todos los
servicios y aplicaciones de Internet configurados en la regla.
La configuración requerida para el monitoreo pasivo por aplicación es la misma que el monitoreo pasivo normal, excepto que debe habilitar
la medición pasiva en una o más reglas SDWAN que coincidan con el tráfico según la aplicación detectada. Este tipo de reglas le
permiten realizar la dirección de aplicaciones y aprenderá más al respecto en otra lección.
Esta diapositiva muestra un ejemplo de configuración CLI para el monitoreo pasivo por aplicación. La configuración
Le indica a FortiGate que mida pasivamente la calidad de los miembros 3 y 4 promediando las métricas medidas para el tráfico de
GoToMeeting y Salesforce que pasa por los miembros 3 y 4.
NO REIMPRIMIR
© FORTINET
Preferiblemente el monitoreo pasivo, FortiGate utiliza el monitoreo pasivo si hay tráfico TCP a través del miembro. Si no se
detecta tráfico TCP durante tres minutos, FortiGate comienza a usar la sonda configurada para monitorear activamente el
estado y el rendimiento del miembro. Si FortiGate detecta posteriormente tráfico TCP a través del miembro, vuelve inmediatamente
al monitoreo pasivo. Tenga en cuenta que los cambios en el estado miembro se detectan solo cuando FortiGate está realizando
un monitoreo activo. También tenga en cuenta que el temporizador de inactividad del tráfico TCP de 3 minutos está codificado y
no se puede cambiar.
Esta diapositiva muestra un ejemplo de configuración CLI para la monitorización pasiva preferida. FortiGate comienza
a hacer ping a 10.1.0.7 solo después de que no se haya visto tráfico TCP a través del miembro durante tres minutos. Al igual
que en el monitoreo pasivo, debe habilitar la medición de estado de wan pasiva en las políticas de firewall que aceptan
tráfico para el miembro de monitoreo. En consecuencia, esto también da como resultado que la descarga automática
se deshabilite automáticamente en las políticas respectivas.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra los menús GUI utilizados para la configuración del monitoreo de SLA de rendimiento pasivo.
Después de seleccionar Pasivo o Preferir pasivo para un SLA de rendimiento, debe activar la medición de estado de wan
pasiva para al menos una política con la zona SDWAN como interfaz de origen o destino. Esta opción deshabilitará
automáticamente la descarga asic automática para la política.
Si desea especificar los servicios utilizados para la medición pasiva, debe activar la medición pasiva.
en la regla SDWAN correspondiente.
NO REIMPRIMIR
© FORTINET
Cuando configura un SLA de rendimiento, opcionalmente puede configurar objetivos de SLA. Los objetivos de SLA definen el
requisitos de desempeño que los miembros vivos deben cumplir para ser elegibles para la dirección del tráfico. Los objetivos de SLA son requeridos
por las reglas SDWAN que utilizan el costo más bajo (SLA) y maximizar el ancho de banda (SLA) como estrategias. Además de verificar que los
miembros estén vivos, estas estrategias también verifican la calidad de los miembros.
El uso de objetivos SLA le permite ajustar las reglas SDWAN para aplicaciones específicas. Por ejemplo, usted puede
desea configurar una regla SDWAN que dirija el tráfico de voz a través de miembros cuya latencia y fluctuación no superen los 300 ms y 30 ms,
respectivamente. De lo contrario, es probable que la calidad de la voz durante las llamadas sea deficiente.
Puede configurar uno o más objetivos de SLA por SLA de rendimiento. Esto le permite tener diferentes requisitos de rendimiento para el
mismo modo de monitoreo y luego configurar la regla SDWAN para usar el objetivo SLA más adecuado para una aplicación determinada. Por
ejemplo, puede monitorear el desempeño de un miembro usando un modo particular (activo, pasivo o preferiblemente pasivo) y luego definir dos
objetivos de SLA, uno con requisitos de rendimiento más estrictos que el otro. Luego puede configurar una regla SDWAN que dirija el
tráfico confidencial para utilizar el objetivo de SLA más estricto y otra regla SDWAN que dirija el tráfico no confidencial para utilizar el
objetivo de SLA más indulgente.
Esta diapositiva muestra un ejemplo de configuración utilizando plantillas SDWAN en FortiManager y las correspondientes
Configuración de CLI en FortiGate.
NO REIMPRIMIR
© FORTINET
La calidad de voz percibida es sensible a múltiples factores, latencia, jitter y pérdida de paquetes, con interacción entre ellos.
El MOS es un método para medir la calidad del enlace mediante una fórmula que tiene en cuenta la latencia, la fluctuación, la
pérdida de paquetes y el códec para producir una puntuación de cero a cinco (0 5). Puede utilizar esta puntuación para dirigir
la voz al enlace más apropiado para la calidad de voz percibida.
Puede definir SLA de rendimiento con criterios MOS mediante comandos CLI como se muestra en esta diapositiva. Puede usar
MOS cuando el servicio es de menor costo (SLA); no es compatible con el modo de servicio Prioridad.
El umbral de MOS indica la puntuación de MOS mínima para que pase el SLA. Se define como un valor decimal de un dígito
entre 1,0 y 5,0, con un valor predeterminado de 3,6.
NO REIMPRIMIR
© FORTINET
Puede utilizar FortiManager y la GUI de FortiGate para ver el estado y el rendimiento de los miembros.
Tanto FortiManager como la GUI de FortiGate indican si el miembro está vivo o muerto. En FortiManager,
los miembros vivos se muestran con un ícono verde y los miembros que no alcanzan al menos un objetivo de SLA se muestran con un ícono
rojo.
Cuando pasa el cursor sobre un miembro, puede ver el desempeño medido de los miembros vivos. Si configuras
Los objetivos de SLA, tanto FortiManager como FortiGate resaltan los miembros que no cumplen con los objetivos de SLA configurados.
En el ejemplo que se muestra en esta diapositiva, el SLA de rendimiento de VPN_PING informa que T_INET_1 no cumple con el objetivo de
SLA configurado para los criterios de latencia. Tenga en cuenta que la configuración objetivo de SLA no se muestra en esta diapositiva.
Desde la vista del mapa, puede filtrar para ver solo dispositivos en buen estado o en mal estado.
NO REIMPRIMIR
© FORTINET
La GUI de FortiGate muestra el estado y el desempeño de los miembros con algunos detalles adicionales.
Como lo hace en FortiManager, verá rápidamente miembros vivos y muertos. La GUI de FortiGate muestra a los miembros vivos
con un ícono de flecha verde hacia arriba y a los miembros muertos con un ícono de flecha roja hacia abajo.
Para un objetivo de SLA incumplido, FortiGate resalta la métrica afectada en rojo.
FortiOS almacena los últimos 10 minutos de métricas de SLA para cada miembro de monitoreo. La GUI de FortiGate muestra el
gráfico del SLA y los criterios de rendimiento seleccionados.
En el ejemplo que se muestra en esta diapositiva, se selecciona el SLA de rendimiento Level3_DNS e informa que el puerto2 está
activo y el puerto1 está inactivo. El gráfico muestra la latencia de ambas interfaces monitoreadas durante los últimos 10 minutos.
NO REIMPRIMIR
© FORTINET
También puede mostrar el estado y el rendimiento de los miembros en la CLI de FortiGate, lo que suele ser más conveniente para
solucionar problemas.
El comando diagnostic sys sdwan healthcheck status muestra la información del estado del miembro según el SLA de rendimiento. El
resultado incluye tanto el estado miembro como el desempeño medido.
Los SLA de rendimiento se basan en el proceso de monitoreo de enlaces de FortiOS (lnkmt) para monitorear el estado y el
rendimiento de los miembros. Por este motivo, puede ejecutar la interfaz de monitor de enlace del sistema de diagnóstico
comando para mostrar información de estado de miembro similar a la que muestra el comando diagnostic sys sdwan healthcheck
status .
En modo pasivo o preferentemente pasivo, el proceso pasivo del monitor de enlace (lnkmt_passive) es responsable de recopilar los
datos y preparar los informes utilizados por el proceso del monitor de enlace para calcular la pérdida de paquetes, la latencia y la
fluctuación. Por este motivo, puede ejecutar el comando diagnostic sys linkmonitorpassive admin list para mostrar los datos pasivos
recopilados.
Esta diapositiva muestra resultados de muestra para los tres comandos analizados en esta diapositiva. Tenga en cuenta que Level3_DNS
El SLA de rendimiento monitorea activamente el puerto1 y el puerto2 , mientras que HQ monitorea T_INET_0 de forma pasiva. También tenga en cuenta que
el puerto 2 está muerto.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Cuando Actualizar ruta estática está habilitado (configuración predeterminada), FortiGate actualiza el estado de las rutas
estáticas que coinciden con la puerta de enlace utilizada por un miembro que cambia su estado (de vivo a muerto, y viceversa).
El objetivo es evitar que el tráfico se dirija a través de un miembro inactivo.
Cuando el miembro está vivo, las rutas estáticas se activan y, por lo tanto, se instalan en la tabla de enrutamiento si se
determinan las mejores rutas hacia el destino. Tenga en cuenta que FortiGate también identifica automáticamente las rutas
estáticas de los miembros configurados con detección automática de puerta de enlace.
El ejemplo de esta diapositiva muestra el estado de tres miembros: puerto1, puerto2 y T_INET_0. Los tres miembros están
activos y, por lo tanto, a las rutas estáticas que coinciden con la puerta de enlace del miembro se les asigna un estado
activo. El resultado es que las rutas estáticas se instalan en la tabla de enrutamiento.
NO REIMPRIMIR
© FORTINET
Si se determina que un miembro está muerto, las rutas estáticas que coinciden con la puerta de enlace del miembro se vuelven inactivas.
El resultado es que las rutas no están instaladas en la tabla de enrutamiento.
El ejemplo de esta diapositiva muestra el puerto2 y T_INET_0 como inactivos. Como resultado, las rutas estáticas que coinciden con las puertas
de enlace utilizadas por el puerto 2 y T_INET_0 se vuelven inactivas. Por este motivo, puede ver las rutas estáticas afectadas únicamente en
la base de datos de la tabla de enrutamiento.
NO REIMPRIMIR
© FORTINET
Cuando habilita las interfaces en cascada y configura una o más interfaces de alerta, ocurrirá uno de los siguientes eventos:
• FortiGate desactiva las interfaces de alerta si todos los miembros están muertos.
• FortiGate muestra las interfaces de alerta, si al menos un miembro está vivo.
Cascade Interfaces es útil para forzar que el tráfico de las redes detrás de las interfaces de alerta se enrute a través de un dispositivo
diferente, si todos los miembros de SDWAN están inactivos, lo que podría significar que FortiGate no puede reenviar el tráfico a la
WAN.
Tenga en cuenta que debe configurar manualmente una o más interfaces de alerta. Debe configurar interfaces de alerta para interfaces
críticas, como sus interfaces LAN, que brindan a los usuarios acceso a la WAN y para las cuales desea que el tráfico WAN se enrute a
través de un dispositivo diferente, si todos los miembros de SDWAN están inactivos. Por ejemplo, si está utilizando enrutamiento dinámico
o Protocolo de redundancia de enrutador virtual (VRRP) en su interfaz LAN, desactivar la interfaz puede desencadenar una conmutación
por error de enrutamiento a una puerta de enlace de respaldo.
Esta diapositiva muestra un ejemplo de la opción Cascade Interfaces habilitada en FortiManager y port5
configurado como interfaz de alerta utilizando la CLI de FortiGate.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra el efecto de las interfaces en cascada según la configuración que se muestra en la diapositiva anterior.
Si hay al menos un miembro activo (puerto1 en el ejemplo), la interfaz de alerta (puerto5) está activa. Sin embargo, si todos los
miembros están muertos, el puerto 5 se desactiva.
NO REIMPRIMIR
© FORTINET
En un diseño de centro y radio, si el centro desconoce el proceso de toma de decisiones de radio, podría enrutar el tráfico a través de un
enlace que sea diferente del enlace de radio preferido. Esto puede provocar un flujo de tráfico asimétrico y la selección de un enlace con mal
rendimiento. Para evitar esto, el dispositivo SDWAN radial puede pasar información de SLA al concentrador con información de SLA integrada
en las sondas ICMP.
Con información SDWAN SLA integrada en las sondas ICMP, el radio comunica el estado del SLA al concentrador, para cada superposición,
directamente a través de las sondas ICMP. El concentrador puede utilizar la información de estado de SLA recibida para aplicar prioridades a
las rutas IKE, dando a las rutas sobre superposiciones que están dentro de los SLA un valor de prioridad más bajo que a las rutas sobre
superposiciones que están fuera de los SLA.
Este método es particularmente útil en combinación con el enrutamiento estático. En el caso del enrutamiento BGP, puede utilizar este método
o un método específico de BGP con el parámetro routemapoutpreferible. Cubriremos esto en otra lección.
Tenga en cuenta que debe utilizar sondas activas y ping de protocolo para informar a los dispositivos remotos sobre el estado del SLA.
NO REIMPRIMIR
© FORTINET
En el radio, activa la transmisión de información de SLA en la sonda ICMP mediante el comando set embedmeasuredhealth enable.
En el concentrador, utiliza el comando set detectmode remoto para indicarle al dispositivo que obtenga información de SLA de las sondas
de SLA recibidas.
Puede utilizar el mecanismo SLA integrado con enrutamiento estático o BGP por topologías superpuestas. Sin embargo, tenga en cuenta
que, para utilizar SLA integrado con BGP, debe utilizar direcciones IP estáticas para los túneles. No es compatible con la opción IKE
modecfg.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra algunas configuraciones avanzadas que quizás desee configurar para los SLA de rendimiento:
• tiempo de espera de la sonda: define el tiempo, en milisegundos, que se debe esperar las respuestas de la sonda antes de que se envíe la respuesta.
considerado perdido. El valor predeterminado es 500.
• probecount: define el número de sondeos más recientes que se utilizarán para calcular la latencia y la fluctuación. De forma predeterminada,
FortiGate utiliza las últimas 30 sondas. Tenga en cuenta que esta configuración no se aplica al cálculo de pérdida de paquetes.
El cálculo de la pérdida de paquetes siempre utiliza las últimas 100 sondas.
• diffservcode: establece la marca de punto de código de servicios diferenciados (DSCP) de 6 bits para las sondas. Esto resulta útil cuando un miembro está
conectado a un enlace que utiliza marcas DSCP para clasificar y priorizar el tráfico. Por ejemplo, algunos enlaces MPLS dan prioridad a los
paquetes con marcas DSCP asignadas para servicios de voz. En este escenario, configurar una sonda DSCP le permite obtener resultados de
rendimiento de miembros más precisos para el tráfico de voz. El valor predeterminado es 000000, lo que significa que no se utiliza ninguna marca.
• Configuración de umbral de advertencia y umbral de alerta : estas configuraciones son utilizadas únicamente por FortiGate.
GUI. Definen los umbrales de advertencia y alerta para pérdida de paquetes, latencia y fluctuación. Si una métrica excede su umbral configurado, la GUI
de FortiGate muestra una notificación visual. En el ejemplo que se muestra en esta diapositiva, la pérdida de paquetes medida alcanzó el 5 % para
el puerto 1 y se informa como una advertencia. La latencia medida para el puerto 2 excede su umbral de alerta configurado (150 ms), razón por la cual
se muestra una notificación crítica en la GUI de FortiGate. El valor predeterminado es 0, lo que significa que no se utiliza ningún umbral. Además de
mostrar el umbral de advertencia y alerta, cuando un valor excede su umbral SLA, se resalta en rojo y en negrita.
NO REIMPRIMIR
© FORTINET
Para SDWAN en una red multiVRF, puede decidir que se realicen comprobaciones de estado por VRF. El radio de origen puede
etiquetar las sondas de verificación de estado con el VRF correcto, cuando transmite a un túnel multiVRF. Luego, el concentrador
reenviará las sondas al servidor de verificación de estado correcto en el VRF especificado.
Puede utilizar las opciones avanzadas de SLA de rendimiento para definir el ID de VRF y la IP de origen utilizadas para reenviar paquetes
de verificación de estado al servidor, como se muestra en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Al dominar los objetivos cubiertos en esta lección, aprendió sobre las interfaces admitidas para SDWAN, los beneficios de colocar miembros
en zonas y las opciones disponibles para monitorear el estado y el rendimiento de los miembros.
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá cómo FortiGate realiza enrutamiento y maneja sesiones para el tráfico SDWAN.
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al comprender los fundamentos del enrutamiento SDWAN, podrá comprender cómo FortiGate realiza el enrutamiento cuando se
trata de SDWAN.
NO REIMPRIMIR
© FORTINET
El enrutamiento es un componente central de SDWAN. Comprender cómo funciona el enrutamiento en SDWAN es esencial para el
diseño y la resolución de problemas. Los siguientes son los principios de enrutamiento clave de SDWAN:
1. Las reglas de SDWAN son rutas de políticas. Al igual que las rutas de políticas habituales, las reglas SDWAN enrutan el tráfico según
múltiples criterios. Es decir, cuando configura una regla SDWAN, el kernel instala una ruta de política correspondiente que refleja las
interfaces de origen, destino, servicio y salida configuradas en la regla SDWAN.
2. Las rutas de políticas regulares tienen prioridad sobre las reglas SDWAN. Por lo tanto, si configura rutas de políticas regulares, debe
asegurarse de que sus criterios de coincidencia sean lo más estrictos posible. De lo contrario, el tráfico que debe ser manejado por
SDWAN podría terminar siendo manejado por rutas de políticas regulares.
3. FortiGate realiza búsquedas de rutas tanto en sesiones nuevas como en sesiones sucias. Una sesión sucia es una sesión que el kernel debe
reevaluar después de que se vea afectada por un enrutamiento, una política de firewall o un cambio de interfaz. FortiGate realiza
búsquedas de rutas tanto para el tráfico original como para el de respuesta. Durante la búsqueda de rutas, FortiGate también verifica las
rutas políticas.
4. De forma predeterminada, FortiGate omite las reglas de SDWAN si la mejor ruta al destino no es miembro de SDWAN. Si la mejor ruta
coincide con un miembro SDWAN, entonces el miembro seleccionado en la regla debe tener una ruta válida al destino; de lo
contrario, FortiGate omite el miembro y verifica el siguiente mejor miembro. Si ninguno de los miembros tiene una ruta válida hacia el
destino, FortiGate omite la regla.
5. La regla SDWAN implícita equivale a la búsqueda FIB estándar. Es decir, si el tráfico no coincide con ninguna de las reglas SDWAN,
entonces FortiGate enruta el tráfico mediante el proceso habitual, que consiste en buscar la mejor ruta en la FIB. Si la mejor ruta
coincide con las rutas ECMP (equal cost multipath), lo que suele ser el caso,
luego, la carga de FortiGate equilibra el tráfico utilizando el algoritmo de equilibrio de carga configurado.
NO REIMPRIMIR
© FORTINET
Cuando configura una regla SDWAN, FortiGate esencialmente aplica una ruta de política en FortiOS. Por esta razón, antes de aprender
cómo funciona el enrutamiento en SDWAN, es conveniente que primero comprendas las políticas de rutas.
Las rutas estáticas son simples y suelen usarse en redes pequeñas. Sin embargo, las rutas de política son más flexibles porque
pueden coincidir con algo más que la dirección IP de destino. Por ejemplo, puede configurar como criterios coincidentes la interfaz
entrante, las subredes de origen y destino, el protocolo y el número de puerto.
Debido a que las rutas políticas regulares tienen prioridad sobre cualquier otra ruta, es una buena práctica limitar los criterios coincidentes
tanto como sea posible. De lo contrario, el tráfico que se espera que sea enrutado mediante reglas SDWAN u otras rutas en la FIB
podría manejarse mediante rutas de políticas regulares.
Esta diapositiva muestra un ejemplo de una ruta de política configurada utilizando la GUI de FortiGate. La ruta de política le indica a
FortiGate que coincida con el tráfico recibido en el puerto 5, proveniente de 10.0.1.0/24 y destinado al host 10.10.10.10. El
tráfico también debe estar destinado al puerto TCP 10444 para que coincida la ruta de la política. Luego, FortiGate reenvía el tráfico
(acción de reenvío de tráfico) al puerto 1 a través de la puerta de enlace 192.2.0.2.
NO REIMPRIMIR
© FORTINET
Cuando un paquete coincide con una ruta política, FortiGate realiza una de dos acciones. O enruta el paquete a la interfaz saliente y la
puerta de enlace configuradas (acción de tráfico reenviado) o deja de verificar las rutas de política.
Detener la acción de enrutamiento de políticas: para que el paquete se enrute según la FIB.
Tenga en cuenta que cuando configura el tráfico de reenvío como acción, la configuración de la dirección de destino, la interfaz saliente y
la dirección de puerta de enlace deben coincidir con una ruta en la FIB. De lo contrario, la ruta de la política se considera inválida y, como
resultado, se omite.
Tenga en cuenta también que las rutas de políticas tienen prioridad sobre las reglas SDWAN y sobre cualquier ruta en la FIB. Es decir, si
un paquete coincide con una ruta de política y la ruta de política tiene una ruta coincidente en la FIB, entonces FortiGate no verifica
ninguna de las reglas SDWAN configuradas ni las rutas en la FIB.
NO REIMPRIMIR
© FORTINET
Una ruta de política con la acción Reenviar tráfico está sujeta a una validación contra la FIB antes de que se reenvíe el paquete. El
objetivo es que FortiGate verifique la dirección de destino configurada, la interfaz saliente y
la configuración de la dirección de la puerta de enlace con las rutas en la FIB, o para identificar la interfaz saliente y la puerta de enlace
que se utilizarán si no se especifican en la configuración de la ruta de la política.
La validación es la siguiente:
•
Si configura la interfaz saliente y la puerta de enlace, FortiGate usa la ruta de política si el FIB contiene una ruta conectada que
coincida con la puerta de enlace configurada y la interfaz saliente. Si es así, FortiGate enruta el paquete utilizando la interfaz saliente
y la puerta de enlace configuradas. De lo contrario, FortiGate se salta la ruta de la política.
•
Si configura solo la interfaz saliente, es decir, la puerta de enlace está configurada en 0.0.0.0, FortiGate usa la ruta de política si el
FIB contiene una ruta (cualquier tipo de ruta) que coincida con el destino configurado y la interfaz saliente. Si es así, FortiGate
enruta el paquete utilizando la interfaz saliente de la ruta política y la puerta de enlace de la ruta coincidente en la FIB. De lo contrario,
FortiGate se salta la ruta de la política.
•
Si configura solo la puerta de enlace, FortiGate usa la ruta de política si el FIB contiene una ruta conectada para la puerta de enlace
configurada. Si es así, FortiGate enruta el paquete utilizando la interfaz de la ruta conectada y la puerta de enlace configurada. De
lo contrario, FortiGate se salta la ruta de la política.
NO REIMPRIMIR
© FORTINET
El diagrama de flujo de esta diapositiva describe el proceso de búsqueda de rutas que realiza FortiGate cuando utiliza rutas de políticas.
Tenga en cuenta que las rutas de políticas pueden ser rutas de políticas normales, rutas de bases de datos de servicios de Internet (ISDB)
o reglas SDWAN.
Primero, FortiGate verifica las rutas de la política. El primer tipo de rutas políticas que se deben verificar son las rutas políticas regulares. Si hay
una coincidencia y la acción es Reenviar tráfico, FortiGate enruta el paquete en consecuencia, siempre que la ruta de la política pase el
proceso de validación FIB. Si la acción es Detener el enrutamiento de políticas, FortiGate continúa para verificar su caché de ruta.
Si el paquete no coincide con ninguna de las rutas de política habituales, FortiGate pasa a verificar primero las rutas ISDB y luego las
reglas SDWAN. Si el paquete no coincide con ninguna de las reglas SDWAN, FortiGate verifica su caché de ruta. Aprenderá más sobre el
proceso de coincidencia de reglas SDWAN en otra lección.
A continuación, FortiGate verifica el FIB, que es la tabla utilizada para realizar el enrutamiento estándar. La FIB puede describirse como
la tabla de enrutamiento desde el punto de vista del kernel y se construye principalmente a partir de rutas en la tabla de enrutamiento,
pero también de entradas específicas del sistema requeridas por FortiOS. Si el paquete no coincide con ninguna de las rutas en el FIB,
FortiGate descarta el paquete y envía un mensaje ICMP de red de destino inalcanzable al remitente.
Esta diapositiva también muestra los comandos CLI de FortiOS que puede usar para mostrar las rutas de política, las entradas de la tabla de
enrutamiento y las entradas FIB.
NO REIMPRIMIR
© FORTINET
FortiOS mantiene una tabla de rutas de políticas que puede ver ejecutando el comando diagnostic firewall proute list .
Hay tres tipos de rutas de políticas que se muestran en la tabla de rutas de políticas: rutas de políticas regulares, rutas ISDB y reglas SDWAN.
Siga estas reglas para identificar cada tipo de ruta de política en la tabla:
• A las rutas de políticas habituales se les asigna un ID no superior a 65535. En el resultado que se muestra en esta diapositiva, la primera
A la entrada se le asigna el ID 1, lo que la convierte en una ruta de política regular.
• A las rutas ISDB y las reglas SDWAN se les asigna un ID superior a 65535. Sin embargo, las entradas de las reglas SDWAN incluyen el campo
vwl_service y las entradas de la ruta ISDB no. El campo vwl_service indica el ID y el nombre de la regla desde la perspectiva de configuración
de SDWAN. En el resultado que se muestra en esta diapositiva, la segunda entrada es una ruta ISDB y la tercera entrada una regla SDWAN.
Tenga en cuenta que, aunque los ID para rutas de políticas regulares están en el rango de 1 a 65535, la cantidad máxima de rutas de políticas
regulares que puede configurar es mucho menor y varía según los modelos. Por ejemplo, puede configurar hasta 512 rutas de políticas
regulares en un dispositivo FortiGate 100F. Para obtener más información sobre los valores máximos admitidos por modelo, consulte la
tabla de valores máximos de FortiOS en docs.fortinet.com. Alternativamente, puede ejecutar el comando print tablesize en la
CLI de FortiGate para obtener los valores máximos para su dispositivo.
NO REIMPRIMIR
© FORTINET
La herramienta de flujo de depuración indica el ID de la ruta de política coincidente, lo que resulta útil para solucionar problemas.
Tenga en cuenta que el ID mostrado corresponde al ID de entrada en la tabla de rutas de políticas.
Puede recopilar el flujo de depuración en la CLI, utilizando los comandos de diagnóstico de flujo de depuración o desde el menú
GUI de FortiGate: Red > Diagnóstico > Flujo de depuración.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al comprender las rutas estáticas para los miembros de SDWAN, podrá configurar rutas estáticas para los miembros según los requisitos
y limitaciones de SDWAN.
NO REIMPRIMIR
© FORTINET
Uno de los principios de enrutamiento clave es que, de forma predeterminada, SDWAN requiere una ruta válida en la FIB para que el
miembro pueda usarse para dirigir el tráfico. Debido a que el objetivo es que SDWAN elija el mejor miembro al que reenviar el tráfico, según
los criterios de la regla SDWAN, es una buena práctica configurar su configuración de enrutamiento para que sus sitios SDWAN
conozcan todas las rutas posibles a todos los posibles destinos que están destinados a ser manejados por SDWAN.
De lo contrario, es posible que SDWAN no pueda elegir al mejor miembro, no porque no cumpla con los requisitos de la aplicación,
sino porque FortiGate no tiene una ruta para el destino y el miembro.
Puede utilizar enrutamiento estático y dinámico en SDWAN. Esta sección se centra en el enrutamiento estático. Cuando configura
rutas estáticas para SDWAN, generalmente hace referencia a una zona SDWAN para simplificar la configuración.
Sin embargo, también puede hacer referencia a miembros individuales, de modo que pueda tener un control más granular sobre
tráfico. Cuando hace referencia a una zona en una ruta estática, FortiGate instala rutas individuales para cada miembro de la zona. Luego,
FortiGate muestra las rutas individuales en la tabla de enrutamiento como rutas de múltiples rutas de igual costo (ECMP).
Tenga en cuenta que cuando configura una ruta estática que hace referencia a una zona SDWAN, no tiene que especificar una
dirección de puerta de enlace porque FortiGate la recupera de la configuración del miembro. También tenga en cuenta que después de usted
configura una interfaz DHCP o PPPoE como miembro, FortiGate elimina las rutas estáticas predeterminadas automáticas para estas
interfaces de la tabla de enrutamiento.
NO REIMPRIMIR
© FORTINET
Puede hacer referencia a una o más zonas cuando configura una ruta estática. Como resultado, FortiOS instala una ruta estática para
cada miembro configurado en la zona en la tabla de enrutamiento. Como las rutas estáticas comparten la misma distancia, se convierten
en rutas ECMP.
Cuando crea una ruta estática para una zona, FortiOS asigna las rutas con una distancia de 1 de forma predeterminada. FortiOS asigna
una distancia tan baja de forma predeterminada porque los administradores generalmente quieren que sus rutas SDWAN tengan
preferencia sobre otras rutas de la FIB. Sin embargo, puede cambiar la distancia a un valor diferente si es necesario.
En el ejemplo que se muestra en esta diapositiva, el puerto1 y el puerto2 son miembros de la zona subyacente y el túnel IPsec T_INET_0
es miembro de la zona superpuesta . El administrador creó una ruta estática predeterminada que hace referencia a ambas zonas. El
resultado es que la tabla de enrutamiento muestra rutas ECMP para cada uno de los tres
miembros.
NO REIMPRIMIR
© FORTINET
El tráfico que no coincide con una regla SDWAN se maneja mediante la regla SDWAN implícita, lo que significa que el tráfico se enruta según el contenido
de FIB. Si configura una ruta estática para una zona, lo que da como resultado rutas ECMP, FortiGate equilibra la carga de las conexiones que no
coinciden con una regla SDWAN pero coinciden con el destino de las rutas ECMP, en todos los miembros de la zona.
En la misma configuración que en la diapositiva anterior, el tráfico de Internet que coincide con la regla implícita tiene una carga equilibrada entre los
enlaces subyacentes y superpuestos. Pero, ¿qué pasa si, en esa configuración, desea que FortiGate prefiera los enlaces subyacentes para el
tráfico de Internet para aprovechar la menor latencia del acceso directo a Internet (DIA)? ¿Y luego usar las superposiciones solo si las superposiciones
están muertas? Puede lograr este comportamiento aumentando la prioridad de las interfaces superpuestas.
De forma predeterminada, la prioridad del miembro se establece en 1. Cuanto mayor sea el número de prioridad, menor será la preferencia del miembro.
En el ejemplo que se muestra en esta diapositiva, a la superposición T_INET_0 se le asigna 10 como prioridad. El resultado es que el tráfico de
Internet que no coincide con las reglas SDWAN tiene una carga equilibrada entre el puerto 1 y el puerto 2. FortiGate usa T_INET_0 para enrutar el
tráfico de Internet solo si tanto el puerto1 como el puerto2 están inactivos.
Tenga en cuenta que la configuración de prioridad de miembro disponible en la configuración SDWAN se aplica solo a rutas estáticas de zona.
La prioridad de las rutas estáticas por miembro está controlada por la configuración de prioridad disponible en la configuración de la ruta
estática.
NO REIMPRIMIR
© FORTINET
Alternativamente, puede configurar rutas estáticas por miembro para un control más granular sobre el tráfico. Sin embargo, a diferencia
de las rutas estáticas para zonas, que recuperan la puerta de enlace miembro de la configuración del miembro, con las rutas estáticas por
miembro, debe especificar una puerta de enlace si el tipo de interfaz lo requiere.
En el ejemplo que se muestra en esta diapositiva, el administrador configuró una ruta estática por miembro para 8.8.8.8
a través del puerto1. Luego, las reglas SDWAN pueden utilizar la ruta para enrutar el tráfico, o la FIB para enrutar el tráfico cuando no
coincide ninguna regla.
NO REIMPRIMIR
© FORTINET
Si configura una ruta estática para un destino que hace referencia a una zona, FortiOS no le permite configurar una ruta estática para el
mismo destino que hace referencia a una interfaz. En SDWAN, estas rutas se conocen como rutas duplicadas. Sin embargo, puede
configurar rutas superpuestas para zonas e interfaces.
En el ejemplo que se muestra en esta diapositiva, el administrador intenta configurar una ruta estática predeterminada para el
puerto1 en FortiManager a nivel de dispositivo. Sin embargo, debido a que ya existe una ruta estática predeterminada configurada para
las zonas subyacente y superpuesta, FortiManager rechaza la segunda configuración de ruta y muestra un mensaje de error. Si se
realiza una configuración similar a nivel de plantilla, FortiManager detecta el conflicto durante la instalación de la configuración del
dispositivo y el registro de instalación informa un error que indica que dicha configuración no está permitida.
Como resultado, la instalación falla.
NO REIMPRIMIR
© FORTINET
Cuando utiliza el monitoreo activo para medir el desempeño de los miembros, FortiGate no usa las entradas en la tabla de enrutamiento
para enrutar las sondas. En cambio, FortiGate agrega una entrada de ruta FIB para los servidores de destino configurados a través de
cada miembro de monitoreo y su puerta de enlace. Estas rutas del kernel están marcadas como proto=18, como se muestra en
esta diapositiva.
Tenga en cuenta que proto=18 no tiene nada que ver con los números de protocolo de Internet asignados. Es un número de protocolo
arbitrario asignado por Fortinet para identificar entradas en la FIB utilizadas para enrutar el tráfico de verificación de estado.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en la comprensión de las opciones BGP específicas de SDWAN, podrá configurar el enrutamiento BGP para
SDWAN en el contexto de topologías de un solo concentrador y de doble concentrador.
NO REIMPRIMIR
© FORTINET
Como se explicó anteriormente, uno de los principios de enrutamiento clave es que, de forma predeterminada, SDWAN requiere una ruta
válida en la FIB para que el miembro pueda usarse para dirigir el tráfico. La ruta válida requerida puede ser estática o dinámica. Puede
combinar el uso de SDWAN y los principales protocolos de enrutamiento dinámico: OSPF y BGP. Fortinet recomienda el
uso de BGP en la superposición, porque permite enrutar y dirigir el tráfico SDWAN en función de los resultados de la verificación de
estado. En las próximas diapositivas, descubrirá cómo utilizar los resultados de la verificación de estado para ajustar el enrutamiento
BGP.
Puede combinar SDWAN con iBGP o eBGP. Esta lección se centra únicamente en lo que es específico de SDWAN.
NO REIMPRIMIR
© FORTINET
En este ejemplo mostrado arriba, un cliente tiene dos conexiones ISP, wan1 y wan2. wan1 se utiliza principalmente
para el acceso directo a aplicaciones de Internet, y wan2 se utiliza principalmente para el tráfico al centro de datos del cliente.
El centro de datos tiene un rango de direcciones IP dinámicas, por lo tanto el administrador no puede configurar reglas SDWAN basadas
en direcciones. Como opción alternativa, el administrador puede utilizar etiquetas BGP.
El ejemplo de CLI muestra cómo un administrador puede usar etiquetas BGP en reglas SDWAN.
En el ejemplo, el vecino BGP wan2 anuncia el rango de red del centro de datos con un número de comunidad.
de 30:5. FortiGate usa este número de comunidad para definir una etiqueta utilizada por la regla SDWAN. La regla SDWAN hará
coincidir el tráfico según los criterios definidos y puede utilizar una ruta FIB subyacente solo si coincide con la etiqueta especificada.
NO REIMPRIMIR
© FORTINET
SDWAN le permite seleccionar diferentes enlaces WAN salientes según los SLA de rendimiento. Cuando un dispositivo selecciona un
enlace para reenviar tráfico, es útil informar a los vecinos BGP sobre esta elección y permitirles ajustar el enrutamiento en consecuencia. Esto
puede limitar el uso de enlaces de mal rendimiento y evitar el enrutamiento asimétrico. Se llama autocuración SDWAN con BGP.
En FortiGate, los anuncios BGP pueden adaptarse al estado SLA de un enlace de las siguientes maneras:
• Aplicar diferentes mapas de ruta basados en las comprobaciones de estado de SDWAN. Por ejemplo, puede anunciar diferentes
Cadenas de comunidad BGP cuando se cumplen o no los SLA.
• Reenviar tráfico basado en el vecino BGP activo.
Utilice los siguientes parámetros BGP para ajustar los mapas de ruta de acuerdo con las comprobaciones de estado de SDWAN: routemap
out y routemapoutpreferible. Cuando se cumplen los SLA, FortiGate anuncia rutas con configuraciones definidas con routemapoutpreferible.
Cuando se omiten los SLA, se configurará el mapa de ruta.
Tenga en cuenta que, debido a que todas las sucursales anuncian las mismas cadenas de comunidad y etiquetas de ruta, solo necesita
configurar un conjunto de reglas de servicio en el centro para todas las sucursales. No se necesitan configuraciones adicionales
cuando nuevas sucursales se unen a la red. Esta característica hace que esta solución sea fácilmente escalable.
NO REIMPRIMIR
© FORTINET
Una topología de doble concentrador le permite configurar un concentrador como activo y el otro como en espera. Los SLA de enlace
determinan qué concentrador utilizar. Para lograr esto, defina un vecino BGP primario y secundario en el dispositivo radial SDWAN.
Los radios dirigen el tráfico al centro principal cuando se cumplen los SLA del enlace. Si no se cumplen los SLA para el dispositivo principal
y los SLA para la unidad secundaria aún están dentro del umbral, el radio ajustará el enrutamiento BGP para dirigir el tráfico a la
unidad secundaria.
Si no configura roles primarios y secundarios para pares BGP de SDWAN, se aplica el modo independiente predeterminado.
FortiGate establece emparejamiento BGP con ambos concentradores sin considerar los SLA de SDWAN.
Si establece roles primarios y secundarios, si ni los vecinos primarios ni los secundarios están activos (SLA faltantes), el estado del
vecino SDWAN se vuelve independiente. Solo las reglas de servicio con acción independiente habilitada seguirán pasando
tráfico. Esta opción está deshabilitada de forma predeterminada.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra la configuración CLI para el mapeo de rutas según el diagrama que se muestra en la diapositiva anterior.
FortiGate anuncia la ruta a la red local 192.168.20.0/24 con una comunidad diferente según el estado del SLA.
Primero, define la lista de acceso al enrutador net192 para el prefijo 192.168.20.0/24 (no se muestra).
A continuación, defina el siguiente mapeo de ruta: • Utilice
la comunidad 20:1 para el mapa de ruta preferido del vecino principal (comm1) • Utilice la comunidad
20:2 para el mapa de ruta preferido del vecino secundario (comm2)
• Utilice la comunidad 20:5 si no se cumple ningún SLA (comm5)
Para la configuración de vecinos BGP, utilice dos mapas de ruta: routemapoutpreferible para definir el mapeo cuando se cumple el SLA
y routemapout para el mapeo cuando falla el SLA.
En la sección de configuración de SDWAN, puede definir la función del vecino BGP (primario, secundario, independiente) y la verificación de
estado para determinar la función del dispositivo y la asignación que se utilizará. Si no establece una función (predeterminado =
independiente), el vecino BGP está activo independientemente del estado del SLA, pero se utilizan diferentes mapas de ruta: rutamapaout
preferible (comm1 o comm2) si se cumple el SLA y ruta mapa (comm5) si se omite el SLA.
NO REIMPRIMIR
© FORTINET
Después de configurar los roles primario y secundario, puede definir las reglas SDWAN para cada escenario.
Luego, puede decidir si cada regla permanece activa o no en caso de volver al modo independiente. De forma predeterminada, las reglas
primaria y secundaria están inactivas cuando no se cumplen los SLA para ambas funciones.
En el ejemplo que se muestra en esta diapositiva, la regla dirige el tráfico cuando el centro secundario está activo. La acción independiente
está habilitada, por lo que la regla seguirá aceptando tráfico cuando no se cumplan los SLA para ambos concentradores.
NO REIMPRIMIR
© FORTINET
Como aprendió en las diapositivas anteriores, cuando el miembro SDWAN alcanza el umbral de SLA, FortiGate aplica el mapa de ruta
definido en la opción preferible de mapa de ruta del vecino BGP . Si el miembro SDWAN no cumple con el SLA, FortiGate aplica el mapa de
ruta definido en la opción de mapa de ruta del vecino BGP .
¿Qué sucede cuando varios miembros de SDWAN se conectan al mismo vecino BGP?
De forma predeterminada, FortiGate aplica el mapa de ruta preferente solo cuando todos los miembros conectados al vecino BGP cumplen
con los criterios SLA. En algunas situaciones, el administrador puede preferir seguir enviando tráfico al vecino principal incluso si un
enlace no cumple con el SLA, y recurrir al vecino secundario solo cuando la situación empeora.
Usando el parámetro mínimoslameetmembers , puede refinar el comportamiento y definir la cantidad de enlaces que deben fallar el SLA
antes de que el enrutamiento cambie de routemapoutpreferible a routemap
afuera.
Por ejemplo, en la red que se muestra en el diagrama, puede continuar enrutando el tráfico al Hub1 si un túnel, H1_T1 o H1_T2, aún
cumple con el SLA.
Cuando el número mínimo de miembros de slameet se establece en 2, FortiGate anuncia la configuración correspondiente a
Es preferible el mapa de ruta cuando al menos un túnel cumple con el SLA. Un cambio en el mapa de ruta
Ocurre cuando dos o más túneles no cumplen con el SLA.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en la comprensión de las sesiones de FortiOS, podrá identificar campos SDWAN relevantes en una sesión,
los diferentes factores que desencadenan una reevaluación de la sesión y las configuraciones que le permiten cambiar el comportamiento
predeterminado.
NO REIMPRIMIR
© FORTINET
La tabla de sesiones de FortiGate contiene información detallada sobre cada conexión IP que cruza, termina o es iniciada por FortiGate. El
comando obtener el estado de la sesión del sistema muestra el número total de sesiones en el VDOM actual. El comando obtener
lista de sesiones del sistema proporciona un breve resumen de cada sesión. Este comando enumera una sesión por línea e incluye
información como protocolo, dirección IP de origen, dirección IP de destino y puerto. Puede utilizar la utilidad grep para filtrar la salida.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un resultado de ejemplo que detalla información particular de una sola entrada de la tabla de sesión. De izquierda
a derecha y de arriba a abajo se resalta la siguiente información:
Utilice el comando CLI diagnostic sys session list para el tráfico IPv4 y el comando diagnostic sys session6 list para el tráfico IPv6.
El resultado de ambos comandos es similar (muestra los mismos campos, en el mismo orden).
NO REIMPRIMIR
© FORTINET
Cuando se trabaja con FortiGate, especialmente con configuraciones SDWAN, es importante comprender el concepto de may_dirty y
sesiones sucias.
Las sesiones May_dirty son sesiones de firewall que se crearon después de hacer coincidir una política de firewall con aceptar como
acción. Para que FortiGate identifique la política coincidente, realiza una búsqueda de políticas de firewall, seleccionando la primera
política coincidente en la configuración de arriba hacia abajo. La mayoría de las sesiones de firewall contienen el indicador may_dirty .
Sin embargo, algunas sesiones, como las sesiones de expectativa, no contienen el indicador may_dirty porque no se crean como resultado
de coincidir con una política de firewall.
Para sesiones nuevas, FortiGate realiza búsquedas de rutas y políticas de firewall al recibir el primer paquete (en la dirección original).
FortiGate también realiza una búsqueda de ruta, pero no una búsqueda de política de firewall, para el primer paquete de respuesta.
Luego, FortiGate guarda la información resultante de la búsqueda de ruta (la interfaz saliente y la puerta de enlace a usar) y la búsqueda
de políticas de firewall (ID de política, traducción de direcciones, inspección, autenticación, registro, etc.) en la sesión.
FortiGate no realiza búsquedas adicionales para la sesión a menos que la sesión esté marcada como sucia.
NO REIMPRIMIR
© FORTINET
De forma predeterminada, FortiGate marca todas las sesiones may_dirty como sucias si hay un cambio de enrutamiento, política de firewall o interfaz.
El FortiGate debe reevaluar cada sesión sucia. Durante la reevaluación, comprueba ambas direcciones de la sesión sucia.
Las sesiones sucias son comunes en SDWAN debido a su naturaleza dinámica. Miembros que están caídos o rindiendo
mal puede cambiar las entradas en la FIB y en la tabla de rutas de políticas, respectivamente. En cualquier caso, el resultado es un cambio de
enrutamiento que puede afectar múltiples sesiones SDWAN.
Después de un cambio de enrutamiento, la información de enrutamiento de las sesiones potencialmente sucias se elimina. El proceso de
reevaluación predeterminado después de un cambio de enrutamiento para sesiones sin NAT de origen (SNAT) es el siguiente:
•
Si la sesión afectada se descarga a la NPU, FortiGate le indica a la NPU que envíe el siguiente paquete desde cada dirección de la sesión a la
CPU. Esto garantiza que la sesión sea manejada por la CPU y, por lo tanto, reevaluada. Si la sesión no se descarga a la NPU, los paquetes
siempre los maneja la CPU y este paso no es necesario.
• En la dirección original, FortiGate realiza búsquedas de ruta y política de firewall para el primer paquete.
• En la dirección de respuesta, FortiGate realiza sólo una búsqueda de ruta para el primer paquete.
• FortiGate actualiza la sesión con la nueva información de enrutamiento y política de firewall, y elimina los archivos sucios.
bandera.
•
Si la acción de la política de firewall coincidente aún se acepta, FortiGate reenvía el paquete.
•
Si la acción de la política de firewall coincidente es denegar, FortiGate marca la sesión como bloqueada, descarta el paquete y retiene
la sesión en la tabla de sesiones hasta que expire. FortiGate también descarta cualquier paquete adicional que coincida con la sesión.
• FortiGate finalmente descarga las sesiones permitidas nuevamente a la NPU, si aún cumplen con la descarga de NPU
requisitos.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra la transición de una sesión ICMP de may_dirty a dirty y luego de regreso a may_dirty, luego de un cambio de ruta.
Tenga en cuenta que solo se muestran las líneas relevantes de la sesión.
Antes del cambio de ruta, la sesión se marca como may_dirty. El resultado de la sesión muestra el número de índice de la interfaz saliente
en uso (19), la información de la puerta de enlace (gwy) y el número de índice de configuración del miembro SDWAN en uso (3).
Después del cambio de ruta, la sesión se marca como sucia. Tenga en cuenta que la bandera may_dirty todavía está ahí y la bandera
sucia acaba de agregarse. La información de la puerta de enlace también se elimina.
Después de la reevaluación, se elimina la bandera sucia y el número de índice de la interfaz saliente y la información de la puerta
de enlace se actualizan en función de la nueva ruta. Debido a que la interfaz saliente cambió, el número de índice de configuración
del miembro SDWAN también cambió.
Tenga en cuenta que la política de firewall (policy_id) no cambió. Esto se debe a que la búsqueda de la política de firewall durante la
reevaluación resultó en la misma política de firewall, pero no siempre es así.
NO REIMPRIMIR
© FORTINET
La reevaluación de una sesión sucia después de un cambio de ruta puede resultar en una conmutación por error a otro miembro de SD
WAN. Si los miembros de SDWAN están conectados a diferentes dispositivos, especialmente a un firewall con estado, puede provocar la
interrupción de las sesiones TCP.
Para evitar un cambio de ruta, cuando la ruta actual todavía está disponible pero ya no es la mejor ruta, puede habilitar el comando a nivel de
interfaz que se muestra en esta diapositiva. Obliga a la sesión a permanecer en el mismo miembro SDWAN, siempre que la ruta utilizada
por la sesión todavía esté presente en la FIB.
Sin embargo, si la ruta se elimina de la FIB, entonces FortiGate debe marcar la sesión como sucia, borrar la información de su puerta de
enlace y reevaluar la sesión.
En la topología que se muestra en esta diapositiva, si FortiGate establece la sesión a través del puerto1, pero debido a cambios en el SLA, la mejor
ruta ahora es a través del puerto2, el comportamiento es el siguiente:
• Al desactivar la ruta de sesión , FortiGate reevalúa la sesión y redirige el tráfico a través del puerto 2. Hub2 descarta cualquier sesión TCP ya
establecida.
• Con la habilitación de preservarsessionroute , FortiGate no reevalúa la sesión y la sesión permanece establecida a través del puerto1 y hub1.
Las sesiones TCP activas no cambian. FortiGate enruta nuevas sesiones a través del puerto 2.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra los detalles de una sesión ICMP establecida a través de una interfaz (T_INET_0) que tiene habilitada la
configuración preservarsesiónruta . Tenga en cuenta que solo se muestran las líneas relevantes de la sesión.
Tenga en cuenta también la presencia del indicador route_preserve en la sesión. Puede averiguar el nombre de la interfaz y el nombre del
miembro SDWAN utilizando los comandos diagnostic netlink interface list y diagnostic sys sdwan member , respectivamente.
NO REIMPRIMIR
© FORTINET
De forma predeterminada, las sesiones SNAT no se marcan como sucias luego de un cambio de enrutamiento que afecta la sesión.
Esto es cierto si la ruta en uso todavía está en la FIB. Sin embargo, si la ruta se elimina de la FIB, FortiGate marca la sesión como sucia,
vacía la interfaz saliente y la información de la puerta de enlace y luego vuelve a evaluar la sesión en el siguiente paquete recibido.
Para forzar la reevaluación de sesiones SNAT después de un cambio de ruta relacionado, independientemente de si la ruta en uso
todavía está en la FIB o no, habilite la configuración snatroutechange , como se muestra en esta diapositiva.
Tenga en cuenta que durante la reevaluación de las sesiones SNAT, si la nueva ruta y la búsqueda de políticas de firewall dan como
resultado un cambio de la IP SNAT, FortiGate descarta el paquete y borra la sesión. Esto significa que la aplicación afectada
podría tener que iniciar una nueva conexión para reanudar la conectividad de la red, especialmente si la aplicación está basada en TCP.
Esta diapositiva muestra el resultado del flujo de depuración para una sesión SNAT durante la reevaluación. Debido a que la IP SNAT de
la nueva ruta (192.2.0.9) es diferente de la IP SNAT de la ruta actual (192.2.0.1), FortiGate descarta el paquete y borra la sesión. Esto
también significa que, desde el punto de vista de la conectividad, tiene sentido habilitar snatroutechange solo cuando la nueva ruta
para la sesión utiliza la misma IP SNAT, lo que se puede lograr mediante grupos de IP.
NO REIMPRIMIR
© FORTINET
Las sesiones sucias también son el resultado de un cambio en la interfaz del tráfico de respuesta. Este cambio se ve a menudo en SDWAN
porque un sitio puede cambiar a un enlace de mejor rendimiento en cualquier momento, lo que podría resultar en un cambio en la interfaz
de tráfico de respuesta para una sesión. De forma predeterminada, la CPU del sistema maneja sesiones sucias que se activan mediante
cambios en la interfaz de respuesta. Por lo tanto, en este caso no se utiliza la descarga de hardware. Por esta razón, una gran cantidad de
tráfico manejado por estas sesiones sucias puede resultar en una alta utilización de la CPU y un rendimiento deficiente.
Además, de forma predeterminada, al realizar búsquedas de rutas para la dirección de respuesta, FortiGate considera solo rutas a través
de la misma interfaz de ingreso utilizada en la dirección original. Esto se hace para preservar la simetría de la sesión.
Sin embargo, esto también evita que el tráfico de respuesta cambie a un miembro con mejor rendimiento, lo que puede afectar a
algunas aplicaciones sensibles como voz y vídeo.
Las sesiones auxiliares resuelven los dos problemas anteriores al permitir que FortiGate:
1. Descargue sesiones asimétricas al hardware creando una sesión auxiliar (también conocida como sesión de reflexión). El tráfico
simétrico coincide con la sesión principal y el tráfico asimétrico coincide con la sesión auxiliar. Ambas sesiones se pueden
descargar al hardware. Para las máquinas virtuales FortiGate, aunque la descarga de hardware no
no se aplica, el rendimiento mejora porque FortiGate no tiene que reevaluar el tráfico asimétrico.
2. Seleccione la mejor ruta para el tráfico de respuesta a través de cualquier miembro, no necesariamente la misma interfaz donde
Se recibió el tráfico entrante original.
Esta diapositiva muestra dos dispositivos FortiGate con sesiones auxiliares deshabilitadas y que están conectados a través de dos
enlaces. La PC1 inicia una conexión con la PC2 y FGT1 enruta la conexión a través del puerto 1 porque es el mejor puerto. En FGT2,
el mejor puerto es el puerto 2. Sin embargo, cuando FGT2 realiza una búsqueda de ruta para el tráfico de respuesta, selecciona la ruta
sobre el puerto1 porque el puerto1 es la interfaz entrante en la dirección original. Además, ambos dispositivos FortiGate pueden
descargar la sesión al hardware porque la sesión es simétrica.
NO REIMPRIMIR
© FORTINET
Si habilita sesiones auxiliares en ambos dispositivos FortiGate en la topología anterior, FGT2 ahora puede enrutar el tráfico de respuesta
a través del miembro de mejor rendimiento, que es el puerto2. FGT1 puede continuar descargando el tráfico asimétrico
porque coincide con la sesión auxiliar (o sesión reflejada). Si no habilita sesiones auxiliares en FGT1, FGT1 usa la CPU del sistema
para manejar el tráfico asimétrico.
NO REIMPRIMIR
© FORTINET
Las sesiones auxiliares están deshabilitadas de forma predeterminada. Puede habilitar la función por VDOM ejecutando los comandos
CLI que se muestran en esta diapositiva.
Esta diapositiva también muestra una muestra de flujo de depuración tomada en FGT1 cuando se crea una sesión auxiliar para una conexión
SSH. El flujo de depuración muestra una línea que contiene el mensaje ses auxiliar seguido del número de índice de las interfaces (o
dispositivos) que se utilizan para crear la sesión auxiliar. En este ejemplo, aunque no se muestra en esta diapositiva, la sesión se estableció
inicialmente simétricamente desde el puerto 3 al puerto 1:
números de índice de interfaz 7 y 5, respectivamente. Después de eso, FortiGate recibió un paquete de respuesta en el puerto 2 (la primera
línea del flujo de depuración) que desencadenó la creación de la sesión auxiliar para el puerto 3 al puerto 2.
dirección: números de índice de interfaz 7 y 6, respectivamente.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra la sesión principal y la sesión auxiliar resultantes según el resultado del flujo de depuración que se muestra en
la diapositiva anterior. Tenga en cuenta que solo se muestran las líneas relevantes de la sesión.
Tenga en cuenta también que una sesión auxiliar no es una sesión separada, sino una extensión de la sesión principal utilizada para
tráfico asimétrico. Como resultado, FortiGate puede descargar el tráfico de ambas sesiones al hardware, lo que se traduce en un
mayor rendimiento.
NO REIMPRIMIR
© FORTINET
Las políticas de firewall SDWAN se configuran de la misma manera que las políticas de firewall normales, excepto que, cuando
Al seleccionar una interfaz saliente o entrante, debe hacer referencia a una interfaz normalizada que haga referencia a una zona SD
WAN. Cuando hace referencia a una zona, simplifica la configuración evitando políticas de firewall duplicadas.
Es posible que necesite hacer referencia a un miembro en su política de firewall porque desea aplicar una acción diferente en el tráfico que
fluye a través de ese miembro, como aplicar diferentes perfiles de seguridad y configuraciones de NAT. Como no se puede hacer
referencia a miembros en una política de firewall, una solución alternativa es colocar un solo miembro en una zona separada y luego
hacer referencia a esa zona en la política de firewall.
El ejemplo de esta diapositiva muestra una política de firewall denominada LANtounderlay que hace referencia al subyacente
zona, que contiene el puerto1 y el puerto2 como miembros. Como resultado, el tráfico DIA dirigido a través del puerto1 o el puerto2 se
permitido por FortiGate siempre que coincida con los criterios de la política de firewall y pase la inspección de seguridad configurada
en la política.
NO REIMPRIMIR
© FORTINET
Cuando realiza un cambio en una política de firewall, todas las sesiones existentes con el indicador "maydirty" cambian al estado
"sucio". Luego, FortiGate realiza una búsqueda de políticas de firewall para el primer paquete recibido para cada sesión existente; actualiza la
entrada de la tabla de sesión y restablece el indicador a "maydirty". Luego, procesa los siguientes paquetes según la nueva configuración del
firewall.
Si el firewall maneja una gran cantidad de sesiones, marcar todas las sesiones como sucias y realizar una búsqueda de políticas de firewall
para las sesiones puede resultar en una alta utilización de la CPU. Para evitar esto, puede configurar FortiGate para que marque solo las
sesiones nuevas como sucias configurando firewallsessiondirty en checknew. El resultado es que FortiGate evalúa solo las sesiones nuevas
con la nueva configuración de la política de firewall.
La configuración firewallsessiondirty está disponible en los niveles de política de firewall y VDOM. Está configurado para marcar todo
de forma predeterminada, lo que le indica a FortiGate que marque todas las sesiones como sucias. Para indicarle a FortiGate que siga la
configuración del nivel de política del firewall, debe establecer la configuración del nivel de VDOM en checkpolicyoption. Tenga en cuenta
que la configuración del nivel de política del firewall está disponible solo si la configuración del nivel de VDOM está configurada en checkpolicyoption.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra los detalles de una sesión SSH establecida cuando firewallsessiondirty está configurado en
comprobarnuevo.
Tenga en cuenta la presencia del indicador persistente en la sesión y la ausencia del indicador may_dirty , lo que indica que FortiGate
no realiza una nueva búsqueda de política de firewall si hay un cambio de configuración.
NO REIMPRIMIR
© FORTINET
Puede configurar SDWAN para dirigir sesiones activas a un miembro diferente siguiendo una ruta o cambio de SLA que afecte la sesión.
Si la sesión en cuestión es una sesión TCP, la sesión se cancela en el extremo remoto si el nuevo miembro seleccionado se conecta a un
dispositivo FortiGate diferente debido a su función de inspección de firewall con estado. Las sesiones que se enrutan a través de dos
dispositivos FortiGate diferentes se denominan sesiones FortiGate cruzadas y a menudo se ven en topologías SDWAN como la que se
muestra en esta diapositiva (doble concentrador) o cuando se usa VPN de descubrimiento automático (ADVPN). Aprenderá más sobre
ADVPN en otra lección.
En la topología que se muestra en esta diapositiva, la PC está conectada detrás del radio FortiGate y se comunica mediante TCP con el
servidor, que está detrás de los dos dispositivos concentradores FortiGate. Si el puerto 1 en Spoke es el mejor miembro para dirigir el tráfico
desde la PC al servidor, los paquetes se reenvían al Hub1. Hub1 también crea una sesión para la conexión TCP. Luego, si el puerto2 se
convierte en el mejor miembro mientras la conexión aún está activa, Spoke comienza a reenviar los paquetes al Hub2. Sin embargo, Hub2
descarta los paquetes porque no son el paquete TCP SYN inicial de un protocolo de enlace de tres vías ni coinciden con ninguna de las
sesiones existentes.
Puede resolver el problema anterior habilitando la configuración tcpsession withoutsyn . Cuando habilita tcpsession withoutsyn,
FortiGate acepta sesiones TCP desconocidas cuyo primer paquete no sea TCP SYN, siempre que exista una política de firewall que
permita el tráfico. Para el caso de uso que se describe aquí, habilitar tcpsession withoutsyn en Hub2 daría como resultado que la conexión
permaneciera activa después de que los paquetes se reenviaran a Hub2.
Tenga en cuenta que primero debe habilitar tcpsession withoutsyn en el nivel VDOM en la configuración del sistema y luego permitir la
función para cada política de firewall que la requiera.
NO REIMPRIMIR
© FORTINET
Continuando con la misma topología de concentrador dual, suponga que el administrador habilitó sesión tcp sin sincronización
y que la conexión TCP fue aceptada en Hub2 después del cambio de enrutamiento en Spoke. Suponga también que la conexión sigue activa
y continúa enrutada al puerto 2, y que no han pasado más de 60 minutos desde el cambio de enrutamiento.
Si el puerto1 vuelve a ser el mejor miembro, Spoke comienza a reenviar los paquetes al Hub1. Porque Hub1
todavía tiene una sesión para la conexión TCP en su tabla de sesiones (el temporizador de vencimiento predeterminado para las sesiones
TCP establecidas es 3600 segundos), los paquetes coinciden con la sesión existente pero luego el Hub1 los descarta debido a
números de secuencia no válidos. La razón es que FortiGate también verifica los números de secuencia de los paquetes TCP.
Como resultado, los números de secuencia de los paquetes recibidos por el Hub1 no coinciden con los valores esperados según el último
estado de sesión registrado por el Hub1, lo que ocurrió justo antes del cambio de enrutamiento al Hub2.
Puede resolver el problema anterior desactivando la configuración antirepetición . Cuando desactiva la antirreproducción, FortiGate no
verifica los números de secuencia de los paquetes TCP. Como resultado, Hub1 acepta los paquetes después de que la sesión se enruta
de regreso a Hub1.
Tenga en cuenta que primero debe habilitar la función antirreproducción en el nivel VDOM en la configuración del sistema y luego permitir
la función para cada política de firewall que la requiera.
NO REIMPRIMIR
© FORTINET
Puede habilitar tcpsession withoutsyn y deshabilitar antireproducción usando la CLI de FortiGate, como se muestra en esta
diapositiva. El valor predeterminado para cada configuración es desactivar y activar, respectivamente.
Debe configurar ambas configuraciones en el nivel de política de firewall. Para la configuración tcpsession withoutsyn , primero debe
habilitar la configuración por VDOM.
Continuando con el ejemplo de topología de doble concentrador, el administrador debe habilitar tcpsession withoutsyn y deshabilitar
la función antirreproducción tanto en Hub1 como en Hub2. La razón es que las sesiones TCP activas podrían enrutarse de un lado a
otro entre los concentradores. Además, aunque los cambios de configuración sugeridos deshabilitan la inspección de firewall con estado
para el tráfico TCP en Hub1 y Hub2, esto no debería representar un problema de seguridad porque Spoke aún realiza la inspección
de firewall con estado para el tráfico TCP.
NO REIMPRIMIR
© FORTINET
Al dominar los objetivos cubiertos en esta lección, aprendió sobre el proceso de enrutamiento en SDWAN, la configuración de
rutas estáticas de los miembros, los parámetros BGP para SDWAN y cómo controlar la reevaluación de la sesión causada por
cambios en la ruta, la interfaz o la política de firewall.
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá cómo funcionan las reglas SDWAN según los criterios y la estrategia en uso.
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al comprender las reglas de SDWAN, conocerá los fundamentos de la configuración y el funcionamiento de las reglas de SDWAN.
NO REIMPRIMIR
© FORTINET
Las reglas de SDWAN combinan criterios de coincidencia de tráfico y preferencias de dirección de tráfico. Describen las
opciones del administrador relacionadas con la solución SDWAN y su aspecto definido por software.
Primero define los criterios de la aplicación o el tráfico que debe coincidir. Luego, indica la política de reenvío a seguir para dirigir el
tráfico entre uno o más miembros y zonas, incluida la estrategia a aplicar y las métricas de rendimiento para determinar
los miembros preferidos.
Los miembros preferidos son los miembros más activos según la estrategia utilizada. Luego, FortiGate utiliza los miembros
preferidos, siempre que sean aceptables, para dirigir el tráfico. Para todas las estrategias excepto Maximizar ancho de banda
(SLA), FortiGate siempre elige un solo miembro para dirigir el tráfico.
Las reglas SDWAN se evalúan de la misma manera que las políticas de firewall: de arriba a abajo, utilizando la primera coincidencia.
Sin embargo, a diferencia de las políticas de firewall, las reglas SDWAN se utilizan para dirigir el tráfico y no permitirlo. Es decir,
también debe configurar las políticas de firewall correspondientes para permitir el tráfico dirigido.
Si ninguna de las reglas SDWAN definidas por el usuario coincide, se utiliza la regla implícita. La regla implícita indica a
FortiGate que realice un enrutamiento estándar del tráfico. Dado que las implementaciones de SDWAN suelen tener varias
rutas hacia el mismo destino (es decir, rutas ECMP), el tráfico que coincide con la regla implícita suele tener una carga equilibrada
entre varios miembros de SDWAN.
El ejemplo de esta diapositiva muestra una regla denominada CriticalDIA, que se utiliza para dirigir el tráfico hacia el acceso directo
a Internet (DIA). La regla dirige el tráfico de Microsoft Teams, Salesforce y GoToMeeting al miembro con la latencia más baja, entre
el puerto1 y el puerto2. Tenga en cuenta que en el resultado solo se muestran las partes más importantes de la configuración de reglas.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra el proceso de búsqueda de reglas SDWAN. Las reglas de SDWAN son esencialmente rutas políticas. Al igual que las
rutas de políticas habituales, las reglas SDWAN se verifican de arriba a abajo (primera coincidencia). Para cada regla, FortiGate mantiene una
lista de interfaces salientes (oif) . La lista oif ordena los miembros configurados por preferencia según la estrategia en uso. Los miembros
que ocupan el primer lugar en la lista tienen mayor preferencia a la hora de dirigir el tráfico.
FortiGate inicia el proceso de búsqueda comparando el paquete con los criterios de coincidencia de reglas. Si el paquete no coincide con los
criterios, FortiGate pasa a la siguiente regla, y así sucesivamente, hasta encontrar una coincidencia. Cuando hay una coincidencia, FortiGate
procede de la siguiente manera:
1. Si tanto la configuración predeterminada como la de la puerta de enlace están deshabilitadas (valores predeterminados), FortiGate realiza
una búsqueda FIB para la IP de destino del paquete (dstip). Si la interfaz resuelta para la mejor coincidencia de FIB no es miembro de
SDWAN, entonces FortiGate pasa a la siguiente regla. Este comportamiento sigue el principio de enrutamiento clave: de forma
predeterminada, las reglas de SDWAN se omiten si la mejor ruta al destino no es un miembro de SDWAN.
2. Si la interfaz resuelta es miembro de SDWAN, entonces FortiGate busca uno o más aceptables.
miembros de la lista oif , comenzando por el primer miembro de la lista. Un miembro aceptable es un miembro vivo que tiene una
ruta hacia el destino. Este comportamiento sigue el principio de enrutamiento clave: de forma predeterminada, las reglas SDWAN se omiten
si ninguno de los miembros configurados en la regla tiene una ruta válida al destino.
Si FortiGate encuentra un miembro aceptable, reenvía el paquete a ese miembro (luego se verifica la política del firewall) y finaliza el proceso
de búsqueda de reglas. De lo contrario, FortiGate pasa a la siguiente regla. Si se omiten todas las reglas, FortiGate enruta el paquete
utilizando el enrutamiento estándar, de ahí el principio de enrutamiento clave: la regla SDWAN implícita equivale a la búsqueda FIB estándar.
Tenga en cuenta que cuando las configuraciones predeterminadas y de puerta de enlace están habilitadas, FortiGate no realiza los pasos 1 y 2.
En su lugar, selecciona el mejor miembro o miembros (según el modo de regla en uso) en la lista oif .
NO REIMPRIMIR
© FORTINET
De forma predeterminada, SDWAN se comporta según los dos principios de enrutamiento clave siguientes:
1. Las reglas de SDWAN se omiten si la mejor ruta hacia el destino no es miembro de SDWAN.
2. Las reglas SDWAN se omiten si ninguno de los miembros configurados en la regla tiene una ruta válida al
destino.
Siempre que sea posible, debes preferir el comportamiento predeterminado y configurar una ruta al destino (predeterminada o más específica). Sin
embargo, para algún escenario específico, puede cambiar el comportamiento descrito en 1 habilitando la configuración predeterminada en
una regla SDWAN. Esto le indica a FortiGate que se salte la verificación de la mejor ruta. También puede cambiar el comportamiento descrito
en 2 habilitando la configuración de la puerta de enlace en una regla SDWAN. Esto le indica a FortiGate que omita la búsqueda de FIB y,
en su lugar, use la dirección de puerta de enlace que configuró manualmente en la configuración del miembro SDWAN o que se detectó
automáticamente para DHCP, PPPoE e IPsec.
interfaces.
El ejemplo de esta diapositiva muestra una implementación de acceso remoto a Internet (RIA). El administrador quiere utilizar SDWAN para dirigir
el tráfico destinado al servicio de Internet GoogleDNS mediante RIA y enrutamiento estándar para todo el resto del tráfico de Internet. Las
superposiciones son miembros de SDWAN, la capa subyacente no lo es. Para evitar que el tráfico que no sea DNS de Google se enrute a través
de las superposiciones, el administrador utiliza rutas predeterminadas solo para la superposición. Con defecto
deshabilitado, FortiGate se salta las reglas porque las superposiciones no son la mejor ruta para GoogleDNS. Si luego habilita la configuración
predeterminada , FortiGate ignora la verificación de la mejor ruta y, por lo tanto, evalúa el tráfico DNS de Google según las reglas. Sin
embargo, debido a que las superposiciones no tienen una ruta válida al destino (GoogleDNS), FortiGate omite la regla para GoogleDNS. Para
evitar esto, puede habilitar la configuración de la puerta de enlace para indicarle a FortiGate que omita la búsqueda de FIB y use como puerta
de enlace la configurada o detectada para el miembro.
NO REIMPRIMIR
© FORTINET
Las reglas de SDWAN se actualizan dinámicamente según el estado y el rendimiento del miembro. Esto significa que la lista de
interfaces salientes puede cambiar con el tiempo, por lo que es útil comprobar su estado actual para solucionar
problemas.
La mejor manera de verificar el estado de una regla SDWAN es ejecutando el servicio diagnostic sys sdwan en la CLI de
FortiGate. Como se muestra en esta diapositiva, el resultado indica los criterios coincidentes en uso, el modo de regla y la lista de
interfaces salientes. En esta lección aprenderá más sobre los criterios coincidentes, los modos de reglas y cómo
FortiGate determina los miembros preferidos.
Además, debido a que las reglas SDWAN son esencialmente rutas de políticas, también puede ejecutar el comando diagnostic
firewall proute list para mostrar la configuración de las reglas desde el punto de vista de la ruta de políticas. A las reglas
SDWAN se les asigna un número de identificación alto. El ID que se muestra en la salida del comando diagnostic firewall proute
list es el mismo ID que se muestra en la salida del flujo de depuración cuando un paquete coincide con una regla. El resultado
también incluye la lista de interfaces salientes, excepto que la preferencia de interfaz se ordena de izquierda a derecha, a
diferencia del comando diagnostic sys sdwan service , que ordena las interfaces de arriba a abajo.
Para fines de solución de problemas, el resultado del comando diagnostic firewall proute list también muestra el recuento
de aciertos de la regla y la última vez que se aplicó la regla.
NO REIMPRIMIR
© FORTINET
De forma predeterminada, durante la búsqueda de reglas SDWAN, FortiGate verifica las rutas de los miembros dos veces:
1. Al buscar una regla coincidente: FortiGate omite las reglas SDWAN si la mejor ruta al destino no es miembro de SDWAN.
2. Después de que la regla coincida: FortiGate omite las reglas SDWAN si ninguno de los miembros configurados en la regla
tener una ruta válida hasta el destino.
De 2 se puede deducir que el miembro preferido no tiene por qué ser la mejor ruta hacia el destino. El miembro sólo necesita tener una ruta válida hasta
el destino. Pero, ¿qué sucede si desea que FortiGate considere como candidatos solo a los miembros con la mejor ruta al destino? Entonces podría
controlar la elección del miembro preferido simplemente anunciando una mejor ruta desde el sitio remoto.
El ejemplo de esta diapositiva muestra una topología de doble concentrador y de un solo radio. Incluye una versión simplificada de la regla SDWAN y la
tabla de enrutamiento en el radio. En el comportamiento predeterminado (desempate establecido en cfgorder), FortiGate elige el puerto1 como
miembro preferido porque tiene una prioridad más alta según el orden de configuración. Pero si configura el desempate en fibbestmatch, entonces
FortiGate considera la mejor ruta al destino (10.1.0.7) al elegir el miembro preferido en una regla. Como resultado, FortiGate elige el puerto 2
como el único candidato a miembro preferido porque tiene la más específica (la mejor ruta) hacia el destino. Luego, como el puerto2 es el único candidato,
se convierte en el miembro preferido. Esto se aplica a todas las estrategias. Por ejemplo, en una estrategia de menor costo, FortiGate selecciona al
miembro preferido solo entre los miembros que tienen la mejor ruta al destino.
Esta diapositiva también muestra cómo configurar FortiGate para considerar a los miembros con la mejor ruta como miembros preferidos. Puede
aplicar la configuración a nivel de zona o, para mayor granularidad, a nivel de regla. De forma predeterminada, la configuración de nivel de regla
(desempate) está configurada en zona, lo que le indica a FortiGate que siga la configuración de nivel de zona (serviciosladesempate), que a su vez
está configurada en orden de configuración (cfgorder) por defecto.
NO REIMPRIMIR
© FORTINET
El tráfico de salida local se define como el tráfico iniciado por FortiGate, generalmente con fines de gestión. Por ejemplo, cuando haces ping a un
dispositivo desde FortiGate, eso es tráfico de salida local. Cuando FortiGate se conecta a FortiGuard para descargar las últimas definiciones,
eso también es tráfico de salida local.
De forma predeterminada, el tráfico de salida local utiliza la FIB para determinar la mejor ruta para el destino. Sin embargo, puede configurar
FortiGate para usar reglas SDWAN para el tráfico de salida local. Para eso, debe configurar interfaceselectmethod en sdwan en la función
individual, de modo que la función utilice SDWAN para determinar el mejor miembro al que enrutar el tráfico.
Esta diapositiva muestra un ejemplo de la configuración DNS del sistema que utiliza SDWAN para enrutar consultas DNS del sistema.
Antes de habilitar SDWAN para consultas DNS del sistema, FortiGate usa el puerto 1 porque tiene la mejor ruta para el destino en la FIB
(prioridad de ruta más baja). Después de habilitar SDWAN para consultas DNS del sistema, FortiGate comienza a usar el puerto 2 porque es
el miembro preferido para la regla SDWAN coincidente.
Esta diapositiva también muestra una lista de algunas de las funciones que admiten la configuración del método de selección de interfaz .
Para solucionar problemas, también puede utilizar SDWAN para las herramientas de ping y traceroute de FortiOS.
Tenga en cuenta que cuando habilita SDWAN para el tráfico de salida local, se aplican los mismos principios de enrutamiento SDWAN.
Por ejemplo, para que un miembro sea aceptable, debe tener una ruta en la FIB hasta el destino. En
Además, tenga en cuenta que la dirección de origen de la regla SDWAN debe coincidir con la dirección IP local utilizada por FortiGate para la
conexión de salida local. Por lo general, esto significa configurar la dirección de origen en todas las direcciones para que coincidan
potencialmente con cualquier miembro de SDWAN.
NO REIMPRIMIR
© FORTINET
Si ninguna de las reglas SDWAN definidas por el usuario coincide, se utiliza la regla implícita. Cuando una sesión coincide con
la regla implícita, FortiGate realiza una búsqueda FIB estándar. Debido a que los sitios SDWAN generalmente tienen
múltiples rutas al mismo destino a través de múltiples miembros, esto resulta en la presencia de ECMP
rutas en la FIB. De forma predeterminada, FortiGate equilibra las sesiones que coinciden con las rutas ECMP.
Para equilibrar la carga de las sesiones, FortiGate utiliza el algoritmo configurado en la regla implícita:
• IP de origen: este es el algoritmo predeterminado. FortiGate envía sesiones provenientes de una dirección IP al mismo
miembro. ( basado en IP de origen CLI)
• Sesiones: FortiGate equilibra la carga de las sesiones entre los miembros según el peso del miembro. Lo mas alto
Cuanto mayor sea el peso, más sesiones enviará FortiGate al miembro. (CLI basado en el peso)
• Derrame: FortiGate envía sesiones a la interfaz de la primera ruta ECMP hasta que el ancho de banda de la interfaz alcance el
límite de desbordamiento configurado. Una vez alcanzado el límite de desbordamiento, FortiGate utiliza la interfaz de la siguiente
ruta ECMP. ( basado en el uso de CLI)
• IP de origendestino: FortiGate envía sesiones con el mismo par de direcciones IP de origen y destino al mismo miembro. (CLI basado en
fuentedestip)
• Volumen: FortiGate equilibra la carga de las sesiones entre los miembros según el volumen de la interfaz medido y el peso del miembro.
A diferencia de Sessions, que no considera el tráfico de una interfaz, el Volumen
El algoritmo le indica a FortiGate que rastree el número acumulado de bytes de cada miembro y que los distribuya.
Sesiones basadas en el peso. Cuanto mayor sea el peso, mayor será el volumen objetivo de la interfaz y, como resultado, más tráfico
le enviará FortiGate. (CLI basado en volumen medido)
NO REIMPRIMIR
© FORTINET
Cuando configura el algoritmo de equilibrio de carga de reglas implícitas en Sesiones o Volumen, FortiManager asigna un Peso
predeterminado de 1 a cada miembro. Puede cambiar el peso editando la configuración del miembro, como se muestra en esta diapositiva.
Cuando se utiliza enrutamiento estático con la regla SDWAN implícita, FortiGate usa el peso para calcular el porcentaje de
sesiones o tráfico enviado a cada miembro usando la fórmula que se muestra en esta diapositiva. Por ejemplo, suponga que configura
dos miembros (A y B) y les asigna un peso de 5 y 10, respectivamente.
Si utiliza Sesiones como algoritmo de equilibrio de carga, de 15 sesiones, FortiGate envía 5 al miembro A (es decir, el 33,33 % de las
sesiones) y 10 al miembro B (es decir, el 66,67 % de las sesiones). De manera similar, si usa Volumen como algoritmo de equilibrio
de carga, FortiGate distribuye las sesiones de modo que el miembro A maneje el 33,33% de la cantidad total de tráfico, mientras que B maneja
el resto (66,67%).
También tenga en cuenta que, con el enrutamiento dinámico, cuando utiliza el equilibrio de carga de sesiones o volúmenes, FortiGate
distribuye las sesiones por igual si hay rutas ECMP presentes. Es decir, FortiGate admite la configuración de peso solo para rutas
ECMP estáticas.
Cuando configura el algoritmo de equilibrio de carga en Derrame, también debe ajustar las configuraciones de Derrame de entrada y
Salida de cada miembro. De lo contrario, FortiManager mantiene el valor predeterminado (0), lo que desactiva la verificación de
desbordamiento.
NO REIMPRIMIR
© FORTINET
Es importante comprender la distribución del tráfico esperada con las sesiones, el desbordamiento y el volumen.
algoritmos.
Para las sesiones, el peso asignado a los miembros no se traduce necesariamente en el mismo ancho de banda o volumen
observado en los miembros. La carga de FortiGate equilibra las sesiones entre los miembros según el peso configurado. Debido
a que es probable que el ancho de banda y la vida útil de cada sesión sean diferentes, el ancho de banda y el volumen
resultantes no son proporcionales al peso. Por ejemplo, supongamos que FortiGate envía diez sesiones ICMP a un miembro
y una sesión FTP a otro miembro. A pesar de ser una sesión, es probable que el ancho de banda y el volumen de tráfico
transmitidos a través del miembro utilizado para enrutar la sesión FTP sean mayores que el ancho de banda y el volumen totales
observados en el miembro utilizado para enrutar las diez sesiones ICMP.
Además, para el desbordamiento y el volumen, está bien si el ancho de banda excede los umbrales de desbordamiento
configurados o si la cantidad de tráfico en una interfaz excede el volumen esperado según el peso configurado. La razón es
que, a diferencia de los cambios de SLA en las reglas SDWAN, que marcan las sesiones afectadas como sucias para
forzar una reevaluación, las sesiones enrutadas mediante Spillover y Volumen no se marcan como sucias como resultado de
que se alcancen los umbrales. Es decir, las sesiones permanecen en el mismo miembro hasta que caducan o hasta que
estén sujetas a una búsqueda de ruta forzada provocada por la eliminación de la ruta en uso. Esto significa que FortiGate
generalmente no cambia el enrutamiento de las sesiones existentes distribuidas utilizando algoritmos de derrame y volumen,
incluidas las sesiones de larga duración y gran ancho de banda que generan grandes cantidades de tráfico.
NO REIMPRIMIR
© FORTINET
Si está familiarizado con ECMP, probablemente conozca la configuración del modo v4ecmp disponible en la configuración del
sistema. La configuración v4ecmpmode define el algoritmo que FortiGate utiliza para equilibrar la carga de sesiones que coinciden con
rutas ECMP en VDOM.
Sin embargo, cuando habilita SDWAN en FortiGate, FortiOS oculta la configuración del modo v4ecmp y la reemplaza con la configuración
del modo de equilibrio de carga en el sistema de configuración sdwan. Es decir, después de habilitar SDWAN, ahora controla el algoritmo
VDOM ECMP con la configuración del modo de equilibrio de carga .
Existen algunas diferencias entre las dos configuraciones. La principal diferencia es que el modo de equilibrio de carga
admite el algoritmo de volumen y v4ecmpmode no. Además, las configuraciones relacionadas, como el peso y los umbrales de
desbordamiento, se configuran de manera diferente. Es decir, cuando habilita SDWAN, los umbrales de peso y desbordamiento
se definen en la configuración del miembro de SDWAN. Cuando deshabilita SDWAN, los umbrales de peso y de desbordamiento
se definen en la ruta estática y la configuración de la interfaz, respectivamente.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al comprender los criterios de coincidencia de tráfico de reglas SDWAN admitidos, identificará los mejores criterios a utilizar para hacer
coincidir el tráfico SDWAN en su implementación.
NO REIMPRIMIR
© FORTINET
Puede configurar reglas para que coincidan con el tráfico según los siguientes criterios:
• Dirección IP de origen, interfaz de origen, usuario del firewall y grupo de usuarios del firewall. La opción de interfaz de origen es
disponible en la sección Opciones avanzadas usando la configuración de dispositivo de entrada y negación del dispositivo de entrada .
• Dirección IP de destino, número de puerto de destino, servicio de Internet y etiqueta de ruta BGP
• Solicitud
• protocolo IP
• Tipo de Servicio (ToS)
Las reglas SDWAN ofrecen una gran flexibilidad para la coincidencia de tráfico. Por ejemplo, puede hacer coincidir el tráfico de Netflix
procedente de usuarios autenticados específicos o hacer coincidir el tráfico ICMP (protocolo IP 1) destinado a una dirección en particular.
El ejemplo de esta diapositiva muestra las configuraciones disponibles cuando crea una nueva regla usando FortiManager. Tenga en
cuenta que debe hacer clic en Servicio de Internet para ver las opciones relacionadas con el servicio de Internet y la aplicación. También
tenga en cuenta que se admiten los protocolos IPv4 e IPv6 y que puede seleccionar servicios y aplicaciones de Internet
individuales o grupos de ellos.
NO REIMPRIMIR
© FORTINET
Puede configurar una regla para hacer coincidir el tráfico según el servicio de Internet de destino y la aplicación detectada para el tráfico. El
servicio de Internet de destino se basa en la base de datos de servicios de Internet (ISDB) y la detección de aplicaciones se basa en el
motor IPS y la firma de la base de datos de control de aplicaciones.
FortiGuard mantiene ambas bases de datos y FortiGate periódicamente obtiene una copia actualizada de forma predeterminada.
FortiGuard también publica nuevas versiones del motor IPS, pero con mucha menos frecuencia que las definiciones y las bases de
datos. Cuando se lanza una nueva versión del motor IPS, FortiGate también la descarga automáticamente de forma predeterminada.
El ejemplo de esta diapositiva muestra un subconjunto de servicios y aplicaciones de Internet disponibles para elegir en una regla.
NO REIMPRIMIR
© FORTINET
Para la detección de aplicaciones, puede utilizar aplicaciones de la lista de aplicaciones predefinidas de FortiGuard, crear grupos con
esas aplicaciones o utilizar categorías de aplicaciones. Las categorías de aplicaciones agrupan las aplicaciones por propósito, por
ejemplo, negocios, juegos, redes sociales. También puede combinar grupos de aplicaciones con aplicaciones específicas.
Tenga en cuenta que la Aplicación, el Grupo de Aplicaciones y la Categoría de Aplicación siempre están visibles en el
menú de FortiManager, cuando selecciona Servicio de Internet como destino de la regla.
Si decide configurar reglas SDWAN directamente desde la GUI de FortiGate, debe habilitar la visibilidad de la GUI para la detección de
aplicaciones con los comandos CLI que se muestran en esta diapositiva.
NO REIMPRIMIR
© FORTINET
FortiGuard mantiene ISDB y publica versiones actualizadas con frecuencia. Luego, FortiGate descarga la versión más reciente
automáticamente desde los servidores de FortiGuard.
A cada servicio en ISDB se le asigna una identificación que representa un servicio de Internet conocido, como FortinetFortiGuard,
GoogleICMP, FacebookWeb, etc. Cada ID contiene varias entradas, cada una de las cuales indica un rango de direcciones IP
públicas, protocolo IP y puertos de destino asociados con el servicio.
Las entradas del servicio de Internet se cargan en el kernel. Luego puede hacer referencia a un servicio de Internet en varias partes de
la configuración, como las reglas SDWAN y las políticas de firewall.
Cada servicio de Internet también indica la dirección del tráfico para el que son válidas las entradas. La dirección puede ser origen,
destino o ambos. Para las reglas SDWAN, puede utilizar solo servicios de Internet que sean válidos para la dirección de destino, o
tanto para la dirección de origen como para la de destino. Esto se debe a que SDWAN admite servicios de Internet para hacer coincidir
solo el destino de un paquete.
Puede utilizar el comando diagnostic internetservice idsummary para mostrar un resumen de los servicios de Internet en ISDB.
Agregue el ID del servicio de Internet al final del comando para ver más detalles sobre ese servicio de Internet específico.
NO REIMPRIMIR
© FORTINET
Puede utilizar el comando diagnosticar la identificación del servicio de Internet para mostrar información detallada sobre un servicio
de Internet. El resultado indica los rangos de IP públicas del servicio, así como el protocolo y puerto utilizado para cada rango.
También puede encontrar el servicio de Internet que coincida con una dirección IP, protocolo y puerto determinados utilizando
el comando diagnosticar información del servicio de Internet . Sin embargo, si solo conoce la dirección IP del servicio que desea
buscar, puede ejecutar el comando diagnosticar Internetservice match . Tenga en cuenta que los comandos diagnosticar información
del servicio de Internet y diagnosticar coincidencia del servicio de Internet son comandos globales y, por lo tanto, requieren que
indique el VDOM en el que realizar la búsqueda : raíz en el ejemplo.
NO REIMPRIMIR
© FORTINET
Puede configurar reglas para dirigir el tráfico según la aplicación detectada por FortiGate. Esto se conoce como dirección de
aplicaciones o enrutamiento consciente de las aplicaciones.
La detección de aplicaciones se basa en el motor IPS y las firmas de control de aplicaciones mantenidas por FortiGuard.
De forma predeterminada, FortiGate descarga automáticamente las nuevas versiones del motor IPS y la base de datos de
control de aplicaciones después de que FortiGuard las lanza.
Para que FortiGate detecte aplicaciones y, por lo tanto, para que SDWAN realice la dirección de aplicaciones, debe habilitar el
control de aplicaciones en la política de firewall que permite el tráfico SDWAN. También debe habilitar la inspección SSL completa
si desea detectar aplicaciones que la requieran. Por ejemplo, Facebook_Chat, una aplicación secundaria de Facebook, requiere una
inspección SSL completa, pero su aplicación principal, Facebook, no. Por lo general, FortiGate puede detectar una aplicación TLS
principal, como Facebook, sin una inspección SSL completa, pero la requiere para detectar aplicaciones TLS secundarias como
Facebook_Chat. Esto se debe a que FortiGate debe descifrar el tráfico TLS para identificar la aplicación secundaria.
Puede identificar si una aplicación requiere una inspección SSL completa consultando la página de información de la aplicación
en FortiGuard. Una forma rápida de acceder a la página de información de la aplicación es agregando el ID de la aplicación al final
de www.fortiguard.com/appcontrol/, como se muestra en esta diapositiva.
Esta página también indica la categoría en la que está clasificada la aplicación. Esta es la categoría que utiliza el filtro de
categorías de aplicaciones.
NO REIMPRIMIR
© FORTINET
FortiGate llena dinámicamente el caché de su aplicación aprendiendo del tráfico que fluye a través de él.
Cada vez que FortiGate permite un flujo de tráfico con una política que tiene el control de aplicaciones habilitado, envía el
tráfico al motor IPS para su análisis. Una vez que FortiGate detecta una aplicación, llena el caché de la aplicación con una
entrada de 3 tuplas. La caché consta de una lista de ID de aplicaciones asociadas con direcciones, protocolos y
puertos de destino. Tenga en cuenta que la caché de la aplicación puede contener varias tuplas 3 para que una
aplicación dé cabida a varios servidores que manejan la misma aplicación. Las entradas permanecen en el caché durante 8
horas si no coinciden.
Cuando FortiGate recibe tráfico, si la dirección, el puerto y el protocolo de destino no coinciden con una entrada en el
caché de la aplicación, FortiGate no puede identificar inmediatamente la aplicación. Reenvía el tráfico mediante una regla
SDWAN y una regla de política de firewall que no requieren una coincidencia de aplicación. Al mismo tiempo, el motor IPS
analiza el tráfico para identificar la aplicación. A esto se le llama fase de aprendizaje.
Cuando una tupla de 3 del tráfico entrante coincide con una aplicación en el caché, FortiGate puede dirigir el tráfico de
acuerdo con la aplicación detectada y las reglas SDWAN correspondientes.
NO REIMPRIMIR
© FORTINET
Cuando utiliza SDWAN para la dirección de aplicaciones, FortiGate debe identificar la aplicación en el tráfico antes de que pueda coincidir con la regla
correcta. Esto se llama fase de aprendizaje de aplicaciones. Durante esta fase, FortiGate seguirá reenviando los paquetes con información ya
disponible. Por lo tanto, es posible que los primeros paquetes de una sesión no coincidan con la regla y el miembro esperados.
Cuando llega una nueva sesión, coincide con las reglas SDWAN con la dirección de la aplicación solo si hay una coincidencia de entrada de
caché de 3 tuplas. De lo contrario, coincide con una regla SDWAN, basada en la dirección de destino o la entrada ISDB (regla explícita o
implícita predeterminada). Al mismo tiempo, si la política de firewall que permite el tráfico tiene control de aplicaciones, FortiGate comienza el
análisis de las aplicaciones. Cuando FortiGate detecta una nueva aplicación, actualiza el caché de la aplicación. Esto desencadena una
reevaluación de las sesiones (proceso sucio). Si FortiGate marca la sesión como sucia, la reevalúa y ahora puede coincidir con una regla SDWAN
utilizando la dirección de la aplicación.
Es importante comprender que, durante la fase de aprendizaje, cuando FortiGate aún no ha identificado una aplicación, la sesión puede
coincidir con una regla diferente y, por lo tanto, es posible que no se enrute a través del enlace SDWAN deseado.
Además, tenga en cuenta que el aprendizaje de aplicaciones solo puede ocurrir si las políticas de firewall permiten la detección de aplicaciones. Debe
asegurarse de que la detección de aplicaciones esté habilitada en las políticas que permiten el tráfico durante la fase de aprendizaje.
NO REIMPRIMIR
© FORTINET
Puede ver las entradas de la aplicación detectadas en el caché de la aplicación ISDB ejecutando diagnostic sys sdwan internetserviceappctrllist en la CLI de FortiGate.
Cada entrada en la salida indica el ID de la aplicación, el ID de la aplicación ISDB, la tupla triple y la última vez que se creó la entrada. Tenga en cuenta que FortiGate mantiene
una aplicación por cada 3 tuplas, pero una aplicación puede asociarse con múltiples 3 tuplas. Si se detectan varias aplicaciones para la misma 3tupla, FortiGate
utiliza la aplicación detectada más reciente para la 3tupla.
FortiGate utiliza el ID de la aplicación, el ID de la aplicación ISDB y la tupla triple para coincidir con la regla SDWAN. En el ejemplo que se muestra en esta diapositiva, una entrada
de caché es para una conexión SSH destinada a 10.1.0.7 en el puerto TCP 22. Una conexión que coincide con la entrada de caché también coincide con el ID de regla
SDWAN 2.
Tenga en cuenta que las entradas en la caché de la aplicación ISDB caducan ocho horas después de la última coincidencia detectada.
NO REIMPRIMIR
© FORTINET
FortiGate escribe la información de la aplicación en la sesión SDWAN. El campo de la aplicación indica el ID de la aplicación. Puede buscar el nombre de la aplicación
utilizando el comando obtener estado del nombre de la aplicación , como se muestra en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Cuando utiliza la dirección de aplicaciones, una sesión puede coincidir con una regla y un miembro inesperados cuando la tupla de sesión 3
no tiene una entrada en la caché de la aplicación ISDB, o cuando la tupla de sesión 3 tiene una entrada en la caché de la aplicación ISDB,
pero la aplicación detectada es diferente. En ambos casos, la sesión puede coincidir inicialmente con la regla y el miembro incorrectos.
Considere el ejemplo de esta diapositiva, que muestra algunos paquetes capturados para una sesión SSH sin SNAT.
Los paquetes se envían a diferentes miembros antes y después de que se complete la fase de aprendizaje de la aplicación. El miembro
esperado es T_INET_1, pero los paquetes se enrutan inicialmente a T_INET_0 porque el paquete no coincide con una entrada en la
memoria caché. Una vez que se aprende la aplicación, FortiGate comienza a enrutar los paquetes a T_INET_1
y agrega la tupla 3 al caché. Además, FortiGate enruta nuevas sesiones que coinciden con la misma tupla de 3 en caché a T_INET_1 desde
el inicio de la conexión.
Además, recuerda que aplican condiciones SNAT. Es decir, si una sesión está sujeta a SNAT, entonces, de forma predeterminada,
FortiGate no elimina la información de enrutamiento de la sesión después de que se detecta la aplicación; la sesión no se marca como
sucia. Por ejemplo, si las sesiones SSH que se muestran en esta diapositiva estuvieran sujetas a SNAT, entonces la primera sesión
permanecería enrutada a través de T_INET_0 incluso después de que FortiGate detecte la aplicación, a menos que se modifique el
comportamiento de enrutamiento SNAT predeterminado de FortiOS. Sin embargo, las sesiones posteriores a la misma tupla triple se
enrutarían a T_INET_1.
NO REIMPRIMIR
© FORTINET
La etiqueta de ruta es uno de los criterios que puede utilizar para determinar qué tráfico coincide con una regla SDWAN.
Esta diapositiva muestra los comandos de configuración de FortiGate para hacer coincidir una comunidad en las rutas BGP recibidas, configurar
etiquetas de ruta. Luego puede usar la etiqueta para definir una regla SDWAN.
En FortiGate, el mapa de ruta asigna una etiqueta de ruta de 10 a los prefijos que coinciden con la comunidad indicada en la lista de comunidades
(65000:10). Luego, FortiGate aplica el mapa de ruta en la dirección entrante de dos vecinos, cada uno de ellos comunicándose a través de una
interfaz diferente. Además, la regla SDWAN que dirige el tráfico corporativo (ID 2 en el ejemplo) está configurada para usar como destino los
prefijos que tienen una etiqueta de ruta de 10.
NO REIMPRIMIR
© FORTINET
En un FortiGate con la configuración de la diapositiva anterior, cuando busca los prefijos aprendidos por comunidad, el resultado incluye la
subred 10.1.0.0/24 . El resultado también indica que se asigna una etiqueta de ruta de 10 al prefijo. El resultado es que cuando verifica el
estado de la regla SDWAN, el resultado incluye 10.1.0.0/24 como dirección de etiqueta de ruta.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al comprender las estrategias de reglas SDWAN disponibles, debería poder seleccionar y configurar la mejor opción para
satisfacer sus necesidades.
NO REIMPRIMIR
© FORTINET
La estrategia de una regla define los requisitos para los miembros preferidos y si el tráfico se dirige a uno o más miembros preferidos.
Los miembros preferidos son los mejores miembros de la lista oif (según la estrategia en uso) que cumplen con los requisitos del SLA (si
corresponde). La lista oif ordena los miembros configurados (lista de preferencias de interfaz en FortiManager) por preferencia.
Es decir, aunque los miembros son los mismos, su orden en la lista oif y en la lista de Preferencias de interfaz puede ser diferente. Hay
cuatro estrategias entre las que puede elegir:
• Manual: FortiGate prefiere miembros según el orden de configuración. Las métricas de los miembros no se consideran para las preferencias
de los miembros.
• Mejor calidad: FortiGate prefiere al miembro con mejor desempeño según los criterios de calidad configurados.
• Costo más bajo (SLA): FortiGate prefiere al miembro que cumpla con el objetivo de SLA configurado. Si son múltiples
Los miembros cumplen con el objetivo del SLA, el costo del miembro, seguido del orden de configuración, se utilizan como desempates.
• Maximizar el ancho de banda (SLA): FortiGate prefiere los miembros que cumplan con el objetivo de SLA configurado. Si varios
miembros cumplen con el objetivo del SLA, FortiGate equilibra la carga de las sesiones entre todos los miembros preferidos
utilizando el algoritmo hash configurado (por turnos de forma predeterminada).
Tenga en cuenta que para todas las estrategias, de forma predeterminada, FortiGate debe verificar que el miembro preferido tenga una ruta
válida al destino. Si el miembro no tiene una ruta válida, FortiGate verifica el siguiente miembro en la lista oif , y así sucesivamente hasta
encontrar un miembro aceptable. Además, todas las estrategias, excepto la Manual, consideran las métricas de los miembros para determinar
sus preferencias. Además, Maximizar ancho de banda (SLA) es la única estrategia que admite el equilibrio de carga de tráfico entre
varios miembros. Es decir, cuando se utiliza cualquiera de las otras tres estrategias, el tráfico se dirige a un solo miembro.
NO REIMPRIMIR
© FORTINET
Cuando utiliza la estrategia manual, FortiGate crea la lista oif según el orden de configuración de la lista de preferencias de
interfaz. Para crear la lista oif , FortiGate no considera el rendimiento del miembro, como la fluctuación o la pérdida de paquetes.
Solo considera el orden de configuración de los miembros (también conocido como prioridad de configuración de los miembros) y si
el miembro está vivo o muerto. Si el primer miembro configurado está muerto, el miembro preferido se convierte en el siguiente
miembro vivo de la lista de configuración.
Tenga en cuenta que la estrategia manual no requiere la configuración de SLA de rendimiento. Sin embargo, cuando se configura
una regla de SLA de rendimiento para monitorear miembros, mejora la detección de si un miembro está vivo o muerto, porque un
miembro se considera vivo solo si la verificación de estado puede llegar al menos a un servidor configurado. Sin un control
de estado, los miembros se consideran vivos o muertos según el estado de la interfaz (arriba o abajo).
En el ejemplo que se muestra en esta diapositiva, T_INET_0 y T_INET_1 son los miembros configurados. Sin embargo, aunque
T_INET_0 tiene una latencia mucho mayor que T_INET_1, FortiGate aún prefiere T_INET_0 para dirigir el tráfico porque está activo y
tiene la prioridad de configuración más alta.
No confunda la prioridad de configuración del miembro con la configuración de Prioridad disponible en la configuración del miembro SD
WAN. Este último se utiliza para la prioridad de rutas estáticas para miembros cuando configura rutas estáticas para zonas. El primero
se refiere a la prioridad del miembro según la configuración de la lista de preferencias de interfaz.
Los miembros que se configuran primero en la lista tienen mayor prioridad que los configurados en último lugar. La configuración de
Prioridad se utiliza como desempate para las rutas ECMP cuando coinciden con la regla SDWAN implícita.
NO REIMPRIMIR
© FORTINET
En el ejemplo que se muestra en esta diapositiva, FortiGate detecta que T_INET_0 está muerto y, como resultado, mueve T_INET_1 a la
parte superior de la lista oif asignándole el número de secuencia 1. Además, a T_INET_0 se le asigna la secuencia
número 2 porque los miembros muertos se mueven al final de la lista.
NO REIMPRIMIR
© FORTINET
La estrategia de mejor calidad indica a FortiGate que seleccione como miembro preferido al miembro con la mejor calidad
medida. FortiGate admite múltiples métricas para medir la calidad del enlace. La métrica predeterminada es la latencia.
Para mayor precisión, FortiGate calcula la métrica de calidad en las últimas sondas de verificación de estado (predeterminado
30).
FortiGate determina el miembro con la mejor calidad utilizando tres factores: la prioridad del miembro, la configuración del umbral
de costo del enlace y el valor de la métrica medida para el miembro. Los objetivos de SLA no se consideran.
Además, cuando utiliza la estrategia de mejor calidad, FortiGate utiliza un miembro para dirigir el tráfico. Es decir, no utiliza
equilibrio.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra las métricas entre las que puede elegir para medir la calidad de los miembros en una regla de mejor calidad.
Para latencia, fluctuación y pérdida de paquetes, cuanto menor sea el valor de la métrica, mayor será la preferencia del miembro.
Lo contrario ocurre con el ancho de banda disponible: cuanto más ancho de banda disponible tenga un miembro, mayor será su
preferencia. Tenga en cuenta que FortiGate puede medir el ancho de banda de entrada disponible, el ancho de banda de salida disponible o
la suma de ambos (ancho de banda bidireccional).
Cuando selecciona la métrica Customprofile1, FortiGate utiliza una fórmula basada en el peso para calcular un valor:
llamado índice de calidad del enlace, que representa la calidad del miembro en función de su latencia, fluctuación, pérdida de paquetes y
ancho de banda bidireccional disponible. Cuanto menor sea el índice de calidad del enlace, mayor será la preferencia de los miembros. El
administrador asigna el peso de cada métrica.
NO REIMPRIMIR
© FORTINET
Además del valor de la métrica del miembro, FortiGate también considera la prioridad del miembro y el valor del umbral de
costo del enlace para determinar el miembro preferido en una regla de mejor calidad. Puede identificar el miembro preferido
mirando el resultado del comando de servicio diagnostic sys sdwan . El miembro que se coloca en la parte superior de la lista
es el miembro preferido.
linkcostthreshold le indica a FortiGate que dé una ventaja (o desventaja) a los miembros de mayor prioridad.
La prioridad del miembro se determina a partir del orden de configuración de la interfaz. Los miembros que se configuran primero
tienen mayor prioridad que los configurados en último lugar. La lógica detrás del umbral de costo del enlace es que los
miembros de mayor prioridad deberían tener más preferencia que los miembros de menor prioridad. Por esta razón, para un menor
Para que un miembro prioritario sea considerado mejor que un miembro de mayor prioridad, el miembro de menor prioridad debe
superar la ventaja otorgada al miembro de mayor prioridad.
linkcostthreshold también es útil para evitar cambios frecuentes de SLA causados por ligeras variaciones en la métrica, lo que
a su vez daría como resultado una mayor actividad de la CPU causada por la reevaluación frecuente de la sesión. La configuración
del umbral de costo del enlace se expresa como un porcentaje y su valor predeterminado es 10.
El ejemplo de esta diapositiva muestra el resultado del comando diagnostic sys sdwan service para una regla que utiliza la mejor
calidad (que se muestra en la CLI como prioridad) como estrategia. T_MPLS y T_INET_1 tienen una latencia más baja que
T_INET_0, pero debido a que el umbral de costo del enlace está establecido en 10, T_INET_0 (el miembro de mayor prioridad)
tiene una ventaja del 10 % sobre otros miembros configurados en la regla. La ventaja del 10 % da como resultado una latencia
corregida de 92,615 ms para T_INET_0, lo que la convierte en la latencia más baja entre los miembros. Por este motivo,
T_INET_0 se convierte en el miembro preferido.
NO REIMPRIMIR
© FORTINET
Puede configurar el parámetro linkcostthreshold en la sección de opciones avanzadas de la regla SDWAN en FortiManager o
utilizando un parámetro CLI. Esta diapositiva muestra cómo configurar la configuración usando la CLI de FortiGate.
Si establece el umbral de costo del enlace en 0, FortiGate realiza una comparación métrica estricta. Es decir, no hay ventaja y el
miembro con la mejor métrica pasa a ser el preferido. Si dos o más miembros tienen la misma métrica, FortiGate utiliza la prioridad
del miembro como desempate.
NO REIMPRIMIR
© FORTINET
Si configura la mejor calidad como estrategia, la forma en que FortiGate determina el miembro preferido depende de la métrica en uso. Sin embargo,
para latencia, jitter y perfil personalizado1, el método es el mismo.
Cuando utiliza latencia, jitter o perfil personalizado1 como métrica, FortiGate selecciona como miembro preferido al miembro con la métrica más baja.
Si el umbral de costo del enlace se establece en un valor superior a cero, FortiGate calcula la métrica corregida (CM) para los miembros de
mayor prioridad, lo que tiene en cuenta la ventaja que se les otorga. FortiGate utiliza la fórmula que se muestra en esta diapositiva para calcular
el CM.
Esta diapositiva muestra las reglas que sigue FortiGate al crear la lista oif . No confunda la lista de configuración de Preferencias de interfaz de
una regla con su lista oif . Este último es dinámico y depende del desempeño de los miembros. El primero se refiere al orden de las interfaces
en la configuración. Las reglas son las siguientes:
• Un miembro de mayor prioridad (HPM) tiene ventaja sobre un miembro de menor prioridad (LPM). La ventaja depende del valor umbral del
costo del enlace .
• Un LPM se coloca encima de un HPM cuando su métrica es mejor que la CM del HPM.
• Un LPM se vuelve a colocar debajo de un HPM cuando ocurre cualquiera de las siguientes situaciones:
• La métrica LPM es igual o peor que la CM del miembro de mayor prioridad. Esto permite una recuperación rápida del miembro de mayor
prioridad.
• La métrica LPM es igual o peor que la HPM. Esto da como resultado una recuperación más prolongada del HPM.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de la elección del miembro preferido en una regla de mejor calidad que utiliza Latencia como
métrica. Para las métricas jitter y perfil personalizado 1, se aplica el mismo comportamiento.
La configuración muestra T_INET_0 como el miembro de mayor prioridad. Esta diapositiva también muestra el resultado del
comando de servicio diagnostic sys sdwan tomado en diferentes momentos. Tenga en cuenta que solo se muestran las líneas
relevantes del resultado. El ejemplo muestra cómo un miembro compite con el miembro de mayor prioridad por un puesto en la
lista oif .
Concéntrese en la posición de T_INET_1 en la lista en comparación con T_INET_0. En el primer resultado, T_INET_1 se coloca
debajo de T_INET_0 aunque tiene la latencia real más baja entre los miembros. Esto se debe a que FortiGate calcula una
métrica corregida (CM) para T_INET_0. La latencia corregida para T_INET_0 es 92,46 ms, lo que
lo convierte en la latencia más baja real entre todos los miembros, razón por la cual FortiGate selecciona T_INET_0 como
miembro preferido.
En el segundo resultado, T_INET_1 ahora se convierte en el miembro preferido porque su latencia ahora es menor que la latencia
corregida de T_INET_0. En el tercer resultado, T_INET_1 vuelve a estar por debajo de T_INET_0 porque su latencia es nuevamente
igual o mayor que la latencia corregida de T_INET_0.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra otro ejemplo de la elección del miembro preferido en una regla de mejor calidad que utiliza la
latencia como métrica. La configuración es la misma que la que se muestra en la diapositiva anterior. El ejemplo muestra
cómo los miembros distintos del miembro de mayor prioridad compiten por un puesto en la lista oif .
Concéntrese en la posición de T_MPLS en la lista en comparación con T_INET_1. En el primer resultado, T_MPLS se
coloca debajo de T_INET_1 aunque T_MPLS tiene una latencia más baja. Esto se debe a que FortiGate considera
la latencia corregida (CM) para T_INET_1, que es 110,42 ms e igual o menor que la latencia real de
T_MPLS.
En el segundo resultado, T_MPLS ahora se coloca encima de T_INET_1 porque su latencia ahora es menor que la
latencia corregida de T_INET_1. En el tercer resultado, T_MPLS todavía se coloca encima de T_INET_1 aunque su latencia
ya no es inferior a la latencia corregida de T_INET_1. Esto se debe a que FortiGate no considera la ventaja de mover un
miembro de menor prioridad hacia abajo en la lista de interfaces. Es decir, FortiGate considera sólo la latencia y prioridad
real de los miembros.
En el cuarto resultado, T_MPLS ahora vuelve a estar por debajo de T_INET_1 porque su latencia ahora es igual o
mayor que la latencia real de T_INET_1.
NO REIMPRIMIR
© FORTINET
Cuando utiliza el ancho de banda interior, el ancho de banda exterior o el ancho de banda bibanda como métrica, FortiGate selecciona al miembro con el mayor
ancho de banda disponible como miembro preferido. El ancho de banda disponible depende de la configuración y el uso de la interfaz.
Si establece el umbral de costo del enlace en un valor superior a cero, FortiGate calcula la diferencia de ancho de banda corregida para los miembros de
menor prioridad, lo que tiene en cuenta la ventaja otorgada a los miembros de mayor prioridad y se calcula utilizando la fórmula que se muestra en esta
diapositiva. . La fórmula es un cálculo porcentual básico del ancho de banda disponible del miembro de menor prioridad en función del umbral de
costo del enlace.
configuración.
FortiGate también calcula la diferencia en el ancho de banda disponible entre un miembro de menor prioridad y un miembro de mayor prioridad usando la fórmula
que se muestra en esta diapositiva.
Esta diapositiva también muestra las reglas que sigue FortiGate para crear la lista oif utilizando el ancho de banda como métrica. Las reglas son las siguientes:
• Un miembro de mayor prioridad (HPM) tiene ventaja sobre un miembro de menor prioridad (LPM). La ventaja depende del valor umbral del costo del
enlace .
• Un LPM se coloca encima de un HPM cuando la diferencia de ancho de banda disponible es mayor que el corregido
diferencia de ancho de banda.
• Un LPM se coloca nuevamente debajo de un HPM cuando ocurre cualquiera de las siguientes situaciones:
• La diferencia de ancho de banda disponible es igual o menor que la diferencia de ancho de banda corregida.
Esto permite una recuperación rápida del miembro de mayor prioridad.
• El ancho de banda disponible del LPM es igual o menor que el ancho de banda disponible del HPM.
Esto da como resultado una recuperación más prolongada del HPM.
NO REIMPRIMIR
© FORTINET
Cuando utiliza una métrica de ancho de banda en una regla de mejor calidad, FortiGate debe conocer el ancho de banda máximo de los
miembros para calcular su ancho de banda disponible.
El ancho de banda máximo de un miembro se obtiene a partir de los valores definidos para las configuraciones de interfaz de ancho de
banda ascendente estimado y ancho de banda descendente estimado . Si la configuración no está definida, FortiGate utiliza la velocidad
de la interfaz física real. Por ejemplo, para una interfaz de 100 Mbps con configuraciones de ancho de banda máximo indefinidas, FortiGate
decide usar 100 Mbps para velocidades máximas tanto ascendentes como descendentes. Para la métrica de ancho de banda
bidireccional, FortiGate solo agrega las velocidades ascendentes y descendentes.
Para interfaces VLAN y de túnel con configuraciones de ancho de banda máximo indefinidas, FortiGate decide utilizar los valores de ancho
de banda de las interfaces principales. Por ejemplo, un túnel IPsec vinculado al puerto1 y que tiene una configuración de ancho de banda
máximo indefinida obtiene su ancho de banda máximo de la configuración del puerto1. Si el puerto1 no tiene valores de ancho de banda
máximo definidos, entonces el túnel IPsec utiliza la velocidad física del puerto1.
El ejemplo de esta diapositiva muestra la configuración de ancho de banda máximo en FortiManager y la CLI equivalente.
configuración en FortiGate. Tenga en cuenta que FortiManager muestra la configuración de ancho de banda máximo solo si selecciona
WAN como función de interfaz.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra resultados de muestra para el comando de servicio diagnostic sys sdwan cuando se utiliza outbandwidth y bibandwidth como métricas.
Tenga en cuenta que el valor del ancho de banda que se muestra en la salida se refiere al ancho de banda disponible.
NO REIMPRIMIR
© FORTINET
El ancho de banda disponible que muestra el comando de servicio diagnostic sys sdwan se actualiza cada 10 segundos según el ancho
de banda utilizado y el ancho de banda máximo del miembro.
El ancho de banda utilizado se mide mediante el proceso de monitorización de enlaces (lnkmtd) y puede ver los valores medidos
ejecutando el comando diagnostic sys linkmonitor interface , como se muestra en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de la elección de miembro preferido en una regla de mejor calidad que utiliza Outbandwidth.
como la métrica.
La configuración muestra T_INET_0 como el miembro de mayor prioridad. Esta diapositiva también muestra el resultado del comando de
servicio diagnostic sys sdwan tomado en diferentes momentos. Tenga en cuenta que solo se muestran las líneas relevantes del
resultado. El ejemplo muestra cómo un miembro compite con el miembro de mayor prioridad por un puesto en la lista oif .
Concéntrese en la posición de T_INET_1 en la lista en comparación con T_INET_0. En el primer resultado, T_INET_1 se coloca debajo de
T_INET_0 aunque tiene más ancho de banda disponible. Esto se debe a que FortiGate considera la diferencia de ancho de banda
disponible corregida (CBWD). El CBWD es de 999,9 kbps, mientras que el ABWD es de 899 kbps.
Debido a que ABWD es igual o menor que CBWD, el miembro de mayor prioridad (T_INET_0) se considera mejor.
En el segundo resultado, T_INET_1 ahora se convierte en el miembro preferido porque el ABWD ahora es mayor que el CBWD. En la
tercera salida, T_INET_1 vuelve a estar por debajo de T_INET_0 porque el ABWD es nuevamente igual o menor que el CBWD.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra otro ejemplo de la elección del miembro preferido en una regla de mejor calidad que utiliza el ancho
de banda exterior como métrica. La configuración es la misma que la que se muestra en la diapositiva anterior. El ejemplo muestra
cómo los miembros distintos del miembro de mayor prioridad compiten por un puesto en la lista.
Concéntrese en la posición de T_MPLS en la lista en comparación con T_INET_1. En el primer resultado, T_MPLS se coloca debajo
de T_INET_1 aunque tiene más ancho de banda disponible (ABW). Esto se debe a que FortiGate considera la diferencia de ancho de
banda disponible corregida (CBWD). El CBWD es de 499,9 kbps, mientras que el ABWD es de 400 kbps. Debido a que ABWD es igual
o menor que CBWD, el miembro de mayor prioridad (T_INET_1) se considera mejor.
En el segundo resultado, T_MPLS ahora se coloca encima de T_INET_1 porque el ABWD ahora es más alto que el CBWD. En la tercera
salida, T_MPLS todavía se coloca encima de T_INET_1 aunque el ABWD ya no está
más alto que el CBWD. Esto se debe a que FortiGate no considera el CBWD cuando se mueve como una prioridad más baja.
miembro retroceda en la lista de interfaces. Es decir, FortiGate prefiere al miembro con el mayor ancho de banda disponible.
En el cuarto resultado, T_MPLS ahora vuelve a estar debajo de T_INET_1 porque el ancho de banda disponible ahora es igual o menor
que T_INET_1.
NO REIMPRIMIR
© FORTINET
Cuando utiliza la pérdida de paquetes como métrica, FortiGate selecciona como miembro preferido al miembro con el porcentaje de pérdida de
paquetes más bajo.
Si el umbral de costo del enlace se establece en un valor superior a cero, FortiGate calcula la pérdida de paquetes corregida (CPL) sumando el valor
del umbral de costo del enlace a la pérdida de paquetes del LPM. La CPL tiene en cuenta la ventaja otorgada al miembro de mayor prioridad.
Esta diapositiva también muestra las reglas que sigue FortiGate al crear la lista oif utilizando la pérdida de paquetes como métrica. Las reglas
son las siguientes:
• Un miembro de mayor prioridad (HPM) tiene ventaja sobre un miembro de menor prioridad (LPM). La ventaja depende del valor umbral del
costo del enlace .
• Un LPM se coloca encima de un HPM cuando el CPL es menor que la pérdida de paquetes del HPM.
• Un LPM se vuelve a colocar debajo de un HPM cuando ocurre cualquiera de las siguientes situaciones:
• La CPL es igual o superior a la pérdida de paquetes del miembro de mayor prioridad. Esto permite una recuperación rápida del miembro
de mayor prioridad.
• La pérdida de paquetes del LPM es igual o mayor que la pérdida de paquetes del HPM. Esto da como resultado una recuperación más
prolongada del HPM.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de la elección del miembro preferido en una regla de mejor calidad que utiliza la pérdida de paquetes
como métrica.
La configuración muestra T_INET_0 como el miembro de mayor prioridad. Esta diapositiva también muestra el resultado del comando de
servicio diagnostic sys sdwan tomado en diferentes momentos. Tenga en cuenta que solo se muestran las líneas relevantes del
resultado. El ejemplo muestra cómo un miembro compite con el miembro de mayor prioridad por un puesto en la lista.
Concéntrese en la posición de T_INET_1 en la lista en comparación con T_INET_0. En el primer resultado, T_INET_1 se coloca debajo de
T_INET_0 aunque no haya pérdida de paquetes. Esto se debe a que FortiGate considera la pérdida de paquetes corregida (CPL) para
T_INET_1, que es del 10%. Debido a que la pérdida de paquetes T_INET_0 es igual o menor que la CPL, entonces T_INET_0 se considera
mejor.
En el segundo resultado, T_INET_1 ahora se convierte en el miembro preferido porque la pérdida de paquetes T_INET_0 ahora es mayor
que la CPL. En el tercer resultado, T_INET_1 vuelve a estar por debajo de T_INET_0 porque la pérdida de paquetes T_INET_0 es
nuevamente igual o menor que la CPL.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra otro ejemplo de la elección del miembro preferido en una regla de mejor calidad que utiliza la pérdida de
paquetes como métrica. La configuración es la misma que la que se muestra en la diapositiva anterior. El ejemplo muestra cómo los
miembros distintos del miembro de mayor prioridad compiten por un puesto en la lista.
Concéntrese en la posición de T_MPLS en la lista en comparación con T_INET_1. En el primer resultado, T_MPLS se coloca
debajo de T_INET_1 aunque tiene una menor pérdida de paquetes. Esto se debe a que FortiGate considera el CPL, que es del
12%. Debido a que la pérdida de paquetes T_INET_1 es igual o menor que la CPL, el miembro de mayor prioridad
(T_INET_1) se considera mejor.
En el segundo resultado, T_MPLS ahora se coloca encima de T_INET_1 porque su CPL ahora es inferior a T_INET_1.
En el tercer resultado, T_MPLS todavía se coloca encima de T_INET_1 aunque su CPL ya no es inferior a T_INET_1. Esto se
debe a que FortiGate no considera la CPL cuando mueve un miembro de menor prioridad hacia abajo en la lista de interfaces.
Es decir, FortiGate prefiere el miembro con la menor pérdida de paquetes.
En el cuarto resultado, T_MPLS ahora vuelve a estar por debajo de T_INET_1 porque su pérdida de paquetes ahora es igual o
mayor que T_INET_1.
NO REIMPRIMIR
© FORTINET
La métrica customprofile1 utiliza una fórmula que calcula un valor compuesto a partir de la latencia, la fluctuación, la pérdida de paquetes
y el ancho de banda bi. El valor compuesto se llama índice de calidad del enlace y la fórmula para calcularlo se muestra en esta diapositiva.
Para cada métrica, usted establece el peso que se utilizará en la fórmula. El peso le permite influir en el índice de calidad del enlace mediante
una o más métricas. Cuanto mayor sea el peso de la métrica, más influencia tendrá la métrica en el índice de calidad del enlace. Por
ejemplo, si considera que la pérdida de paquetes es la métrica más importante, entonces debe asignarle el peso más alto. Por el contrario,
si solo desea ignorar una métrica, asígnele un peso de 0.
En el ejemplo que se muestra en esta diapositiva, el índice de calidad del enlace considera las cuatro métricas. Sin embargo, la pérdida de
paquetes tiene el mayor peso entre los cuatro.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un resultado de muestra para el comando de servicio diagnostic sys sdwan cuando se utiliza customprofile1 como métrica. El resultado incluye el
valor del índice de calidad del enlace, seguido de los valores medidos de pérdida de paquetes, latencia, fluctuación y ancho de banda bibanda.
NO REIMPRIMIR
© FORTINET
La estrategia de menor costo (SLA) le indica a FortiGate que seleccione el miembro preferido en función de los siguientes factores:
1. Objetivo SLA: Debe seleccionar uno o más objetivos SLA. FortiGate luego verifica si los miembros cumplen
los objetivos de SLA seleccionados.
2. Costo del miembro: El costo que configuró para el miembro. El costo predeterminado para los miembros es 0.
3. Prioridad de miembro: según la configuración de preferencia de interfaz de la regla. Los miembros que se configuran primero tienen mayor prioridad que
los configurados en último lugar.
FortiGate primero verifica cuántos objetivos de SLA cumple un miembro. Cuantos más objetivos de SLA cumpla, mayor será su preferencia. Tenga en
cuenta que, aunque puede seleccionar uno o más objetivos de SLA en una regla, cada objetivo de SLA seleccionado debe pertenecer a un SLA de
rendimiento diferente. Es decir, cada objetivo de SLA debe apuntar a un servidor diferente.
Si hay dos o más miembros que cumplen con la misma cantidad de objetivos de SLA, entonces FortiGate usa el costo del miembro como
desempate y luego la prioridad del miembro como último desempate.
Además, sólo se utiliza un miembro (el miembro preferido (si es aceptable)) para dirigir el tráfico. Es decir, no se realiza ningún equilibrio de carga.
Además, si ninguno de los miembros cumple con el objetivo del SLA, FortiGate aún crea la lista oif en función del costo y la prioridad de los miembros.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de la elección de miembro preferido en una regla de menor costo (SLA).
La configuración muestra T_INET_0 como el miembro de mayor prioridad. El resultado del comando de servicio diagnostic sys sdwan
muestra sla(0x1) para todos los miembros. Esto significa que todos los miembros cumplen con el objetivo de SLA (VPN_PING#1).
Debido a que todos los miembros cumplen con el objetivo del SLA y tienen el mismo costo, la prioridad del miembro se utiliza como
desempate. El resultado es que los miembros se ordenan de la misma manera que están configurados y, por lo tanto, T_INET_0 se
convierte en el miembro preferido.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra otro ejemplo de la elección de miembro preferido en una regla de menor costo (SLA).
T_INET_0 no cumple con el objetivo de SLA: se informa como sla(0x0), por lo que se coloca al final de la lista.
T_MPLS y T_INET_1 cumplen el objetivo del SLA. Sin embargo, T_MPLS se coloca en la cima porque tiene un costo menor (1)
que T_INET_1 (2). El resultado es que T_MPLS se convierte en el miembro preferido.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra otro ejemplo de la elección de miembro preferido en una regla de menor costo (SLA).
Ninguno de los miembros cumple el objetivo del SLA. Por lo tanto, el orden de la lista se decide primero en función del costo y luego de la
prioridad. T_INET_0, el miembro de mayor prioridad, se coloca en la parte superior de la lista, luego T_MPLS (costo=1) y T_INET_1
(costo=2).
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de la elección del miembro preferido en una regla de menor costo (SLA) cuando se utilizan
dos objetivos de SLA.
Dado que T_MPLS es el único miembro que cumple ambos objetivos del SLA, se convierte en el miembro preferido. Tanto T_INET_0
como T_INET_1 cumplen solo un objetivo de SLA y ambos tienen el mismo costo, por lo tanto, FortiGate usa
la prioridad (cfg_order) como desempate.
NO REIMPRIMIR
© FORTINET
La estrategia de maximizar el ancho de banda (SLA) le indica a FortiGate que distribuya sesiones entre los miembros preferidos.
La preferencia de los miembros se basa en la cantidad de objetivos de SLA que cumplen los miembros. Es decir, se prefieren los miembros
que cumplen con la mayoría de los objetivos de SLA y, por lo tanto, se utilizan para la distribución de sesiones.
Después de que FortiGate identifica a los miembros preferidos, equilibra la carga de las sesiones entre los miembros utilizando uno de los
siguientes algoritmos:
• roundrobin: este es el algoritmo predeterminado. La carga de FortiGate equilibra las sesiones entre los miembros por igual
utilizando una distribución circular.
• basado en IP de origen: FortiGate envía sesiones provenientes de una dirección IP al mismo miembro. • basado en IP de origen y
destino: FortiGate envía sesiones con el mismo par de IP de origen y destino al
mismo miembro.
• ancho de banda interno: FortiGate envía sesiones al miembro con el ancho de banda entrante más disponible.
• ancho de banda exterior: FortiGate envía sesiones al miembro con el ancho de banda saliente más disponible.
• bibandwidth: FortiGate envía sesiones al miembro con el ancho de banda bidireccional más disponible.
Tenga en cuenta que FortiGate no considera el costo ni la prioridad del miembro. FortiGate considera solo la cantidad de objetivos de SLA
que cumple el miembro. También tenga en cuenta que el método de equilibrio de carga, llamado modo hash, es una opción avanzada. Puede
configurar la configuración como se muestra en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de la elección de miembros preferidos en una regla de maximizar el ancho de banda (SLA).
El resultado del comando diagnostic sys sdwan service muestra que todos los miembros cumplen con los dos objetivos de SLA configurados y que el algoritmo de
equilibrio de carga configurado para la regla es de operación por turnos.
Debido a que todos los miembros cumplen con la misma cantidad de objetivos de SLA, FortiGate equilibra la carga de las sesiones entre todos los miembros utilizando el
algoritmo de operación por turnos. Tenga en cuenta que el costo y la prioridad de los miembros son irrelevantes.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra la distribución de seis sesiones que coinciden con la regla configurada en el ejemplo 1. Puede ver que FortiGate envía una sesión a través de cada
miembro usando una distribución circular (roundrobin) para un total de dos sesiones para cada miembro.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra dos ejemplos más de la selección de miembros preferidos en una regla de maximizar el ancho de banda (SLA).
La configuración es la misma que la que se muestra en la diapositiva anterior.
El primer ejemplo de esta diapositiva muestra a T_MPLS como el único miembro preferido. Esto se debe a que T_MPLS es el miembro
que cumple con la mayoría de los objetivos de SLA. Como resultado, las sesiones se envían únicamente a T_MPLS.
En el segundo ejemplo, ninguno de los miembros cumple ninguno de los objetivos del SLA. Debido a que todos los miembros tienen el
mismo estado de SLA, FortiGate equilibra la carga de las sesiones entre todos ellos.
NO REIMPRIMIR
© FORTINET
Para los modos de menor costo (SLA) y maximizar ancho de banda (SLA), puede definir la cantidad mínima de miembros
que deben cumplir al menos uno de los objetivos de SLA configurados en una regla, para que la regla permanezca activa. Si el número
de miembros que cumplen el SLA está por debajo del umbral mínimo, la regla se desactiva y se omite durante la etapa de
coincidencia de reglas. La configuración que controla este comportamiento es lowerslameetmembers y está establecida en 0 de
forma predeterminada, lo que significa que no se considera el número mínimo de miembros.
La configuración de mínimoslameetmembers es particularmente útil para las reglas de ancho de banda máximo (SLA),
porque se puede utilizar para garantizar que el ancho de banda requerido para un servicio determinado esté disponible. Considere
el ejemplo de esta diapositiva, que muestra un FortiGate con tres capas subyacentes de Internet, cada una de las cuales admite
una velocidad diferente. El ejemplo también incluye una versión simplificada de dos reglas SDWAN configuradas para dirigir el
tráfico a un servicio de transmisión por Internet. Debido a que el puerto3 es un enlace costoso, el administrador desea utilizar el
puerto3 sólo como respaldo para el puerto1 y el puerto2.
FortiGate luego determina que el puerto1 es el único miembro preferido para la regla 1 porque el puerto1 es el único
miembro que cumple con el SLA. Si el administrador deja el número mínimo de miembros de slameet en 0 (valor predeterminado),
entonces FortiGate usaría la regla 1 para el servicio de transmisión, lo que luego resultaría en un impacto en el servicio.
porque el ancho de banda mínimo requerido (20 Mbps) no está disponible. Sin embargo, si el administrador establece mínimo
slameetmembers en 2, entonces FortiGate deshabilita la regla 1 porque la regla no cumple con el número mínimo de
miembros que pasan al menos un SLA. El resultado es que el administrador ahora puede hacer que FortiGate use la regla 2 para
el servicio de transmisión solo cuando la regla 1 no tiene suficiente ancho de banda.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra el efecto de la configuración de miembros mínimos de reunión de sla según su valor y el estado de SLA de la regla.
El estado de la regla indica que T_INET_0 supera dos objetivos de SLA, T_MPLS un objetivo de SLA y T_INET_1 no.
Objetivos SLA. Si el número de objetivos de SLA para cada miembro no cambia, entonces el efecto del valor de configuración de
miembros mínimos de cumplimiento de SLA es el siguiente:
•
Si se establece en 0 (valor predeterminado), FortiGate no impone un umbral mínimo. La regla está activa y T_INET_0 se convierte
en el miembro preferido porque tiene el mejor estado de SLA.
•
Si se establece en 2, FortiGate verifica si el número de miembros que cumplen al menos un SLA es igual o superior a 2. Debido a
que T_INET_0 y T_MPLS cumplen al menos un objetivo de SLA, entonces la regla pasa el umbral mínimo y permanece
activa, y T_INET_0 sigue siendo el miembro preferido.
•
Si se establece en 3, FortiGate verifica si el número de miembros que cumplen al menos un SLA es igual o superior a 3. Debido a
que solo dos miembros cumplen al menos un objetivo de SLA, entonces la regla está deshabilitada porque no pasa el mínimo.
límite. La regla también se omite durante el proceso de coincidencia de reglas.
NO REIMPRIMIR
© FORTINET
Con la descripción de las estrategias anteriores, Costo más bajo (SLA) y Maximizar ancho de banda (SLA), descubrió el campo sla_map
en la salida del comando diagnostic sys sdwan healthcheck status . Este campo indica si el miembro cumple o no con los objetivos de
SLA configurados. El campo sla_map utiliza una representación de máscara de bits para hacer referencia a los objetivos de SLA y
su estado. Siga estas reglas para comprender el campo sla_map :
Esta diapositiva muestra una tabla con todos los valores posibles de sla_map cuando configura tres objetivos de SLA para un
miembro. Por ejemplo, un sla_map de 0x6 significa que se cumplen los objetivos de SLA 3 y 2, pero no el objetivo de SLA 1 (6 = 4 + 2 + 0).
Amplíe o reduzca la tabla según la cantidad de objetivos de SLA configurados en su configuración.
Tenga en cuenta que un sla_map de 0x0 tiene dos significados posibles. Si configura uno o más objetivos de SLA para un miembro,
0x0 significa que no se cumple ninguno de los objetivos de SLA. Sin embargo, 0x0 también puede significar que no configuró ningún
objetivo de SLA para el miembro. Por lo tanto, asegúrese de verificar la configuración de SLA de rendimiento para identificar si hay objetivos
de SLA configurados o no.
NO REIMPRIMIR
© FORTINET
Al dominar los objetivos cubiertos en esta lección, aprendió cómo funcionan las reglas SDWAN según los criterios y la estrategia
configurados.
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre el diseño de superposición de SDWAN y las funciones avanzadas de IPsec que son útiles para las
implementaciones de SDWAN.
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
NO REIMPRIMIR
© FORTINET
IPsec es un conjunto de protocolos para autenticar y cifrar el tráfico entre dos pares. Debido a sus características de seguridad, IPsec es el
protocolo de tunelización más utilizado para crear superposiciones SDWAN.
• IKE, que realiza el protocolo de enlace, el mantenimiento del túnel y la desconexión. Por defecto, IKE usa el puerto UDP
500.
• ESP, que garantiza la integridad y el cifrado de los datos. ESP utiliza el protocolo IP número 50.
El protocolo ESP suele tener problemas al cruzar dispositivos que están realizando NAT. Una de las razones es que ESP no utiliza números de puerto,
como lo hacen TCP y UDP, para diferenciar un túnel de otro. Para resolver esto, se agregó NAT transversal (NATT) a las especificaciones de IPsec.
Cuando NATT está habilitado en ambos extremos, los pares pueden detectar cuándo se realiza NAT a lo largo de la ruta. Si se encuentra NAT,
ocurre lo siguiente en ambos pares:
NO REIMPRIMIR
© FORTINET
IKE negocia las claves privadas y el cifrado que utiliza el dispositivo para crear un túnel IPsec.
Para poder crear un túnel IPsec, ambos dispositivos deben establecer sus asociaciones de seguridad (SA) y claves secretas, las cuales son
facilitadas por el protocolo IKE. Las SA son la base para incorporar funciones de seguridad en IPsec.
Una SA es simplemente un conjunto de algoritmos y parámetros que se utilizan para cifrar y autenticar los datos que viajan a través del
túnel. En el tráfico bidireccional normal, este intercambio está asegurado por un par de SA: uno para cada dirección del tráfico. Básicamente,
ambos lados del túnel deben ponerse de acuerdo sobre las normas de seguridad. Si ambas partes no pueden ponerse de acuerdo sobre las
reglas para enviar datos y verificar la identidad de cada uno, entonces el túnel no es
establecido. Las SA caducan y los pares deben renegociarlas una vez que hayan cumplido su vida útil.
IKE utiliza dos fases distintas: fase 1 y fase 2. Cada fase negocia diferentes tipos de SA. La SA negociada durante la fase 1 se denomina
IKE SA y la SA negociada durante la fase 2 se denomina IPsec SA. Las SA IKE se utilizan para configurar un canal seguro para negociar SA
IPsec. Las SA IPsec se utilizan para cifrar y descifrar los datos enviados y recibidos, respectivamente, a través del túnel.
Hay dos versiones de IKE: IKEv1 e IKEv2. IKEv1 es la versión heredada y conocida del protocolo. Aunque todavía está presente en el campo, está
en desuso y no debe usarse para nuevas implementaciones. Los administradores deberían pasar a IKEv2, porque admite más funciones y es más
fácil de operar. Por ejemplo, IKEv2 admite exclusivamente la función de ID de red, que permite al administrador establecer múltiples túneles entre
las mismas puertas de enlace locales y remotas, lo que puede ser necesario durante escenarios de conmutación por error que involucran SD
WAN y ADVPN. Aprenderá más sobre la función de ID de red y ADVPN en esta lección.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en el diseño de superposición de IPsec de SDWAN, podrá comprender la configuración necesaria para
implementar una red SDWAN escalable que utilice IPsec y BGP como componentes básicos.
NO REIMPRIMIR
© FORTINET
La topología que se muestra en esta diapositiva representa una implementación SDWAN estándar que utiliza superposiciones de IPsec.
Las superposiciones de IPsec siguen un diseño de centro y radio. El centro está ubicado en la oficina central o centro de datos del cliente, y los radios
(también conocidos como sucursales o bordes) se distribuyen en todos los sitios remotos (sucursales, tiendas minoristas, trabajadores remotos,
etc.). El concentrador actúa como un servidor IPsec de acceso telefónico para los radios y tiene una configuración de servidor de acceso telefónico
independiente para cada interfaz subyacente. El resultado es que cada configuración de servidor de acceso telefónico define una superposición punto
a multipunto (PTMP). Para tener múltiples rutas alternativas a todas las subredes de la red, cada radio generalmente se conecta a todas las
superposiciones.
Para un mejor rendimiento, se recomienda agrupar superposiciones por ISP. Es decir, es mejor implementar superposiciones del mismo ISP que
superposiciones entre ISP. Al conectar túneles a través del mismo ISP, debería obtener un mejor rendimiento porque la latencia suele
ser menor que la latencia de los paquetes que cruzan varios ISP.
La mayor parte del tráfico de superposición IPsec se inicia desde los radios hasta el concentrador. Los radios acceden a cargas de trabajo protegidas
por el centro. Las cargas de trabajo están ubicadas en el concentrador o en una red a la que se puede acceder a través del concentrador. Debido
a que la mayor parte del tráfico se inicia en la dirección del radio al hub, la SDWAN generalmente se implementa solo en los radios.
Sin embargo, en algunos casos, el tráfico también se inicia en la dirección hubradio, por lo que es posible que también se requiera SDWAN en el lado
hub.
Se utiliza un protocolo de enrutamiento dinámico, como BGP, para intercambiar información de enrutamiento a través de las superposiciones. La
topología también muestra las subredes IP utilizadas para las superposiciones. A las superposiciones establecidas sobre la base ISP1 (puerto1)
se les asigna una dirección en la subred 10.201.1.0/24 , y a las superposiciones establecidas sobre la base ISP2 (puerto2) se les asigna una
dirección en la subred 10.202.1.0/24 . El objetivo es que todos los sitios intercambien sus prefijos en todas las superposiciones disponibles y admitan
ADVPN con SDWAN si es necesario. Aunque el enrutamiento estático es posible, se prefiere el enrutamiento dinámico por razones de
escalabilidad.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de la configuración de IPsec requerida en el concentrador para las superposiciones de acceso telefónico ISP1.
Se supone que el lector está familiarizado con IPsec, por lo que esta lección resaltará solo las configuraciones relevantes para SDWAN, sin
proporcionar muchos detalles sobre ellas.
El túnel está vinculado a la base del puerto1 . La configuración es la misma para las superposiciones de acceso telefónico ISP2, excepto la
interfaz de enlace (puerto2) y el rango de direcciones de configuración del modo (10.202.1.0/24). El tipo de túnel está configurado como dinámico
(servidor de acceso telefónico). Es decir, los túneles sólo pueden iniciarse desde el lado de los radios. Dynamic funciona mejor para implementaciones
hubandspoke porque reduce la cantidad de configuración requerida en el lado del servidor, mientras que permite que los radios tengan direcciones
IP dinámicas o estén ubicados detrás de dispositivos NAT.
La versión de IKE es 2. Se recomienda IKEv2 para un mayor nivel de seguridad y para SDWAN, debido a sus beneficios para ADVPN. Tanto el
dispositivo de red como la ruta adicional están deshabilitados. El primero permite un mejor rendimiento en implementaciones grandes y
también es necesario para agregar túneles IPsec de acceso telefónico como miembros SDWAN. Puede desactivar agregar ruta si planea
utilizar un protocolo de enrutamiento dinámico para intercambiar información de enrutamiento a través de los túneles.
Para la detección de pares inactivos (DPD), se recomienda utilizar el modo bajo demanda en servidores de acceso telefónico, como el concentrador.
Cuando usa el modo bajo demanda, FortiGate envía sondas DPD si solo hay tráfico saliente a través del túnel, pero no entrante. El modo bajo
demanda es más conveniente en los centros debido a la reducción de los gastos generales. El
Cuanto más pasivo es un centro, mejor escala.
Para asignar direcciones IP a superposiciones en radios, se habilita modecfg . La configuración de ipv4xxx también se define para indicar el
rango de direcciones IP y la máscara de red que se utilizarán. La configuración de la fase 2 es sencilla. Los sitios intercambian sus prefijos
mediante enrutamiento dinámico, por lo que es más conveniente dejar abierto el dominio de cifrado.
De esta manera, las políticas de SDWAN, FIB y firewall dictan la política de reenvío de tráfico.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de la configuración de las interfaces del sistema en el concentrador.
A cada interfaz IPsec se le asigna una dirección IP. Esta es la IP local para la superposición y BGP la utiliza como dirección de siguiente salto (NH)
en los anuncios.
Se crea una interfaz de bucle invertido para actuar como el servidor de destino definido en los SLA de rendimiento en los radios.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de una configuración SDWAN para los túneles de acceso telefónico IPsec en el concentrador. Utilizará una
configuración como esta si desea utilizar SDWAN en el concentrador, especialmente si el volumen de tráfico iniciado por el concentrador hacia
los radios es importante.
Los túneles IPsec se colocan en la zona de superposición. Tenga en cuenta que debido a que los túneles son dinámicos, primero debe desactivar
netdevice en su configuración de fase 1. De lo contrario, FortiOS no le permite configurar los túneles como miembros SDWAN.
El resto de la configuración es bastante simple. Sin embargo, tenga en cuenta que probablemente deba configurar al menos un SLA de
rendimiento y una regla para cada radio. Como resultado, cuanto mayor sea el número de radios, mayor será la configuración. Puede reducir
la cantidad de SLA de rendimiento mediante el uso de monitoreo pasivo. De esta manera, FortiGate mide el rendimiento de la superposición
en función del tráfico de usuarios que la atraviesa y, por lo tanto, no requiere que usted configure un servidor de destino al que enviar sondas.
También puede reducir la sobrecarga administrativa que supone mantener las redes de destino en radios utilizando etiquetas de ruta en lugar de
objetos de dirección de firewall fijos.
De esta manera, si los prefijos en el radio cambian, el destino en la regla se actualiza automáticamente sin que usted tenga que realizar cambios de
configuración.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de la configuración de BGP en el concentrador. Se utiliza BGP interno (IBGP): tanto el AS local como el
remoto son iguales (65000). Se prefiere IBGP al BGP externo (EBGP) porque IBGP conserva el siguiente salto para los prefijos, lo cual es
conveniente para ADVPN.
Con SDWAN, se espera ECMP debido a la naturaleza de múltiples rutas de SDWAN. Si utiliza IBGP, debe habilitar ibgpmultipath para admitir
ECMP para rutas IBGP.
Debido a que los parlantes BGP remotos (los radios) son clientes de acceso telefónico, es conveniente definir un grupo vecino para las
superposiciones establecidas sobre cada capa subyacente. De esta manera, los emparejamientos BGP siempre se inician desde los radios (lo que se
espera porque los radios son clientes de acceso telefónico). Luego, FortiGate aplica la configuración común en el grupo de vecinos para cada
intercambio de tráfico BGP.
Dentro de cada entrada de grupo vecino , la configuración de interfaz y fuente de actualización indica la interfaz de origen y la dirección IP de
origen que se usarán para los paquetes BGP, respectivamente. Esto es importante debido a la
Naturaleza de rutas múltiples de SDWAN. FortiOS realiza una búsqueda de ruta para determinar la interfaz saliente para los paquetes BGP.
Vincular los paquetes BGP a una interfaz y una dirección de origen garantiza que no haya emparejamientos BGP de superposición cruzada
entre el radio y el concentrador.
Tenga en cuenta que en esta configuración, la fuente de actualización es redundante y realmente no es necesaria. La configuración de la
interfaz fuerza automáticamente que la dirección IP de origen sea la de la interfaz seleccionada. updatesource es más útil para los casos en
los que la dirección IP de origen para BGP es diferente de la interfaz de origen. Un ejemplo común es cuando se utiliza una dirección de interfaz
loopback como IP de origen. Sin embargo, incluso cuando sea redundante, sigue siendo una buena práctica configurar la configuración de fuente
de actualización por motivos de coherencia.
Con la configuración de cliente de reflector de ruta habilitada, los radios pueden conocer los prefijos de cada uno.
NO REIMPRIMIR
© FORTINET
De forma predeterminada, los enrutadores IBGP no transmiten rutas aprendidas de vecinos internos a otros vecinos internos.
La configuración de cliente reflector de ruta le indica a FortiGate que actúe como un reflector de ruta y, por lo tanto, transmita (o
refleje) las rutas aprendidas desde un cliente IBGP (un radio) a otros clientes IBGP (otros radios en todos los grupos vecinos). Debido
a que, en nuestra topología SDWAN, desea que los radios aprendan los prefijos de otros radios, debe habilitar routereflectorclient
en los grupos vecinos.
El diagrama de esta diapositiva muestra cómo funciona el reflector de ruta BGP. El hub, que actúa como reflector de ruta,
refleja el prefijo 10.0.1.0/24 , que anuncia Spoil1, a Spoil2. El concentrador aprende el prefijo a través de dos superposiciones
(T_INET_0 y T_INET_1), cada una usando un siguiente salto diferente: 10.201.1.1 y 10.202.1.1, respectivamente. Es decir, el hub
aprende el prefijo a través de dos rutas diferentes: una con el siguiente salto 10.201.1.1
y otro con siguiente salto 10.202.1.1.
Luego, el concentrador refleja el prefijo de Spoil2, que a su vez realiza una búsqueda recursiva para determinar el
Interfaz saliente que se utilizará para los prefijos basados en el siguiente salto. La búsqueda recursiva coincide con la ruta estática
para las subredes IP superpuestas, razón por la cual las rutas BGP muestran T_INET_0 como la interfaz saliente.
• La tabla de enrutamiento en Spoke2 muestra el número dos [2] para indicar rutas duplicadas para 10.0.1.0/24. Ellos
son el resultado de que el IBGP preserve el siguiente salto. Las rutas duplicadas son visibles en FIB y se resumen en la tabla de
enrutamiento para una mejor legibilidad.
• El centro refleja sólo la ruta a través de 10.201.1.1. No refleja la ruta a través de 10.202.1.1. Esto se debe a que el concentrador no
está configurado para anunciar rutas adicionales para prefijos (deshabilite la ruta adicional).
NO REIMPRIMIR
© FORTINET
Cada entrada en el rango de vecinos define el rango de direcciones IP que se utilizará para cada grupo de vecinos. Por ejemplo, los pares con una
dirección IP en la subred 10.201.1.0/24 se consideran parte del grupo de vecinos Spokes_INET_0 . Por lo general, los grupos corresponden a
vecinos BGP de túneles superpuestos construidos sobre el mismo tipo de enlaces subyacentes (mismo ISP o BGP). Los grupos de vecinos
son útiles para limitar la propagación de rutas dentro de un único grupo de vecinos cuando activa la reflexión de ruta.
Cada entrada en la red de configuración indica el prefijo del protocolo de puerta de enlace interior (IGP) que se inyectará en la tabla BGP para
que se anuncie a los pares. IGP se refiere a rutas que no son BGP en la tabla de enrutamiento, como OSPF, RIP, conectadas y estáticas.
Aunque la tabla de enrutamiento del concentrador no se muestra en esta diapositiva, 10.1.0.0/24 es una ruta conectada, por lo que configura una
entrada de red para anunciarla en los radios.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de la configuración IPsec requerida en el radio para la superposición ISP1. Algunas configuraciones son las
mismas que se usan en el concentrador (servidor de acceso telefónico), por lo que esta lección se centra en las configuraciones que son específicas
para el radio.
El túnel está vinculado a la base del puerto1 . La configuración es la misma para la superposición ISP2, excepto la interfaz de enlace (puerto2) y
la dirección IP de la puerta de enlace remota. El tipo de túnel está configurado como estático.
(cliente de acceso telefónico) porque se conoce la dirección IP de la puerta de enlace remota (el concentrador). En este caso, la dirección
corresponde a la dirección asignada al puerto1 en el hub.
netdevice debe estar habilitado si desea admitir accesos directos ADVPN en SDWAN. Aunque deshabilitar el dispositivo de red proporciona un
mejor rendimiento, habilitar la configuración no debería representar una preocupación porque la cantidad de superposiciones implementadas
en los radios suele ser baja.
La configuración de la fase 2 es la misma que en el hub. El dominio de cifrado está abierto para permitir que las políticas de SDWAN, FIB y firewall
dicten la política de reenvío de tráfico.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de la configuración de las interfaces del sistema en los radios.
No es necesario asignar una dirección IP para las superposiciones. Sus direcciones IP se obtienen mediante la configuración del modo IKE.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de la configuración SDWAN para los túneles de acceso telefónico IPsec en los radios.
La configuración es bastante sencilla. Las dos superposiciones se colocan en la zona de superposición . El SLA de rendimiento de VPN utiliza ping
para medir activamente el estado y el rendimiento de las superposiciones con respecto a 10.200.99.1, que es la dirección de la interfaz de bucle
invertido en el concentrador.
Se configura una regla SDWAN de mejor calidad para dirigir el tráfico ICMP de 10.0.1.0/24 a 10.0.0.0/8. La regla utiliza el SLA de rendimiento de
VPN para determinar el miembro de mejor calidad en la zona de superposición .
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de la configuración IBGP en los radios. Algunas configuraciones son las mismas que se usan en el hub, por lo
que esta lección se centra solo en configuraciones que son específicas del radio.
Cada entrada en la configuración vecina define la dirección IP del vecino BGP para la superposición. Por ejemplo, 10.201.1.254 es la dirección IP
del concentrador superpuesto establecido a través de ISP1 y 10.202.1.254 es la dirección IP del concentrador superpuesto establecido a través
de ISP2.
La entrada en la red de configuración indica al radio que inyecte el prefijo IGP (10.0.1.0/24) en la tabla BGP para que se anuncie a los pares. Aunque
la tabla de enrutamiento de radios no se muestra en esta diapositiva, 10.0.1.0/24 es una ruta conectada, por lo que configuramos una
entrada de red para anunciarla a los radios.
NO REIMPRIMIR
© FORTINET
Para preparar las plantillas de túnel IPsec y al mismo tiempo las plantillas BGP, puede utilizar la plantilla de superposición SDWAN
de FortiManager.
Como se explicó en una lección anterior, la plantilla de superposición SDWAN simplificará la configuración. Debe ingresar solo los parámetros
específicos de su red, como el rango de IP de la red, y FortiManager crea plantillas de túnel IPsec que siguen las mejores prácticas recomendadas
por Fortinet.
NO REIMPRIMIR
© FORTINET
Si no desea utilizar la plantilla de superposición SDWAN para ayudar con la configuración del túnel VPN IPsec para la topología hubandspoke,
puede usar las plantillas de túnel IPsec predefinidas disponibles en FortiManager. En ambos casos, FortiManager utiliza la misma configuración
recomendada para construir los túneles IPsec.
Con las plantillas predefinidas, solo necesita definir los parámetros principales, como se muestra en esta diapositiva.
Las plantillas BRANCH_IPsec_Recommended y HUB_IPsec_Recommended agregarán los parámetros discutidos en diapositivas anteriores,
como el tipo de túnel o la configuración del dispositivo de red. Más adelante, podrá editar la plantilla preparada para realizar ajustes y configuraciones
avanzadas.
Tenga en cuenta que también puede usar esas plantillas para habilitar ADVPN y establecer los parámetros recomendados correspondientes
en su topología hubandspokes.
NO REIMPRIMIR
© FORTINET
Cuando utiliza la plantilla de superposición SDWAN o las plantillas recomendadas de IPsec para el centro y las sucursales,
FortiManager preparará plantillas IPsec con los siguientes parámetros:
Para concentradores:
Para sucursales:
Estos parámetros corresponden a las configuraciones recomendadas para la configuración del túnel de superposición IPsec, analizadas anteriormente en
esta lección.
Las plantillas también habilitarán la superposición de red y configurarán la identificación de red para concentradores y, para sucursales, la identificación
local y la identificación de red. Opcionalmente, puede editar las plantillas para agregar keepalives para ambos tipos de dispositivos.
s
Para el concentrador, debe completar la configuración de la plantilla con la dirección IP de la interfaz VPN y la configuración de la subred IP remota. Esto
se puede hacer con la plantilla CLI.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Si comprende cómo ajustar su implementación de SDWAN, podrá acelerar la convergencia, la conmutación por error y la recuperación.
También aprenderá cómo los dispositivos FortiGate pueden intercambiar todas las rutas disponibles, lo cual es conveniente para SDWAN.
Finalmente, podrá mejorar el rendimiento forzando la adherencia de la superposición.
NO REIMPRIMIR
© FORTINET
Con los crecientes requisitos de disponibilidad de servicios actuales, es importante ajustar la configuración de sus dispositivos FortiGate para
que SDWAN pueda responder más rápido a los cambios de red. Esta diapositiva muestra las configuraciones de BGP e IPsec que puede ajustar
para acelerar la convergencia, la conmutación por error y la recuperación de superposiciones SDWAN, cuáles son sus valores predeterminados y
un ejemplo de cómo configurarlos usando la CLI de FortiGate.
Para BGP, puede configurar FortiGate para eliminar los peerings inactivos más rápidamente reduciendo los temporizadores de mantenimiento y
retención. También puede acelerar la convergencia de enrutamiento reduciendo el tiempo que FortiGate espera entre actualizaciones de BGP al
reducir el intervalo de publicidad. De manera similar, puede acelerar la configuración del emparejamiento reduciendo el valor del temporizador de
conexión. De lo contrario, después de un intento fallido de conexión, FortiGate puede esperar un minuto o más antes de realizar otro intento de
conexión, lo que ralentiza la convergencia de enrutamiento.
Para BGP, también es clave habilitar la función de conmutación por error de enlace inactivo. De forma predeterminada, FortiGate no desactiva el
emparejamiento si la interfaz de enlace (la superposición en este caso) se desactiva. En cambio, FortiGate espera a que expire el temporizador de
espera. Si habilita la conmutación por error de enlace inactivo, FortiGate desactiva los emparejamientos inmediatamente después de que la
interfaz que utilizan se caiga, lo que luego puede acelerar la conmutación por error.
Para IPsec, puede reducir el recuento de reintentos de DPD y la configuración del intervalo de reintentos para acelerar la detección de puertas de
enlace remotas inactivas. El recuento de reintentos de DPD define el número de reintentos de DPD antes de considerar que la puerta de enlace
remota está inactiva. El intervalo de reintento de DPD define el tiempo que FortiGate espera después de enviar un mensaje DPD antes de
considerar el intento de DPD como fallido (sin respuesta). Si se utiliza el modo inactivo de DPD, el intervalo de reintento de DPD también define el
tiempo de inactividad que FortiGate espera antes de considerar el túnel inactivo. Dicho esto, con la configuración predeterminada, DPD tarda 80
segundos en detectar una puerta de enlace inactiva: un tiempo de inactividad de 20 segundos más 60 segundos de tres mensajes DPD sin respuesta.
Por ejemplo, al configurar el recuento de reintentos y el intervalo de reintentos en 2 y 10, respectivamente, el tiempo que FortiGate tarda en detectar
una puerta de enlace inactiva se reduce a 30 segundos: un tiempo de inactividad de 10 segundos más 20 segundos de dos mensajes DPD sin
respuesta.
NO REIMPRIMIR
© FORTINET
En el diseño de superposición SDWAN estándar que se muestra en esta diapositiva, el tráfico de radio a radio se enruta a través del concentrador.
Cuando el concentrador recibe el primer paquete de una conexión de radio a radio, realiza una búsqueda de ruta para determinar la mejor
ruta y la mejor interfaz de salida para reenviar el paquete. Según los resultados de la búsqueda de enrutamiento, el concentrador puede decidir utilizar
una superposición establecida sobre una base diferente a la utilizada por la superposición entrante. Es decir, según nuestra topología, si
el concentrador recibe el primer paquete en T_INET_0, puede decidir reenviarlo desde T_INET_1.
Aunque la conexión está establecida, el rendimiento no es el mejor debido a la latencia adicional introducida por la ruta de superposición
entre ISP. Para indicarle a FortiGate que prefiera mantener el tráfico de voz a voz dentro de las superposiciones del mismo ISP, puede configurar las
rutas de política que se muestran en esta diapositiva.
Tenga en cuenta que las rutas de política son sólo una preferencia. Es decir, se utilizan sólo si la FIB contiene una ruta para la superposición saliente.
De lo contrario, se omiten y FortiGate reenvía el tráfico según la mejor ruta en la FIB.
La adherencia de la superposición es muy importante para ADVPN porque ayuda a evitar que los radios intenten negociar atajos sobre
capas subyacentes inalcanzables. Aprenderá más sobre ADVPN y la adherencia de la superposición en esta lección.
NO REIMPRIMIR
© FORTINET
Cuando configura FortiGate como altavoz BGP, FortiGate anuncia una ruta por prefijo de forma predeterminada. En la implementación de
superposición SDWAN que se muestra en esta diapositiva, esto significa que el centro, que actúa como reflector de ruta,
refleja solo una ruta para cada prefijo a pesar de aprender dos rutas del cliente hablado.
Para SDWAN, se recomienda que los sitios conozcan todas las rutas disponibles a todos los destinos posibles; de lo contrario, es posible que se
omitan las reglas y los miembros de SDWAN debido a la ausencia de una ruta en la FIB. Por esta razón,
Es una buena práctica permitir que FortiGate anuncie rutas adicionales para que sus pares conozcan todas las rutas disponibles. Debe
configurar el concentrador para anunciar una ruta por superposición.
El diagrama de esta diapositiva muestra las dos rutas que aprende el concentrador para 10.0.1.0/24: una aprendida a través de
T_INET_0 con siguiente salto 10.201.1.1, y otro a través de T_INET_1 con siguiente salto 10.202.1.1. El concentrador está configurado para
enviar dos rutas adicionales, así como para reflejar los prefijos aprendidos de los clientes. Además, el radio está configurado para recibir
cualquier ruta adicional enviada por el vecino. El resultado es que Spoke2 ahora recibe ambas rutas para 10.0.1.0/24 desde el hub a través
de las dos superposiciones, para un total de cuatro rutas recibidas.
Debido a que IBGP conserva la información del siguiente salto, la base de datos de la tabla de enrutamiento en Spoke2 muestra rutas
duplicadas para el prefijo.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra cómo configurar rutas adicionales de BGP usando la CLI de FortiGate según la topología de superposición SDWAN
utilizada en esta lección.
Para que el concentrador envíe las rutas adicionales, primero debe identificar las rutas únicas aprendidas del vecino BGP.
Básicamente, el centro asigna un identificador a cada ruta única recibida para un prefijo. Le indica a FortiGate que identifique las rutas habilitando
la ruta adicional en la configuración del enrutador bgp. Puede ver los identificadores y las rutas utilizando el comando get router info bgp network .
A continuación, el centro debe seleccionar dos o más rutas identificadas que luego puede anunciar a los vecinos. Usted controla el número de rutas
identificadas seleccionadas con la configuración de selección de ruta adicional .
Después de que el concentrador identifique todas las rutas y seleccione una cantidad de rutas identificadas para anunciar, debe indicar los vecinos
a los que desea que el concentrador anuncie las rutas adicionales y cuántas. Esto se configura utilizando las configuraciones de ruta adicional y
ruta adicional adv en configuración del grupo vecino.
La configuración de ejemplo que se muestra en esta diapositiva para el hub le indica a FortiGate que identifique todas las rutas recibidas de los
vecinos y seleccione dos de ellas para publicidad a través de BGP. Además, el concentrador FortiGate anuncia (o envía) dos rutas adicionales
seleccionadas (es decir, todas las rutas adicionales seleccionadas) a los pares de cada grupo vecino.
En el radio, que actúa como receptor de las rutas adicionales, debe configurar la ruta adicional para recibir
debajo de cada entrada de vecino, por lo que FortiGate radial acepta todas las rutas adicionales enviadas por el hub.
NO REIMPRIMIR
© FORTINET
La base de datos de la tabla de enrutamiento muestra todas las rutas duplicadas recibidas. En la tabla de enrutamiento, para facilitar la lectura,
FortiOS consolida las rutas duplicadas e indica la cantidad de rutas duplicadas disponibles. Tenga en cuenta que las rutas duplicadas no se filtran, solo
se consolidan con fines estéticos.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en funciones avanzadas de IPsec, podrá incorporar funciones IPsec útiles en SDWAN para mejorar el rendimiento,
la confiabilidad y la administración.
NO REIMPRIMIR
© FORTINET
La corrección de errores de reenvío (FEC) es una técnica de corrección de errores disponible para superposiciones de IPsec que intenta reducir la
cantidad de retransmisiones a través de un túnel IPsec. La implementación FEC en FortiGate no
trabajar con puertas de enlace IPsec de terceros.
Cuando habilita FEC en una superposición de IPsec, el FortiGate emisor transmite paquetes adicionales, llamados paquetes de paridad, a través del
túnel. Los paquetes de paridad contienen datos de corrección de errores que se calculan en función de los datos contenidos en los paquetes
originales. El FortiGate receptor puede luego usar los paquetes de paridad para reconstruir cualquier paquete perdido o cualquier paquete que haya
llegado con errores.
Aunque FEC aumenta el uso de ancho de banda en un túnel IPsec, también mejora la confiabilidad de las superposiciones al superar condiciones
adversas de la WAN, como capas subyacentes con pérdidas o ruidosas. FEC es útil para brindar una mejor experiencia de usuario para aplicaciones
críticas para el negocio, como servicios de voz y video.
Tenga en cuenta que FortiOS desactiva automáticamente la descarga de hardware para el tráfico sujeto a FEC y, por lo tanto, aumenta el uso
de la CPU.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra una configuración básica para FEC en una superposición IPsec usando la CLI de FortiGate.
FEC funciona enviando una cantidad fecredundante de paquetes de paridad por cada cantidad fecbase de paquetes enviados dentro del período de
tiempo de espera de envío fec . Sin embargo, si se alcanza el tiempo de espera de envío fec , FortiGate envía los paquetes de paridad
independientemente de la base fec. El período de tiempo de espera de envío fec comienza después de que FortiGate recibe el primer paquete
destinado al túnel. Si aplica la configuración que se muestra en esta diapositiva, FortiGate envía dos paquetes de paridad a través de T_INET_0 por
cada 20 paquetes enviados a través del túnel durante un período de ocho milisegundos.
También tenga en cuenta que debe indicar la dirección en la que desea que se ejecute FEC. Por ejemplo, si desea que FortiGate envíe paquetes de
paridad en la dirección de salida, debe habilitar fecegress. De manera similar, si desea que FortiGate procese los paquetes de paridad enviados
por el FortiGate remoto, debe habilitar fecingress. También debe habilitar fec en la política de firewall que coincida con el tráfico para el que desea
generar paquetes de paridad. Tenga en cuenta que no es necesario desactivar manualmente la descarga de hardware. FortiOS lo hará
automáticamente en sesiones sujetas a FEC.
Tenga en cuenta que cuando habilita FEC, FortiGate utiliza el índice de carga útil de seguridad específico que se muestra en esta diapositiva para
los paquetes originales y de paridad.
Esta diapositiva también muestra una captura de paquetes realizada con la configuración de ejemplo. La captura del paquete muestra el paquete
original (una solicitud de eco ICMP a 10.0.2.101) saliendo de la superposición T_INET_0, que está vinculada al puerto1. La captura de paquetes
también muestra tres paquetes ESP más saliendo del puerto 1. Aunque no se revela en el resultado, el primer paquete ESP lleva el paquete de
solicitud de eco ICMP original. Los siguientes dos paquetes ESP son paquetes de paridad del paquete de solicitud de eco ICMP original.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra el impacto positivo que tiene FEC en la calidad de las superposiciones de IPsec. La prueba consiste en generar 100
paquetes de solicitud de eco ICMP a través de una superposición ruidosa y luego identificar la cantidad de pérdida de paquetes informada por la
herramienta de ping antes y después de habilitar FEC.
El primer resultado muestra las estadísticas de ping antes de habilitar FEC. La pérdida de paquetes reportada es del 27%.
El segundo resultado muestra las estadísticas de ping después de que el administrador habilita FEC en dispositivos FortiGate locales y remotos
usando la configuración que se muestra en esta diapositiva. La pérdida de paquetes se reduce al 12%.
Luego, el administrador aumenta la configuración fecredundante de 1 a 3 en ambos extremos de los túneles. Como resultado, la pérdida de
paquetes se reduce al 1%.
Por lo tanto, puede aumentar la calidad de las superposiciones ruidosas habilitando FEC y aumentando la configuración de redundancia
fec . Solo tenga en cuenta que cuanto mayor sea el valor de fecredundant, más ancho de banda se utilizará.
NO REIMPRIMIR
© FORTINET
FEC proporciona una forma eficaz de reducir la pérdida de datos en túneles IPsec. Sin embargo, FEC no aprovecha múltiples túneles IPsec. Además,
FEC no admite descargas de hardware ni enlaces que no sean IPsec.
La duplicación de paquetes es una característica de SDWAN que le permite enviar paquetes duplicados a través de hasta tres
miembros adicionales de cualquier tipo, siempre que la mejor ruta al destino sea un miembro SDWAN y los enlaces utilizados para la duplicación
tengan una ruta al destino. A diferencia de los paquetes de paridad en FEC, que no son copias exactas de los paquetes originales, los paquetes
duplicados son copias literales del paquete original. De esta manera, los paquetes duplicados se pueden utilizar para protección contra pérdida de
datos y para inspección fuera de banda o captura de paquetes.
También puede habilitar la deduplicación de paquetes en el FortiGate receptor. Cuando hace esto, el FortiGate receptor acepta solo la
primera copia del paquete recibido y descarta las copias adicionales. El objetivo es ahorrar recursos en el extremo receptor indicando a FortiGate
que reenvíe solo una copia, en lugar de reenviar todas las copias y dejar que el siguiente salto descarte los paquetes adicionales.
El ejemplo de esta diapositiva muestra dos dispositivos FortiGate conectados a través de tres superposiciones de IPsec, que son miembros de la
zona de superposición. En el FortiGate radial, el administrador configuró una regla de duplicación que le indica a FortiGate que siempre duplique
(duplicación forzada) cualquier paquete proveniente de 10.0.1.0/24 y destinado a 10.1.0.0/24, hasta tres enlaces. En el centro FortiGate, el
administrador configuró una regla de duplicación para eliminar la duplicación del mismo tráfico.
El resultado es que cuando el FortiGate radial recibe un paquete que coincide con la regla de duplicación, reenvía el paquete original al miembro
preferido en la zona, más dos copias adicionales a través de dos enlaces adicionales, para un total de tres paquetes. En el lado remoto, el concentrador
FortiGate acepta solo el paquete recibido a través de T_MPLS porque fue el primer paquete en llegar y descarta las copias adicionales
recibidas a través de T_INET_0 y T_INET_1. El resultado es que sólo se reenvía un paquete a la interfaz local (puerto 5).
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra la configuración utilizada para el ejemplo de duplicación de paquetes que se muestra en la diapositiva anterior, que utiliza la
duplicación forzada de paquetes.
Las reglas de duplicación tanto en el radio como en el centro indican las 5 tuplas del tráfico que se van a duplicar y deduplicar, respectivamente.
En el radio, duplicationmaxnum se establece en 3. Esto le indica a FortiGate que reenvíe hasta tres copias del paquete: el paquete original más
dos duplicados. Además, cada copia se envía a través de un miembro diferente. En el radio, la duplicación de paquetes está configurada como
forzada, lo que le indica a FortiGate que siempre duplique los paquetes. Una alternativa es configurar la duplicación de paquetes bajo demanda, lo que
indica a FortiGate que duplique los paquetes según el estado del SLA de la interfaz saliente. Aprenderá más sobre la duplicación bajo demanda en
esta lección.
En el lado del concentrador, la deduplicación de paquetes está habilitada para indicarle a FortiGate que acepte solo una copia del paquete (la
primera en llegar) y descarte cualquier copia adicional.
Esta diapositiva también muestra la salida del rastreador para los paquetes duplicados y deduplicados correspondientes en el radio y el
concentrador, respectivamente. En el radio, el paquete de solicitud de eco ICMP original se recibe en el puerto 5 y luego se reenvía a T_INET_1.
El radio también reenvía dos copias más, una a T_MPLS y otra a T_INET_0. En el lado del concentrador, se reciben los tres paquetes, pero
solo se acepta y reenvía el primer paquete recibido (el paquete recibido en T_MPLS). Luego, el concentrador FortiGate crea una sesión con
T_MPLS como interfaz entrante, razón por la cual el paquete de respuesta de eco ICMP se reenvía a la misma interfaz.
NO REIMPRIMIR
© FORTINET
La duplicación forzada de paquetes le indica a FortiGate que siempre duplique los paquetes. Pero, ¿qué sucede si desea que FortiGate realice la
duplicación sólo cuando la calidad de la interfaz saliente es deficiente? De esta manera, puede ahorrar recursos de la red evitando el tráfico
duplicado cuando la interfaz saliente funciona bien y es probable que el paquete original se entregue correctamente.
Cuando configura la duplicación de paquetes bajo demanda, FortiGate considera la calidad de la interfaz saliente seleccionada para enrutar el
paquete original antes de crear duplicados. La interfaz saliente se selecciona según la búsqueda de reglas SDWAN para el paquete. Es decir, el
paquete no tiene que coincidir con una regla SDWAN definida por el usuario para que se active la duplicación. Esto también es válido para la
duplicación forzada de paquetes.
FortiGate determina la calidad de la interfaz saliente en función del estado de los objetivos SLA configurados. Si la interfaz cumple con al menos uno
de sus objetivos de SLA configurados, entonces FortiGate considera que la calidad es aceptable y no crea duplicados. Si la interfaz no cumple
con ninguno de sus objetivos de SLA configurados, o si la interfaz no tiene ningún objetivo de SLA configurado, entonces FortiGate realiza la
duplicación.
Esta diapositiva muestra el estado de tres superposiciones tomadas en diferentes momentos. Suponiendo que T_INET_0 es la interfaz saliente
seleccionada para el paquete original, FortiGate no crea duplicados cuando el rendimiento de T_INET_0 es el que se muestra en el primer resultado.
Sin embargo, si el rendimiento es el que se muestra en el segundo resultado, entonces FortiGate crea duplicados porque T_INET_0 no cumple
con ninguno de los objetivos del SLA.
NO REIMPRIMIR
© FORTINET
Puede configurar reglas de duplicación de paquetes para duplicar paquetes que coincidan con una o más reglas SDWAN. Esto le permite tener un
control y una flexibilidad más granulares sobre el tráfico duplicado, además de reducir la configuración requerida. Por ejemplo, puede
aprovechar la función de dirección de aplicaciones de las reglas SDWAN para duplicar el tráfico según la aplicación detectada, en lugar de utilizar
la configuración fija de 5 tuplas en una regla de duplicación para identificar el tráfico. De manera similar, puede aprovechar ISDB y etiquetas
de ruta para identificar el destino del tráfico a duplicar.
Esta diapositiva muestra un ejemplo de una regla de duplicación forzada de paquetes que coincide con el ID 1 de la regla SDWAN. Tenga en cuenta
que después de configurar el ID de la regla SDWAN usando la configuración del servicio, las opciones para definir la tupla 5 del tráfico en el La regla
duplicada está oculta. Esto se debe a que los criterios de coincidencia ahora están definidos por la regla SDWAN.
Esta diapositiva también muestra el estado de la regla SDWAN. El resultado indica que la regla SDWAN hace coincidir el tráfico ICMP de
cualquier fuente con 10.1.0.7. El resultado es que FortiGate duplica solo el tráfico que coincide con el ID 1 de la regla SDWAN. El resto del tráfico,
como SSH, no se duplica.
NO REIMPRIMIR
© FORTINET
El ejemplo de configuración de IPsec utilizado para la topología de superposición SDWAN que se muestra en esta lección hace uso de
Configuración del modo IKE para asignar las direcciones IP de las superposiciones de radios. Aunque su configuración es simple, la configuración
del modo IKE no le permite definir direcciones IP fijas en el lado radial. Es decir, la dirección
asignado a una superposición depende de las direcciones disponibles durante la negociación del túnel.
Una alternativa a la configuración del modo IKE es la función de interfaz de intercambio IPsec. En lugar de utilizar el modo IKE para asignar
direcciones automáticamente, usted asigna manualmente la dirección en los lados del radio y del concentrador, y luego hace que IKE las intercambie
durante la negociación del túnel para que cada puerta de enlace conozca la IP superpuesta remota. El resultado es que puede asignar una dirección
fija a una superposición de radios, que luego puede usarse con fines de monitoreo e identificación.
Esta diapositiva muestra los cambios necesarios en el concentrador y el radio para intercambiar la IP de la interfaz IPsec.
direcciones que utilizan IKE. Los cambios de configuración son los mismos en cada extremo, excepto que usted asigna diferentes direcciones IP
locales en cada lado, y en el radio FortiGate, también debe definir la dirección IP del concentrador. Además, al definir la dirección IP del concentrador,
utilice como máscara de red la máscara de red de subred superpuesta (/24 en el ejemplo) en lugar de /32. El uso de la máscara de red de
subred superpuesta es útil para la resolución del siguiente salto al reflejar rutas utilizando IBGP.
Tenga en cuenta que FortiGate utiliza un atributo propietario de Fortinet para intercambiar las direcciones IP. Esto significa que, a diferencia de la
configuración del modo IKE, que es una característica IPsec estándar, puede intercambiar direcciones IP usando IKE solo cuando ambas puertas de
enlace son dispositivos FortiGate.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en ADVPN, podrá configurar y solucionar problemas de ADVPN. También comprenderá la compatibilidad con SD
WAN para ADVPN.
NO REIMPRIMIR
© FORTINET
Considere la topología radial simple que se muestra en esta diapositiva. Si un dispositivo detrás de Spoil1 quiere comunicarse con un
dispositivo detrás de Spoil2, el dispositivo debe hacerlo a través del concentrador. Si bien una topología de centro y radio reduce el costo y los
gastos generales de configuración, el hecho de que un radio deba comunicarse con otros radios a través del centro aumenta el retraso de la
comunicación y, por lo tanto, afecta la experiencia del usuario, especialmente si el centro y los radios están geográficamente lugares
distantes.
Una alternativa es utilizar una topología de malla completa, que permite la comunicación directa entre radios a expensas de mayores costos y
mayores gastos administrativos. Sin embargo, esto no siempre es práctico, ni siquiera factible, especialmente en redes grandes.
ADVPN (VPN de descubrimiento automático) es una solución patentada de Fortinet basada en IKE e IPsec, que aborda la necesidad de comunicación
directa de radio a radio en topologías hubandspoke al permitir que los radios negocien automáticamente túneles IPsec bajo demanda.
llamados accesos directos, entre ellos sin tener que realizar cambios de topología o muchos cambios de configuración. Una vez que se establece
un atajo y el enrutamiento ha convergido, ya no es necesario que el tráfico de radio a radio fluya a través del centro.
SDWAN admite atajos de ADVPN. Para ello, SDWAN dirige automáticamente el tráfico a través de atajos y monitorea su estado y rendimiento.
Agrega el túnel principal como miembro y, después de negociar el acceso directo, SDWAN comienza automáticamente a dirigir el tráfico a
través del acceso directo.
La topología de esta diapositiva también muestra un atajo establecido entre el radio1 y el radio2. El resultado es que FortiGate enruta el tráfico de
radio a radio a través de atajos en lugar de a través del centro.
NO REIMPRIMIR
© FORTINET
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de cómo funciona ADVPN en una topología de concentrador único. Considere la topología radial básica de
IPsec que se muestra en esta diapositiva. Las superposiciones que conectan un radio con un concentrador se denominan túneles principales.
Los túneles directos negociados sobre los túneles principales se denominan accesos directos. Los accesos directos entre radios se crean a pedido
según la configuración de detección automática de la fase 1 de IPsec configurada en cada par:
• El receptor de descubrimiento automático debe estar habilitado en la superposición de radios para informar a los concentradores que los radios
pueden negociar atajos.
• el remitente de descubrimiento automático debe estar habilitado en la superposición del concentrador que conecta el radio para permitir
Negociación abreviada entre radios.
Ahora supongamos que un usuario de Boston envía tráfico a Chicago. Inicialmente, el atajo entre Boston y Chicago no se ha negociado. Entonces,
los primeros paquetes se enrutan a través del Hub 1. Cuando el Hub 1 recibe esos paquetes, sabe que ADVPN está habilitado en ambos radios.
Entonces, el Hub 1 envía un mensaje IKE a Boston informando que
Puedo intentar negociar una conexión directa con Chicago. Al recibir este mensaje IKE, Nueva York crea un mensaje de información IKE
específico de FortiOS que contiene su dirección IP pública, su subred local, la subred de destino deseada (la subred de Chicago) y una PSK
generada automáticamente (alternativamente, también puede utilizar autenticación de certificado digital). Este mensaje IKE se envía a
Chicago a través del Hub 1. Cuando Chicago recibe el mensaje IKE de Nueva York, almacena el PSK y responde con otro mensaje de información
IKE que contiene la dirección IP pública de Chicago. Una vez que la respuesta llega a Nueva York, ambos pares negocian el atajo. La
negociación tiene éxito porque Chicago espera un intento de conexión por parte de Nueva York.
NO REIMPRIMIR
© FORTINET
Ahora examinará los mensajes IKE que se intercambian cuando se negocia un túnel bajo demanda:
1. El cliente detrás de Spoke 1 genera tráfico para los dispositivos ubicados en la red Spoke 2.
2. El radio 1 recibe el paquete, lo cifra y lo envía al concentrador.
3. El concentrador recibe el paquete del radio 1 y lo reenvía al radio 2.
4. Spoke 2 recibe el paquete, lo descifra y lo reenvía al dispositivo de destino.
5. El centro sabe que podría haber disponible una opción de túnel más directa desde el radio 1 al radio 2. El centro envía un mensaje de
oferta de acceso directo al radio 1.
6. El radio 1 reconoce la oferta de acceso directo enviando una consulta de acceso directo al centro.
7. El concentrador reenvía el mensaje de consulta de acceso directo al Spoke 2.
8. El radio 2 reconoce la consulta de acceso directo y envía una respuesta de acceso directo al centro.
9. El concentrador reenvía la respuesta del acceso directo al radio 1.
10. Spoke 1 y Spoke 2 inician la negociación IKE del túnel.
NO REIMPRIMIR
© FORTINET
Ahora, considere la topología de concentrador y radio IPsec de doble concentrador que se muestra en esta diapositiva. En tal escenario, debe
habilitar el reenviador de descubrimiento automático en ambos concentradores para permitir el intercambio de información ADVPN entre los dos
concentradores y permitir el establecimiento de accesos directos ADVPN.
• El receptor de descubrimiento automático debe estar habilitado en la superposición de radios para informar a los concentradores que los radios
pueden negociar atajos.
• el remitente de descubrimiento automático debe estar habilitado en la superposición del concentrador que conecta el radio para permitir
Negociación abreviada entre radios.
• el reenviador de descubrimiento automático debe estar habilitado en la superposición del concentrador que se conecta al otro concentrador para
reenvía información del remitente y del receptor de ADVPN entre concentradores.
Ahora supongamos que un usuario de Boston envía tráfico a Londres. Inicialmente, el atajo entre Boston y Londres no se ha negociado. Entonces,
los primeros paquetes de Boston a Londres se enrutan a través del Hub 1 y el Hub 2. Cuando el Hub 1 recibe esos paquetes, sabe que ADVPN está
habilitado en todas las VPN hasta Londres. Así, el Hub 1 envía un mensaje IKE a Boston informando que puede intentar negociar una conexión directa
con Londres. Al recibir este mensaje IKE, Boston crea un mensaje de información IKE específico de FortiOS que contiene su dirección IP pública,
su subred local, la subred de destino deseada (la subred de Londres) y un PSK generado automáticamente (alternativamente, también puede
usar digital). autenticación de certificado). Este mensaje IKE se envía a Londres a través del Hub 1 y el Hub 2. Cuando Londres recibe el mensaje
IKE de Boston, almacena el PSK y responde con otro mensaje de información IKE que contiene la dirección IP pública de Londres. Una vez
que la respuesta llega a Boston, ambos pares negocian el atajo. La negociación tiene éxito porque Londres espera un intento de conexión desde la
dirección IP pública de Boston. Explorará esto con mayor detalle en esta lección.
NO REIMPRIMIR
© FORTINET
La topología de esta diapositiva muestra la configuración ADVPN requerida en nuestra implementación básica de SDWAN.
En el concentrador, debe deshabilitar el dispositivo de red y habilitar el descubrimiento automático del remitente en la configuración de la fase 1 de cada
superposición.
En los radios, debe habilitar tanto el dispositivo de red como el receptor de descubrimiento automático en la configuración de fase 1 de cada superposición.
También debe permitir que la interfaz responda a los paquetes de ping. La razón es que SDWAN envía sondas de ping a la dirección IP superpuesta del radio remoto para
monitorear el rendimiento y el estado del acceso directo. Por este motivo, si no habilita el acceso de ping, las sondas de ping fallarán y los accesos directos
se marcarán como inactivos.
Tenga en cuenta que el dispositivo de red está deshabilitado de forma predeterminada, así que asegúrese de habilitarlo en los radios.
NO REIMPRIMIR
© FORTINET
Además de aumentar el rendimiento, la adherencia de la superposición también es importante para ADVPN porque ayuda a evitar que los
radios intenten negociar atajos sobre capas subyacentes inalcanzables.
La topología de esta diapositiva muestra dos superposiciones, una establecida sobre ISP1 y otra sobre MPLS. ISP1 es un enlace de Internet al que se
le asigna una dirección IP pública. MPLS es un enlace privado asignado con una dirección IP privada que se puede enrutar solo dentro de la
red del proveedor MPLS. Los accesos directos superpuestos del mismo ISP se negocian con éxito
porque los radios pueden alcanzar la IP del mismo nivel entre sí a través de las capas subyacentes correspondientes. Sin embargo, las
superposiciones entre ISP no se pueden establecer porque las redes ISP1 y MPLS no son enrutables entre ellas.
Es decir, durante la negociación de acceso directo, un radio que utiliza su IP pública no puede alcanzar la IP privada del par y viceversa.
NO REIMPRIMIR
© FORTINET
La plantilla de superposición SDWAN en FortiManager ofrece la posibilidad de configurar ADVPN con un selector de puntada única. Cuando se
selecciona, FortiManager configura las plantillas IPsec y BGP con los requisitos necesarios.
parámetros para configurar ADVPN en el concentrador y los radios utilizando la configuración recomendada de Fortinet.
Para BGP, FortiManager define las plantillas con habilitación de ruta adicional y habilitación de siguiente salto recursivo.
Para IPsec, FortiManager habilita el descubrimiento automático del remitente en el concentrador, el descubrimiento automático del receptor en el radio
y ajusta algunos otros parámetros, como se muestra en esta diapositiva.
Tenga en cuenta que agregar ruta debe estar deshabilitado si utiliza un protocolo de enrutamiento dinámico. Esto garantiza que el protocolo
IKE no agregue rutas (de regreso a los radios a los concentradores) y deje las rutas únicamente a las rutas dinámicas configuradas.
protocolo de enrutamiento.
NO REIMPRIMIR
© FORTINET
Si lo prefiere, puede utilizar las plantillas recomendadas por IPsec para configurar ADVPN en su FortiGate. Esas plantillas están preconfiguradas con
configuraciones recomendadas para SDWAN, concentrador y radio y topología. Cuando habilita la opción ADVPN, las plantillas recomendadas
predefinidas se configurarán automáticamente con los siguientes parámetros:
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra la topología utilizada para probar SDWAN y ADVPN. Es esencialmente la misma topología básica utilizada antes, excepto
que la diapositiva indica las direcciones IP asignadas a cada superposición en los radios usando la configuración del modo IKE y un resumen de
la configuración aplicada en el concentrador y los radios.
Las siguientes diapositivas muestran cómo la tabla de enrutamiento de FortiOS, el resultado de diagnóstico para las reglas SDWAN y el
SLA de rendimiento cambian cuando se establece un acceso directo entre los radios después de que un punto final detrás del radio1 genera tráfico al
radio2. Tenga en cuenta que el miembro preferido en Spoke1 es T_INET_0.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra la tabla de enrutamiento, el resumen del túnel IPsec y los resultados de diagnóstico SDWAN relevantes antes de que se
establezca el acceso directo.
Tenga en cuenta que la búsqueda recursiva del siguiente salto de la primera ruta IBGP se resuelve en T_INET_0. Esto se debe a que hay una ruta
estática a 10.201.1.0/24 que FortiOS agrega en Spoke1 como resultado de la función de configuración del modo IKE, que está habilitada.
Tenga en cuenta también que la regla SDWAN está configurada en modo manual y el miembro preferido es T_INET_0.
NO REIMPRIMIR
© FORTINET
Cuando un punto final con dirección 10.0.1.101 genera tráfico a 10.0.2.101, Spoke1 inicialmente dirige el tráfico a través de la superposición
principal T_INET_0. Al mismo tiempo, comienza la negociación del atajo entre Spoil1 y Spoil2. Una vez establecido el atajo, el radio1 comienza a
enrutar el tráfico a través del atajo (T_INET_0_0).
La tabla de enrutamiento en Spoke1 también refleja la negociación exitosa del atajo. FortiOS instala una ruta estática a través del acceso directo
para alcanzar la dirección IP superpuesta del radio remoto. El resultado es que el siguiente salto de las rutas IBGP a 10.0.2.0/24 ahora se resuelve
recursivamente en el acceso directo, en lugar de hacerlo en el túnel principal. Tenga en cuenta que la ruta conectada de configuración del modo IKE
a 10.201.1.0/24 a través del túnel principal todavía está allí. Lo que pasa es que la nueva ruta estática a 10.201.1.2/32 es mejor (más específica).
Además, el resultado del resumen del túnel IPsec también muestra el nuevo acceso directo. Tenga en cuenta que el nombre del acceso directo
está compuesto por el nombre del túnel principal seguido de un guión bajo y un número.
NO REIMPRIMIR
© FORTINET
Una vez establecido el acceso directo, FortiGate enumera el acceso directo como una subinterfaz en la salida de diagnóstico de la regla SDWAN.
FortiGate también comienza a monitorear el acceso directo usando ping como protocolo y apuntando a la IP superpuesta del radio remoto (10.201.1.2),
10 segundos después de que se establece el acceso directo.
Tenga en cuenta que FortiGate mueve el acceso directo a la parte superior de la lista, por lo que tiene prioridad sobre el túnel principal.
NO REIMPRIMIR
© FORTINET
Habilite la depuración de IKE para depurar la negociación de accesos directos de ADVPN, como se muestra en esta diapositiva. En el filtro de
registro IKE, puede especificar varias direcciones IP para imprimir mensajes de depuración. Esto es muy útil al depurar atajos de ADVPN y
problemas de negociación de ADVPN de voz a voz.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo del resultado de depuración en tiempo real mostrado por IKE durante una negociación de acceso directo
activada después de que Spoil1 se comunica con Spoke2 a través del túnel principal.
La negociación de atajos comienza en el centro. En el concentrador, el túnel al radio1 es T_INET_0_0 y su puerta de enlace remota es 192.2.0.1. El
túnel a Spoil2 es T_INET_0_1 y su puerta de enlace remota es 203.0.113.1.
El concentrador identifica que se puede negociar un atajo entre los dos radios para el tráfico procedente de 10.0.1.101 y destinado a
10.0.2.101. Por este motivo, el centro envía una oferta de atajo a Spoke1 para iniciar la negociación de atajo.
Luego, Spoke1 recibe la oferta de acceso directo del centro, a la que responde con una consulta de acceso directo. Luego, el concentrador recibe
la consulta de acceso directo de Spoke1 y la reenvía a Spoke2.
NO REIMPRIMIR
© FORTINET
Spoke2 recibe la consulta de acceso directo del centro, a la que responde con una respuesta de acceso directo. Luego, el concentrador recibe
la respuesta de acceso directo de Spoke2 y la reenvía a Spoke1.
NO REIMPRIMIR
© FORTINET
Spoke1 recibe la respuesta de acceso directo del concentrador y luego inicia la negociación IKE para abrir el túnel de acceso directo. Poco después
se establece el acceso directo (T_INET_0_0) .
Tenga en cuenta que, en este ejemplo, el nombre del túnel Spoke1 en el concentrador es el mismo que el del túnel de acceso directo en Spoke1.
Sin embargo, los túneles son diferentes. Es decir, en el concentrador, T_INET_0_0 es el túnel secundario que conecta el concentrador con Spoke1 y
que resulta de la configuración del concentrador como servidor de acceso telefónico IPsec. En Spoke1, T_INET_0_0 es el acceso directo
negociado con Spoke2. Tanto el túnel secundario de acceso telefónico como el de acceso directo utilizan la misma convención de nombres.
NO REIMPRIMIR
© FORTINET
Al revisar los mensajes de registro de VPN, el campo advpnsc le ayudará a identificar los túneles VPN de acceso directo.
FortiGate establecerá el valor 1 de advpnsc para cualquier mensaje de registro relacionado con túneles de acceso directo; para cualquier otro túnel,
el valor advpnsc se establece en 0.
Al ver el registro en FortiAnalyzer, puede mostrar la columna Acceso directo ADVPN para ver el advpnsc
bandera.
Esta diapositiva muestra ejemplos de visualización de registros, filtrados para ver solo mensajes relacionados con ADVPN en la CLI de FortiGate y
en la GUI de FortiAnalyzer.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al demostrar competencia para ajustar su implementación de ADVPN, podrá configurar la red para ahorrar recursos, acelerar la convergencia
de enrutamiento y mejorar la experiencia del usuario para aplicaciones sensibles.
aplicaciones.
NO REIMPRIMIR
© FORTINET
De forma predeterminada, los accesos directos heredan su vida útil de sus túneles principales. Es decir, si la vida útil de un túnel principal es de 1800 segundos, sus
accesos directos también utilizan la misma vida útil.
Por lo general, la vida útil de un túnel IPsec se establece en unas pocas horas, lo que significa que los accesos directos inactivos permanecen activos durante el
mismo período de tiempo a menos que se eliminen manualmente o DPD los detecte inactivos, lo que puede provocar una utilización innecesaria de recursos en
los radios.
Para reducir la utilización de recursos, puede configurar un tiempo de espera de inactividad para los accesos directos. De esta manera, FortiGate activa un
acceso directo si no se ha utilizado para reenviar el tráfico de usuarios en un período de tiempo determinado. Tenga en cuenta que el tráfico de verificación de
estado no se considera tráfico de usuario y, por lo tanto, no impide que se agote el tiempo de espera de un túnel inactivo.
Esta diapositiva muestra cómo establecer un tiempo de inactividad para los accesos directos. La configuración de ejemplo establece un tiempo de inactividad de
cinco minutos. Esta diapositiva también muestra algunos de los mensajes relevantes que se ven en la depuración de IKE cuando se agota el tiempo de espera de
un acceso directo.
NO REIMPRIMIR
© FORTINET
Cuando utiliza reglas de menor costo (SLA), FortiGate usa el miembro de menor costo que cumple con el objetivo de SLA configurado. Si un miembro
no cumple con el objetivo del SLA, se lo considera fuera del SLA y, por lo tanto, se lo coloca al final de la lista de interfaces salientes.
Los enlaces que se ven afectados por condiciones de caída de tensión (es decir, el enlace está activo pero su calidad está degradada) pueden entrar
y salir de los estados SLA en cortos períodos de tiempo. Esto puede dar lugar a una mala experiencia del usuario para aplicaciones
sensibles como voz o vídeo, así como a una alta utilización de la CPU provocada por la reevaluación frecuente de la sesión.
Para evitar una conmutación por recuperación inmediata a un miembro recuperado, incluidos los accesos directos recuperados, puede configurar el
tiempo de espera en una regla SDWAN. El resultado es que FortiGate espera una cantidad determinada de segundos antes de mover un miembro
recuperado a su lugar original en la lista de la interfaz saliente. De esta manera, FortiGate puede monitorear al miembro con mayor precisión y
garantizar que cumpla con el objetivo de SLA requerido durante un cierto período de tiempo antes de comenzar a dirigir el tráfico hacia él.
Esta diapositiva muestra un ejemplo de configuración del tiempo de espera , que está establecido en 20 segundos. La configuración se aplica a todos
los miembros configurados en la regla, incluidos los accesos directos de ADVPN. Se recomienda encarecidamente configurar un valor de al
menos 20 segundos en implementaciones SDWAN y ADVPN utilizando reglas de menor costo (SLA).
Tenga en cuenta que la configuración afecta solo al costo más bajo (SLA) y a las reglas de mejor calidad. El valor predeterminado del tiempo de
espera es 0, lo que significa que no hay retraso de conmutación por recuperación. Cuando lo establece en un valor superior a 0, el estado de la
regla SDWAN del servicio refleja el cambio, como se muestra en esta diapositiva.
NO REIMPRIMIR
© FORTINET
De forma predeterminada, los atajos no se desactivan si el túnel principal se desactiva. Es decir, la vida útil de un acceso directo es independiente de
su túnel principal.
Para ahorrar recursos y obtener una convergencia de enrutamiento más rápida, puede indicarle a FortiGate que elimine un acceso directo
inmediatamente después de que su túnel principal se caiga configurando los accesos directos de descubrimiento automático en dependientes, como
se muestra en esta diapositiva. De forma predeterminada, la configuración está configurada como independiente.
NO REIMPRIMIR
© FORTINET
Considere la topología de doble concentrador que se muestra en esta diapositiva, que muestra dos concentradores y dos radios.
2. Los radios tienen superposiciones IPsec duales, una para cada concentrador. ADVPN está habilitado en las superposiciones.
3. El tráfico del radio1 al radio2 inicialmente fluye a través del túnel principal hacia el centro1 y una negociación de atajo.
empieza.
4. Se establece un atajo entre el radio1 y el radio2 y el tráfico de radio a radio comienza a fluir.
el atajo.
5. En el concentrador1, se pierde el acceso a Internet, lo que provoca que el túnel principal entre el concentrador1 y el radio1 se caiga.
Sin embargo, el acceso directo permanece activo porque su vida útil es independiente del túnel principal (comportamiento predeterminado).
6. La información de enrutamiento en Spoke1 se actualiza y ahora se puede acceder a Spoke2 a través del hub2, lo que desencadena una
reevaluación de la sesión. El tráfico de Spoke1 a Spoke2 comienza a fluir a través del hub2 y se inicia una negociación de acceso
directo sobre el hub2. En este punto, el primer atajo negociado sobre hub1 todavía está activo.
7. La negociación de atajos sobre hub2 falla porque ya existe un atajo establecido entre los mismos
par de puertas de enlace. Es decir, las direcciones IP de la puerta de enlace local y remota son las mismas.
NO REIMPRIMIR
© FORTINET
Para permitir que los radios establezcan accesos directos entre el mismo par de direcciones IP de puerta de enlace local y remota, configure una ID
de red en cada superposición, como se muestra en esta diapositiva. La función de ID de red solo es compatible con IKEv2.
Cuando configura una ID de red diferente para cada superposición, ambos accesos directos, el negociado a través de hub1 y el negociado a través
de hub2, se pueden establecer al mismo tiempo.
La ID de red también es útil para la búsqueda de puerta de enlace cuando configura varias VPN de acceso telefónico que terminan en la misma
dirección IP local y desea que los usuarios se conecten a una VPN en particular. Dado que el ID de red se encuentra en el primer paquete del
iniciador, se puede utilizar para identificar la configuración de puerta de enlace de fase 1 correcta que coincida.
Tenga en cuenta que debe habilitar la superposición de red para configurar la identificación de red.
NO REIMPRIMIR
© FORTINET
Aprendiste cómo FortiGate puede usar la reflexión de ruta BGP para permitir el enrutamiento a través de túneles ADVPN. ¿Qué pasa con ADVPN en
la red con enrutamiento estático?
Antes de FortiOS 7.2.0, no era posible utilizar VPN de descubrimiento automático sin enrutamiento BGP. Ahora, FortiGate puede aprovechar los
selectores de Fase 2 para permitir ADVPN sin reflexión de ruta y, por lo tanto, hace que ADVPN sea compatible con el enrutamiento
estático.
En lugar de la reflexión de ruta BGP, el protocolo IPsec administra el enrutamiento a través de accesos directos ADVPN. Con el uso de selectores de
fase 2, cada sitio anuncia sus subredes protegidas durante la negociación IPsec para el establecimiento del túnel.
Routereflection y el selector de fase2 son soluciones para permitir el enrutamiento a través de atajos de ADVPN. Cada uno tiene sus propias
ventajas y limitaciones. Los principales elementos a tener en cuenta a la hora de seleccionar una opción son
resumido en la tabla que se muestra en esta diapositiva.
Con el enrutamiento BGP, las dos opciones son posibles. Tenga en cuenta que el selector de fase 2 permite la agregación de rutas BGP y, por lo
tanto, simplifica la tabla de enrutamiento. En los concentradores, reduce la carga del proceso del demonio BGP y puede ayudar a mejorar
la escalabilidad en grandes redes ADVPN. La opción del selector de fase 2 también permite una configuración BGP simplificada (sin
reflexión de ruta, sin ruta adicional), pero agrega requisitos de configuración en la fase 2 de IPsec. El administrador debe definir cada red local.
NO REIMPRIMIR
© FORTINET
Para usar ADVPN con selector de fase 2, la configuración de IPsec en el concentrador es similar a la que hará para ADVPN con reflector de ruta.
En la fase 1, debe habilitar el remitente de descubrimiento automático de ADVPN y mantener el dispositivo de red desactivado. No se requiere ninguna
configuración específica para la fase 2 en el concentrador.
Debe asegurarse de que el enrutamiento requerido para la superposición esté configurado correctamente. Puede ser estático, OSPF o BGP. Si
utiliza enrutamiento BGP y SDWAN, debe permitir anuncios de rutas adicionales para permitir SDWAN
para aprender todos los caminos posibles y dirigir correctamente el tráfico. Mantenga el parámetro rutareflectorcliente
desactivado (configuración predeterminada).
NO REIMPRIMIR
© FORTINET
Para usar selectores de fase 2 para inyectar rutas IKE en el túnel de accesos directos de ADVPN, debe ajustar la configuración de IPsec en los radios
como se muestra en esta diapositiva.
En la fase 1 de IPsec, debe habilitar el método de configuración (habilitar modecfg) y permitir la adición de rutas según el selector de destino
(habilitar agregar ruta). También debe habilitar el parámetro modecfgallowclientselector para permitir la configuración del selector personalizado
en el nivel de fase2.
En la fase 2, definirá las subredes locales que se inyectarán en el establecimiento del túnel y del acceso directo al túnel.
Puede definir la subred local directamente como una subred o como un objeto de dirección de firewall. En el ejemplo de configuración que se
muestra en esta diapositiva, la subred de origen se define con el grupo de direcciones de firewall LAN_net. Este tipo de configuración
con objeto de dirección es necesario cuando desea definir varias subredes como origen de fase 2.
El establecimiento de atajos de ADVPN sigue los mismos pasos similares con los selectores de Phase2 y la reflexión de ruta: oferta de
atajo, consulta de atajo, respuesta de atajo. Para solucionar problemas y revisar el establecimiento del túnel de acceso directo, puede utilizar los
comandos vistos anteriormente en esta lección.
NO REIMPRIMIR
© FORTINET
Al dominar los objetivos cubiertos en esta lección, aprendió cómo configurar SDWAN y ADVPN en una topología radial básica. También
aprendió cómo ajustar su configuración de IPsec, BGP y ADVPN para
lograr una convergencia de enrutamiento y conmutación por error más rápidas.
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá cómo FortiAnalyzer puede ayudar con el monitoreo y análisis de redes SDWAN. También aprenderá
sobre los comandos CLI disponibles en FortiGate para monitorear y solucionar problemas de implementaciones SD
WAN.
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.
Al comprender las funciones de registro e informes disponibles en FortiAnalyzer para SDWAN, podrá solucionar problemas y monitorear el
estado y el rendimiento de todos los dispositivos FortiGate en su red desde un solo dispositivo.
NO REIMPRIMIR
© FORTINET
FortiAnalyzer agrega datos de registro de uno o más dispositivos Fortinet, incluidos los dispositivos FortiGate que participan en SD
WAN. FortiAnalyzer actúa como un repositorio de registros centralizado y proporciona un único canal para acceder a los datos completos
de su red SDWAN, por lo que no necesita acceder a varios dispositivos SDWAN varias veces al día.
2. FortiAnalyzer recopila, combina y almacena registros SDWAN de una manera que facilita la búsqueda y ejecución de informes.
3. Los administradores pueden conectarse a la GUI de FortiAnalyzer para ver registros, análisis e informes de SDWAN.
NO REIMPRIMIR
© FORTINET
La página de registros de tráfico directo es útil para identificar cómo se distribuyen las sesiones en SDWAN y el motivo.
Asegúrese de habilitar las columnas Nombre de regla SDWAN y Calidad SDWAN, que están deshabilitadas de forma predeterminada.
El primero indica la regla SDWAN coincidente para una sesión y el segundo indica el miembro al que se dirigió la sesión y el
motivo. También puede habilitar la columna ID de regla SDWAN y, cuando corresponda, la columna Servicio de Internet SD
WAN. Tenga en cuenta que el ID 0 de la regla SDWAN corresponde al tráfico dirigido según la regla SDWAN predeterminada.
La tabla de esta diapositiva muestra varias sesiones, incluidas sesiones SDWAN y sesiones que no son SDWAN. Las sesiones de SD
WAN incluyen información sobre la calidad de SDWAN, el ID de regla de SDWAN y el nombre de regla de SDWAN.
La primera sesión de esta tabla es una sesión SDWAN y se identificó como una aplicación de Salesforce. Coincidió con la
regla CriticalDIA y se envió al puerto 1. El motivo para seleccionar el puerto 1 fue porque tenía la latencia más baja.
La quinta sesión de la tabla, que también es una sesión SDWAN, se identificó como una aplicación de Twitter, coincidió con la
regla DIA no crítica y se envió al puerto 2. La regla NonCriticalDIA indica a FortiGate que dirija el tráfico coincidente solo al puerto
2, siempre que el puerto esté activo. Este comportamiento coincide con el motivo descrito en la columna Calidad SDWAN para esa
sesión.
NO REIMPRIMIR
© FORTINET
Al igual que en la GUI de FortiGate, FortiAnalyzer coloca los registros de eventos SDWAN en una subsección separada: SDWAN.
El ejemplo de esta diapositiva muestra varios registros de eventos SDWAN de muestra. Haga clic en un registro para obtener más
detalles del evento. Por ejemplo, los detalles del ID de registro 10 indican que el estado del puerto 2 cambió de inactivo a
activo, razón por la cual el ID de registro 9 indica que el puerto está listo para comenzar a reenviar tráfico.
NO REIMPRIMIR
© FORTINET
Las funciones de análisis e informes de FortiAnalyzer se basan principalmente en la información contenida en los registros recibidos de los dispositivos. Los
datos utilizados por algunos de los gráficos SDWAN FortiView en FortiAnalyzer se toman de los registros de estado de SLA de verificación de estado
generados por FortiGate. De forma predeterminada, estos registros no se generan y debe habilitarlos si desea aprovechar todas las funciones de monitoreo e
informes de SDWAN proporcionadas por FortiAnalyzer.
En FortiGate, puede habilitar los registros de estado de SLA de verificación de estado configurando las configuraciones slafaillogperiod y slapasslogperiod
disponibles en la configuración CLI de SLA de rendimiento. En FortiManager, puede configurar estos ajustes en Opciones avanzadas en la sección SLA de
rendimiento.
slafaillogperiod y slapasslogperiod indican el intervalo (en segundos) en el que se generan los mensajes de registro de estado de SLA de verificación de
estado cuando un miembro no cumple con su objetivo de SLA configurado y cuando
hace, respectivamente. De forma predeterminada, ambas configuraciones están establecidas en 0, lo que significa que no se generan registros.
En el ejemplo que se muestra en esta diapositiva, ambas configuraciones están configuradas en 10 segundos. Como resultado, FortiAnalyzer recibe registros
de estado de SLA de verificación de estado cada 10 segundos para cada miembro de SDWAN configurado con un objetivo de SLA.
Los registros de estado de SLA de verificación de estado contienen información detallada sobre el estado y el rendimiento de los miembros.
NO REIMPRIMIR
© FORTINET
FortiView es un sistema de monitoreo integral para su red que integra datos históricos y en tiempo real en una sola vista.
La página Secure SDWAN Monitor en FortiView muestra información sobre el estado y la utilización de los miembros para un dispositivo
y un rango de tiempo en particular mediante gráficos prácticos. El ejemplo de esta diapositiva muestra algunos de los gráficos disponibles en
la página.
El widget de utilización de reglas SDWAN muestra un gráfico tipo Sankey. Informa la utilización de reglas por aplicaciones y
miembros. El ejemplo de esta diapositiva muestra que la regla DIA no crítica se utiliza para reenviar aplicaciones de Twitter y Facebook, y que
la interfaz de destino es el puerto 2. Pase el cursor sobre un gráfico para ver los detalles.
El widget de utilización de SDWAN por aplicación indica la cantidad de tráfico por aplicación y los miembros a los que se dirigió el
tráfico. El ejemplo de esta diapositiva muestra que todo el tráfico de Facebook se dirigió al puerto 2.
Tenga en cuenta que los gráficos se actualizan automáticamente cada 5 minutos. Sin embargo, puede actualizarlos manualmente haciendo
clic en el botón Actualizar en la esquina superior derecha de la página.
NO REIMPRIMIR
© FORTINET
En esta diapositiva puede ver un ejemplo del widget de interfaz SDWAN, también disponible en la página del monitor SDWAN seguro.
Muestra el ancho de banda y la información de rendimiento para las interfaces SDWAN. Para algunas interfaces de túnel, verá un botón
de expansión cerca del nombre de la interfaz, lo que indica que se han establecido uno o más accesos directos ADVPN desde este
túnel. Amplíe la pantalla para ver detalles de los túneles de acceso directo de ADVPN.
Tenga en cuenta que para los túneles VPN, las columnas IP y Puerta de enlace remota muestran la IP local y la IP de la puerta de enlace
remota del túnel VPN.
NO REIMPRIMIR
© FORTINET
La página Resumen de SDWAN en FortiView proporciona una vista resumida de su implementación de SDWAN. Al igual que la página de
monitorización segura de SDWAN, proporciona información sobre el estado y la utilización de SDWAN, excepto que puede agregar los
datos de varios dispositivos en la red.
El ejemplo de esta diapositiva muestra los widgets Descripción general del estado de SDWAN y Principales problemas de SDWAN SLA.
El primero indica cuántos dispositivos se encuentran en estados críticos, importantes y saludables. También puede hacer clic en los enlaces
del gráfico para obtener la lista de dispositivos en cada uno de esos estados. El widget Principales problemas de SDWAN SLA muestra las
interfaces de mejor rendimiento según la fluctuación, la latencia o la pérdida de paquetes. Puede seleccionar el parámetro de rendimiento
en el campo en la esquina superior derecha de la página.
NO REIMPRIMIR
© FORTINET
Los widgets Principales aplicaciones SDWAN y Principales interlocutores SDWAN muestran las aplicaciones y puntos finales que generaron la
mayor cantidad de tráfico en SDWAN, respectivamente.
El widget Audio MOS Score grafica MOS por códec y por FortiGate.
El widget Rendimiento superior del dispositivo SDWAN muestra gráficamente la utilización del ancho de banda para el tráfico SDWAN.
NO REIMPRIMIR
© FORTINET
FortiAnalyzer viene con dos informes SDWAN preconfigurados: el Informe de evaluación SDWAN segura
y Informe SDWAN seguro.
El Informe de evaluación de Secure SDWAN debe ejecutarse antes de implementar SDWAN en la red.
El informe describe cuánto tráfico se considera externo o interno, las principales aplicaciones de la red y su categoría (negocios, TI en la
nube, redes sociales, etc.). El informe también indica las principales fuentes y destinos según el volumen de tráfico. El objetivo del informe es
que los administradores y la gerencia comprendan el patrón de tráfico actual y luego identifiquen las áreas donde SDWAN
puede ayudar a mejorar el rendimiento y la disponibilidad de las aplicaciones.
El informe Secure SDWAN debe ejecutarse después de implementar SDWAN. El informe enumera las aplicaciones dirigidas por SDWAN
y la información de estado y rendimiento de los dispositivos y miembros. Los administradores y la gerencia pueden usar el informe para
verificar el estado de SDWAN durante un período determinado e identificar problemas pasados.
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva. Al
demostrar una buena comprensión de los comandos de solución de problemas de FortiGate, podrá analizar y solucionar
problemas de implementaciones SDWAN.
NO REIMPRIMIR
© FORTINET
Al solucionar problemas de SDWAN en FortiGate, puede continuar usando los comandos de solución de problemas de propósito general.
En las siguientes diapositivas, verá campos específicos de SDWAN disponibles para esos comandos.
Tenga en cuenta que esta lección no presenta los principios generales ni el uso detallado de esos comandos. Puede consultar la sección de
solución de problemas de la Guía de administración de FortiGate para obtener detalles adicionales sobre el uso de los comandos.
NO REIMPRIMIR
© FORTINET
En una implementación SDWAN, puede recopilar un seguimiento del rastreador en la CLI de FortiGate para examinar el tráfico que fluye a
través del dispositivo FortiGate. Si recopila un seguimiento del rastreador para determinar la interfaz saliente seleccionada para un flujo de
tráfico en particular, utilizará la siguiente configuración:
• Nivel de seguimiento 4 para mostrar el nombre de la interfaz pero solo el encabezado del paquete, para una mejor legibilidad
• Interfaz cualquiera para recopilar datos sobre todas las interfaces salientes posibles
• Filtro de tráfico para limitar la captura al flujo que deseas analizar
Recuerde que para FortiGate con interfaces NP2, NP4 o NP6 que descargan tráfico, debe deshabilitar la descarga en el nivel de política
antes de recopilar un seguimiento del rastreador; de lo contrario, el proceso PCAP no puede recopilar el tráfico.
NO REIMPRIMIR
© FORTINET
El flujo de depuración indica, en detalle, cómo el dispositivo FortiGate maneja los paquetes. Puede recopilar los datos con comandos CLI o, a
partir de FortiOS 7.2.0, desde la GUI como se muestra en esta diapositiva.
Cuando el flujo de depuración se recopila desde la GUI, puede filtrar las entradas por palabras clave y exportar el resultado como un archivo
CSV.
En la CLI, puede utilizar el comando diagnosticar el filtro de flujo de depuración. para enumerar los criterios de filtro disponibles y el
comando diagnosticar filtro de flujo de depuración para revisar los filtros implementados.
NO REIMPRIMIR
© FORTINET
El comando CLI diagnostic sys session filter le permite filtrar las sesiones que se mostrarán. Luego, use el comando diagnostic sys session list
para mostrar los detalles de la sesión.
¿Puede utilizar el filtro de sesión de diagnóstico del sistema? para ver los filtros disponibles, diagnosticar el filtro de sesión del sistema
para ver los filtros activos y diagnosticar el borrado del filtro de sesión del sistema para restablecer la configuración de los filtros.
Utilice el comando diagnostic sys session list para el tráfico IPv4 y diagnostic sys session6 list
para el tráfico IPv6.
La parte derecha de esta diapositiva muestra un resultado de ejemplo con información detallada sobre la entrada de la tabla de sesiones.
Tenga en cuenta que el ejemplo no muestra la información de configuración del tráfico.
NO REIMPRIMIR
© FORTINET
Ya descubrió el diagrama de flujo de esta diapositiva en la lección de enrutamiento y sesión. Puede usarlo para revisar los
comandos disponibles para consultar información de enrutamiento en los dispositivos FortiGate.
Tenga en cuenta que el comando diagnosticar lista de protección del firewall muestra todas las rutas de políticas. Puede
determinar el tipo de ruta mirando el ID de la ruta.
Una ruta de política normal obtendrá un ID entre 1 y 65535. Las rutas ISDB y las rutas derivadas de reglas SDWAN
tendrán un ID superior a 65535. Verá el campo ID de servicio SDWAN solo para reglas SDWAN (campo vwl_service) .
NO REIMPRIMIR
© FORTINET
Tenga en cuenta los campos vwl_service y vwl_mbr, que indican la regla SDWAN que permitió la creación de la ruta y el miembro SDWAN
utilizado para dirigir el tráfico.
La ID que se muestra en la salida del comando diagnostic firewall proute list corresponde a la ID que se muestra en la salida del flujo de
depuración cuando un paquete coincide con una regla. La salida también incluye la salida
lista de interfaces, con las preferencias de interfaz ordenadas de izquierda a derecha.
Para fines de solución de problemas, el resultado del comando diagnostic firewall proute list también muestra el recuento de aciertos de la regla
y la última vez que se aplicó la regla.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra los principales comandos de diagnóstico que utilizará al revisar el comportamiento de SDWAN en un
dispositivo FortiGate.
A través de las siguientes diapositivas, aprenderá cómo utilizarlas y verá resultados de ejemplo para cada una de ellas.
NO REIMPRIMIR
© FORTINET
Para verificar la configuración de zonas y miembros de SDWAN, puede usar los comandos CLI:
• diagnosticar miembro del sistema sdwan
• diagnosticar la zona sdwan del sistema
Tenga en cuenta que FortiGate ajusta la salida del comando diagnostic sys sdwan member de acuerdo con el modo de
equilibrio de carga que configuró para la regla. Por ejemplo, cuando utiliza el método basado en volumen medido, el
comando mostrará la relación de volumen, el tiempo de la última lectura y el volumen restante de la habitación.
El comando diagnostic sys sdwan zone indica el ID del kernel de la interfaz cerca del nombre de la interfaz. Puede revisar los ID
del kernel de la interfaz con el comando diagnosticar la lista de interfaces netlink.
NO REIMPRIMIR
© FORTINET
Para verificar el estado de verificación de estado de SDWAN y el rendimiento de SLA, puede usar el comando diagnostic sys sdwan health
check status. Este comando proporciona, para cada verificación de estado configurada, el estado de cada miembro, vivo o muerto, y un
valor instantáneo para los criterios disponibles (pérdida de paquetes, latencia, fluctuación, MOS y ancho de banda). sla_map
resume los objetivos de SLA no cumplidos o aprobados. Verá en la siguiente diapositiva cómo interpretar el valor presentado.
Tenga en cuenta que el comando de verificación de estado muestra un valor para cada parámetro disponible, pero el proceso de SLA
considera solo los parámetros para los cuales configuró un valor de SLA objetivo para determinar el estado del SLA del enlace y el
resultado del mapa de SLA.
Los SLA de rendimiento se basan en el proceso de monitoreo de enlaces de FortiOS (lnkmt) para monitorear el estado y el
rendimiento de los miembros. Por este motivo, puede ejecutar la interfaz de monitor de enlace del sistema de diagnóstico
para mostrar información de estado de miembro similar a la que muestra el comando diagnostic sys sdwan healthcheck status .
En modo pasivo o preferentemente pasivo, el proceso pasivo del monitor de enlace (lnkmt_passive) es responsable de recopilar los
datos y preparar los informes utilizados por el proceso del monitor de enlace para calcular la pérdida de paquetes, la latencia y la
fluctuación. Por este motivo, puede ejecutar el comando diagnostic sys linkmonitorpassive admin list para mostrar los datos pasivos
recopilados.
NO REIMPRIMIR
© FORTINET
El campo sla_map incluido en la salida del estado de verificación de salud de diagnostic sys sdwan
El comando indica si el miembro cumple o no con los objetivos de SLA configurados. El campo utiliza una máscara de bits.
representación para hacer referencia a los objetivos de SLA y su estado. Siga estas reglas para comprender sla_map
campo:
Esta diapositiva muestra una tabla con todos los valores posibles de sla_map cuando configura tres objetivos de SLA para un miembro.
Por ejemplo, un sla_map de 0x6 significa que se cumplen los objetivos de SLA 3 y 2, pero no el objetivo de SLA 1 (6 = 4 + 2 + 0). Amplíe o
reduzca la tabla según la cantidad de objetivos de SLA configurados en su configuración.
Tenga en cuenta que un sla_map de 0x0 tiene dos significados posibles. Si configura uno o más objetivos de SLA para un miembro,
0x0 significa que no se cumple ninguno de los objetivos de SLA. Sin embargo, 0x0 también puede significar que no configuró ningún
objetivo de SLA para el miembro. Por lo tanto, asegúrese de verificar la configuración de SLA de rendimiento para identificar si hay objetivos
de SLA configurados o no.
NO REIMPRIMIR
© FORTINET
En modo pasivo o preferentemente pasivo, el proceso pasivo del monitor de enlace (lnkmt_passive) es responsable de recopilar los
datos y preparar los informes utilizados por el proceso del monitor de enlace para calcular la pérdida de paquetes, la latencia y la
fluctuación. Cuando el dispositivo local realiza la supervisión del enlace (realizada a nivel del kernel), puede ejecutar el comando diagnostic
sys linkmonitorpassive admin list para mostrar los datos pasivos recopilados.
Para una configuración en la que FortiGate utiliza el informe SLA medido por un dispositivo par remoto, utilizará el comando diagnostic
sys linkmonitorpassive remote list para verificar la información de SLA.
Recuerde que cuando quiera utilizar el monitoreo pasivo, debe habilitar la medición pasiva a nivel de política con el comando set pasiva
wanhealthmeasurement enable. Debido a que la NPU no admite la medición pasiva de SDWAN, FortiGate desactivará automáticamente
la descarga asic automática
para una política que tiene una medición pasiva de la salud.
NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de una salida de monitor de enlace pasivo ordenada por aplicaciones.
Tenga en cuenta que puede decidir mostrar el resultado para todas las aplicaciones o solo para una. Cuando filtra por
aplicación, puede filtrar por nombre de aplicación, ID de aplicación o valor hexadecimal de la aplicación.
El comando diag sys linkmonitorpassive admin appidmap le proporciona la asignación entre el nombre de la aplicación, el ID
de la aplicación y el ID hexadecimal.
NO REIMPRIMIR
© FORTINET
Las reglas de SDWAN se actualizan dinámicamente según el estado y el rendimiento del miembro. Esto significa que la lista de interfaces
salientes puede cambiar con el tiempo, por lo que es útil comprobar su estado actual para solucionar problemas.
La mejor manera de verificar el estado de una regla SDWAN es ejecutando el servicio diagnostic sys sdwan en la CLI de FortiGate. Como se
muestra en esta diapositiva, el resultado indica los criterios coincidentes en uso, el modo de regla y la lista de interfaces salientes. Puede
especificar el ID del servicio para mostrar el resultado de un único servicio (diagnosticar el servicio sys sdwan <service_id>).
Cuando verifique los detalles del estado del servicio SDWAN, preste atención a los mensajes de advertencia que pueden aparecer
encima de la lista de miembros.
NO REIMPRIMIR
© FORTINET
Puede ver las entradas de la aplicación detectadas en el caché de la aplicación ISDB ejecutando diagnostic sys sdwan internetserviceappctrllist
en la CLI de FortiGate. Cada entrada en la salida indica el ID de la aplicación, el ID de la aplicación ISDB, la tupla triple y la última vez que se actualizó la
entrada. Tenga en cuenta que FortiGate mantiene una aplicación por cada 3 tuplas, pero una aplicación puede asociarse con múltiples 3 tuplas. Si
se detectan varias aplicaciones para la misma 3tupla, FortiGate utiliza la aplicación detectada más reciente para la 3tupla.
FortiGate utiliza el ID de la aplicación, el ID de la aplicación ISDB y la tupla triple para coincidir con la regla SDWAN. En el ejemplo que se muestra en esta
diapositiva, una entrada de caché es para una conexión SSH destinada a 10.1.0.7 en el puerto TCP 22. Una conexión que coincide con la entrada
de caché también coincide con el ID de regla SDWAN 2.
Tenga en cuenta que las entradas en la caché de la aplicación ISDB caducan 8 horas después de la última coincidencia detectada.
Puede ejecutar el comando diagnostic sys sdwan internetserviceappctrlflush para borrar todo
Entradas de caché de aplicaciones ISDB,
NO REIMPRIMIR
© FORTINET
Como ya se introdujo en la primera sección de esta lección, de forma predeterminada, FortiGate no registra el resultado
de la verificación de estado del SLA. Si desea ver el estado anterior del SLA, puede habilitar la recopilación de registros de fallos
de SLA y de pases de SLA con los comandos set slafaillogperiod <frequency> y set slapasslogperiod
<frequency> respectivamente. Cuando se configura, FortiGate almacena el estado de SLA para cada parámetro medido con la
frecuencia que usted definió. Mantendrá 10 minutos de historial de registro. Para un período de retención más largo, puede
reenviar el registro a un dispositivo de almacenamiento externo como FortiAnalyzer.
NO REIMPRIMIR
© FORTINET
FortiOS almacena las métricas medidas y la utilización de los miembros durante los últimos 10 minutos. Estos datos históricos son utilizados
por las GUI de FortiManager y FortiGate para crear sus gráficos de SLA de rendimiento.
Puede ver las métricas de miembros almacenadas ejecutando el comando diagnostic sys sdwan slalog . Tenga en cuenta que debe
indicar el nombre del SLA de rendimiento seguido del número de índice de configuración del miembro.
Para mostrar los registros de SLA por interfaz, ejecute el comando diagnostic sys sdwan intfslalog .
NO REIMPRIMIR
© FORTINET
Al dominar los objetivos cubiertos en esta lección, podrá usar FortiAnalyzer para monitorear su implementación de SDWAN
y usar los comandos de solución de problemas de FortiGate para obtener una vista detallada del comportamiento de SDWAN.
NO REIMPRIMIR
© FORTINET
NO REIMPRIMIR
© FORTINET
Ahora revisará las soluciones para los ejercicios de resolución de problemas en el laboratorio de enrutamiento y sesiones.
NO REIMPRIMIR
© FORTINET
• Branch1_fgt utiliza T_INET_0 como miembro principal para enrutar el tráfico a Branch2_fgt. •
Branch1_fgt utiliza T_MPLS para enrutar el tráfico a Branch2_fgt, sólo si se determina que T_INET_0 está inactivo. •
Después de que T_INET_0 se recupera, el tráfico de radio a radio se enruta nuevamente a través de T_INET_0.
NO REIMPRIMIR
© FORTINET
Puede confirmar el problema haciendo ping a 10.0.2.101 desde Branch1_client y, al mismo tiempo, ejecuta un rastreador en la CLI de FortiGate.
Verá que FortiGate enruta los paquetes ICMP a través de T_MPLS. Sin embargo, cuando verifica el estado de T_INET_0 y la configuración de
las reglas SDWAN en la GUI de FortiGate, verá que T_INET_0 está activo y es el miembro preferido para la regla SDWAN ID 3. La regla SD
WAN ID 3 es la regla esperada. regla de coincidencia para el tráfico de radio a radio.
NO REIMPRIMIR
© FORTINET
Si ejecuta un flujo de depuración, observará que el tráfico coincide con el ID de ruta de política 1. El ID es inferior a 65535, lo que significa que la ruta
de política es una ruta de política normal. Sin embargo, el tráfico debe coincidir con el ID 3 de la regla SDWAN.
NO REIMPRIMIR
© FORTINET
Si ve la tabla de rutas de política, puede ver los detalles de la ruta de política regular ID 1. En la GUI de FortiGate, puede ver la
configuración de ruta de política regular correspondiente.
La presencia de la ruta de política normal, que tiene prioridad sobre otros tipos de rutas de política, incluidas las reglas SDWAN,
da como resultado que el tráfico se envíe a T_MPLS. Puede resolver el problema eliminando el regular
ruta de política desde la configuración.
NO REIMPRIMIR
© FORTINET
Después de eliminar la ruta de política habitual, repita la prueba. Verá que el tráfico ahora se dirige a T_INET_1, en lugar de a T_INET_0.
Cuando ejecuta un flujo de depuración, verá que el tráfico no coincide con una ruta de política. En cambio, el tráfico se maneja
mediante el enrutamiento FIB estándar y la mejor ruta se resuelve en T_INET_1.
NO REIMPRIMIR
© FORTINET
Cuando realiza una búsqueda de ruta en FortiGate CLI para 10.0.2.101, puede confirmar que T_INET_1 es la mejor ruta. Si luego ve el
estado de los miembros de SDWAN, verá que T_INET_1 no está incluido en la lista.
NO REIMPRIMIR
© FORTINET
Si marca las rutas estáticas configuradas, puede confirmar que hay una ruta estática configurada para T_INET_1.
Debido a que la mejor ruta al destino no es un miembro de SDWAN, de forma predeterminada, FortiGate omite la regla SDWAN durante el
proceso de coincidencia. El resultado es que el tráfico coincide con la regla implícita de SDWAN. Es decir, FortiGate realiza
enrutamiento FIB estándar para el tráfico.
Puede resolver el problema eliminando la ruta estática para T_INET_1. Después de eliminar la ruta estática y realizar otra búsqueda de
enrutador para 10.0.2.101, verá que T_MPLS, un miembro de SDWAN, es ahora la mejor ruta.
NO REIMPRIMIR
© FORTINET
Si repite la prueba de ping, verá que FortiGate enruta el tráfico a través de T_MPLS. Si ejecuta un flujo de depuración, verá que el tráfico
coincide con una ruta de política. La ruta de política corresponde al ID de regla SDWAN 3, según el resultado de la tabla de ruta de
política.
Aunque el tráfico ahora coincide con la regla SDWAN esperada (ID 3), FortiGate enruta el tráfico a T_MPLS, en lugar de
T_INET_0. Por lo tanto, parece que FortiGate omite T_INET_0 durante el proceso de búsqueda de reglas.
NO REIMPRIMIR
© FORTINET
Si ve la tabla de enrutamiento usando la CLI de FortiGate, verá que no hay rutas a 10.0.2.101
sobre T_INET_0. De hecho, no hay ninguna ruta sobre T_INET_0. Si marca las rutas estáticas configuradas, verá que
la ruta que coincide con el destino hace referencia a la zona superpuesta.
NO REIMPRIMIR
© FORTINET
Si marca el comando de diagnóstico de zona SDWAN, verá que T_INET_0 es miembro de la zona virtualwanlink, en lugar de la
zona superpuesta.
Debido a que la ruta estática hace referencia a la zona de superposición, pero T_INET_0 no es miembro de esa zona, FortiOS
no agrega la ruta estática correspondiente para T_INET_0. Entonces, debido a que T_INET_0 no tiene un
ruta válida al destino, FortiGate omite al miembro durante el proceso de búsqueda de reglas.
NO REIMPRIMIR
© FORTINET
Después de colocar T_INET_0 en la zona de superposición, verá que la tabla de enrutamiento ahora contiene una ruta al destino sobre
T_INET_0. Si repite la prueba, verá que el tráfico ahora se enruta a través de T_INET_0.
NO REIMPRIMIR
© FORTINET
Puede probar la conmutación por error ejecutando un ping extendido al destino mientras rastrea el tráfico en la CLI de FortiGate.
Después de desactivar el puerto 1 usando el simulador de WAN, verá que el tráfico ahora se está enrutando a través de
T_MPLS.
NO REIMPRIMIR
© FORTINET
Puede probar el respaldo volviendo a activar el puerto 1 y luego mirando la salida del sniffer. Verá que el tráfico se enruta nuevamente a través de
T_INET_0.
NO REIMPRIMIR
© FORTINET
El administrador ha identificado este problema: si tanto el puerto1 como el puerto2 están activos y el administrador genera tráfico de Internet, el tráfico
crítico se enruta al puerto1, como se esperaba. Sin embargo, el tráfico no crítico tiene una carga equilibrada entre el puerto1 y el puerto2.
El administrador quiere que el puerto 2 se utilice para el tráfico de Internet, sólo si el puerto 1 deja de funcionar.
NO REIMPRIMIR
© FORTINET
Puede confirmar el problema haciendo ping a las direcciones que se muestran en esta diapositiva desde Branch1_client y, al mismo tiempo,
ejecuta un rastreador en la CLI de FortiGate.
Verá que, para algunos destinos, FortiGate enruta paquetes ICMP a través del puerto 2. Sin embargo, cuando verifica el estado del puerto1 y del
puerto2, ambos miembros están vivos; por lo tanto, FortiGate debería enrutar todo el tráfico de Internet a través del puerto 1.
NO REIMPRIMIR
© FORTINET
Si ve los detalles de la sesión del tráfico de Internet que se enruta a través del puerto 2, verá que el tráfico no coincide con la regla SD
WAN explícita. Esto significa que FortiGate realiza enrutamiento FIB estándar para este tráfico.
Si luego revisa la tabla de enrutamiento, verá que hay rutas ECMP predeterminadas: una para el puerto1 y otra para el puerto2. Como
resultado, la carga de FortiGate equilibra el tráfico de Internet que coincide con la regla implícita.
Puede resolver el problema rompiendo la ruta predeterminada de ECMP, aumentando la prioridad del puerto2.
NO REIMPRIMIR
© FORTINET
Si aumenta la prioridad de miembro del puerto 2 a 10, verá un cambio en la tabla de enrutamiento. Las rutas predeterminadas ya no serán rutas
ECMP, porque el puerto1 y el puerto2 tienen prioridades diferentes. Es decir, el puerto2 tiene una prioridad menor (número mayor) que el puerto1. El
resultado es que FortiGate enruta el tráfico de Internet a través del puerto1, porque el puerto1 tiene una mayor prioridad.
NO REIMPRIMIR
© FORTINET
Si repite la prueba, verá que todo el tráfico de Internet, incluido el tráfico no crítico, se enruta a través del puerto 1.
NO REIMPRIMIR
© FORTINET
Hay otro problema que solucionar. Durante una conmutación por error del puerto1 al puerto2 (el puerto1 está inactivo), se agota el tiempo de espera de las sesiones TCP existentes. Por
ejemplo, una conexión SSH al servidor web de Internet (128.66.0.1) desde Branch1_client agota el tiempo de espera durante la conmutación por error.
El administrador desea que las sesiones TCP existentes realicen una conmutación por error al puerto 2 con éxito y que no se agote el tiempo de espera.
NO REIMPRIMIR
© FORTINET
Puede confirmar el problema conectándose a 128.66.0.1 a través de SSH desde Branch1_client. Luego baja el puerto 1 usando el simulador
WAN. Después de eso, verá que la conexión SSH ya no responde a los comandos del usuario.
NO REIMPRIMIR
© FORTINET
Vuelva a activar el puerto 1 para repetir la prueba. Después de conectarse al servidor web a través de SSH, puede verificar los detalles
de la sesión SSH en la CLI de FortiGate.
Verá que el indicador may_dirty está presente y que el dispositivo saliente es el que tiene el índice 3, que es el puerto1. Aunque no se
muestra en esta diapositiva, puede ver los números de índice del dispositivo en el resultado del comando diagnostic netlink
interface list .
También verá que la puerta de enlace saliente es 192.2.0.2, que es la puerta de enlace utilizada por el puerto 1, y que la política de
firewall correspondiente es 2.
NO REIMPRIMIR
© FORTINET
Continúe solucionando problemas desactivando el puerto 1 y luego verificando los detalles de la sesión SSH nuevamente. En el resultado, verá que
la bandera sucia está presente y que la información de la puerta de enlace se eliminó.
NO REIMPRIMIR
© FORTINET
Si configura el flujo de depuración para el tráfico de prueba y luego ingresa comandos en la conexión de prueba SSH, verá lo
siguiente:
• FortiGate realiza una búsqueda de ruta para el siguiente paquete. Esto se debe a que la sesión está marcada como sucia, como
resultado de un cambio de ruta. Esto le indica a FortiOS que vuelva a evaluar la sesión.
• FortiGate resuelve el puerto 2 como la nueva puerta de enlace. Sin embargo, FortiGate descarta el paquete porque el SNAT
La IP del paquete cambió. Era 192.2.0.1 y ahora es 192.2.0.9.
• Debido al cambio de SNAT, FortiGate borra la sesión y descarta los paquetes posteriores porque no coinciden con una sesión
existente.
NO REIMPRIMIR
© FORTINET
La política de firewall coincidente es 2. Si verifica la configuración de la política de firewall, verá que hace referencia a la zona subyacente ,
pero no tiene el grupo de IP habilitado. Esto significa que FortiGate utiliza la dirección IP del miembro seleccionado en la zona subyacente
como IP SNAT. Esto explica por qué la IP SNAT cambió durante la conmutación por error.
Puede resolver el problema configurando un grupo de IP en la política de firewall 2. El objetivo es que FortiGate use la misma IP SNAT,
independientemente del miembro seleccionado.
NO REIMPRIMIR
© FORTINET
Si ve los grupos de IP configurados, verá que el grupo de IP 192.2.0.100 ha sido preconfigurado para usted. El administrador quiere que FortiGate
realice SNAT del tráfico de Internet con la dirección IP 192.2.0.100 , por lo que debe aplicar el grupo de IP en la política de firewall, como se
muestra en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Vuelva a activar el puerto 1 y luego repita la prueba. Esta vez, verá que la conexión SSH sigue respondiendo durante la
conmutación por error. Además, el flujo de depuración ya no muestra el error de cambio de dirección IP SNAT,
lo que significa que FortiGate está reenviando los paquetes exitosamente.
NO REIMPRIMIR
© FORTINET
Hay otro problema que solucionar. Después de que las sesiones existentes conmuten por error al puerto2 correctamente, las sesiones no conmutan por error al puerto1, después de la
El administrador desea que las sesiones vuelvan por recuperación al puerto1 después de la recuperación del puerto1.
NO REIMPRIMIR
© FORTINET
Puede confirmar el problema abriendo el puerto 1 y luego repitiendo la prueba utilizada para el problema 2. Puede confirmar que la conexión SSH
conmuta por error al puerto 2 correctamente. Si luego vuelve a activar el puerto1, SSH continúa respondiendo a los comandos del usuario. Sin
embargo, si huele el tráfico SSH, verá que FortiGate continúa enrutando el tráfico al puerto2, en lugar de enrutarlo al puerto1.
NO REIMPRIMIR
© FORTINET
El problema se soluciona repitiendo la prueba y luego verificando los detalles de la sesión SSH después de restablecer el puerto 1, es
decir, durante la conmutación por recuperación. La sesión SSH muestra la bandera sucia, pero la información de la puerta de enlace no se
vacía. Es decir, FortiGate no actualiza la información de la puerta de enlace para esta sesión.
La razón es que, de forma predeterminada, FortiOS no cambia la información de enrutamiento de las sesiones SNAT, a menos que su puerta
de enlace existente ya no sea válida, lo cual no es el caso aquí. Es decir, el puerto2, que es el dispositivo que utiliza la sesión para llegar
a la puerta de enlace actual, todavía está activo y también lo están las rutas respectivas.
Puede resolver este problema habilitando la configuración de cambio de ruta snat . Cuando habilita esta configuración, FortiGate
siempre actualiza la información de enrutamiento de las sesiones SNAT, luego de un cambio de enrutamiento que afecta las sesiones.
NO REIMPRIMIR
© FORTINET
Puede habilitar la configuración de cambio de ruta snat ejecutando los comandos que se muestran en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Si repite la prueba, verá que ForitOS ahora borra la información de la puerta de enlace durante la recuperación. El resultado es que FortiGate actualiza la información de la puerta de enlace, por
NO REIMPRIMIR
© FORTINET
Si también detecta el tráfico SSH durante la conmutación por recuperación, verá que FortiGate está enrutando paquetes al puerto 1 nuevamente.
NO REIMPRIMIR
© FORTINET
Hay un último problema que solucionar en este ejercicio. Cuando el puerto1 está inactivo y se establecen nuevas sesiones a través del puerto2, las
sesiones no conmutan por error al puerto1, después de la recuperación del puerto1. Es decir, las sesiones continúan usando el puerto2.
NO REIMPRIMIR
© FORTINET
Confirme el problema desactivando el puerto 1 y luego conectándose al servidor web a través de SSH. Rastree el tráfico SSH para confirmar
que los paquetes se enruten a través del puerto 2. Luego, vuelva a activar el puerto 1 y pruebe la conexión SSH.
La conexión SSH funciona, pero FortiGate continúa enrutando los paquetes a través del puerto2, en lugar de enrutarlos nuevamente a través del
puerto1.
NO REIMPRIMIR
© FORTINET
Para solucionar este problema, repita la prueba. Verifique los detalles de la sesión SSH antes de restablecer el puerto 1 (evento de
conmutación por recuperación). En la sesión, el indicador route_preserve está presente. Es decir, la adherencia de la interfaz está habilitada en
la interfaz saliente (puerto 2, en este caso). El resultado es que la dirección de la puerta de enlace no se actualizará, a menos que la puerta
de enlace existente ya no sea válida, lo cual no es el caso.
Si verifica la configuración del puerto 2, verá que la configuración de preservar ruta de sesión está habilitada. Puede resolver el problema
desactivando la configuración en el puerto 2.
NO REIMPRIMIR
© FORTINET
Puede desactivar la configuración de preservar ruta de sesión en el puerto 2 ejecutando los comandos que se muestran en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Si repite la prueba, ya no verá el indicador route_preserve en la sesión. El resultado es que FortiGate ahora puede actualizar la información de la puerta de
enlace durante la conmutación por error al puerto1; por lo tanto, FortiGate vuelve a enrutar el tráfico SSH a través del puerto1.
NO REIMPRIMIR
© FORTINET
Ahora verá las soluciones para el ejercicio de resolución de problemas en el laboratorio de reglas.
NO REIMPRIMIR
© FORTINET
El administrador identificó este problema: si el puerto 1 está inactivo, el tráfico de Internet procedente de Branch1_client lo descarta Branch1_fgt. Sin embargo, el
administrador quiere que el tráfico de Internet conmute por error a las superposiciones para realizar RIA.
Las superposiciones son T_INET_1 y T_MPLS.
Tenga en cuenta que, si el puerto1 está activo, el tráfico de Internet en Branch1_fgt se enruta correctamente a través del puerto1.
NO REIMPRIMIR
© FORTINET
Puede confirmar el problema haciendo ping a 8.8.8.8 desde Branch1_client y, al mismo tiempo, ejecuta un rastreador en la CLI de
FortiGate.
Verá que cuando el puerto 1 está activo, FortiGate enruta los paquetes ICMP a través del puerto 1, que es el comportamiento
esperado. Sin embargo, cuando el puerto 1 está inactivo, FortiGate descarta los paquetes, en lugar de enrutarlos a través de las
superposiciones. También verá que Branch1_CLI muestra el error Destino neto inalcanzable .
NO REIMPRIMIR
© FORTINET
El mensaje de error de destino neto inalcanzable que ve en la CLI de Branch1_client significa que FortiGate no tiene una ruta al
destino. Como resultado, FortiGate envía un mensaje de destino ICMP inalcanzable a Branch1_client para informar al remitente.
Si verifica la tabla de enrutamiento en Branch1_fgt cuando el puerto 1 está inactivo, puede confirmar que no hay rutas a
8.8.8.8.
Debido a que no se le permite cambiar la configuración de enrutamiento estático en el dispositivo, debe encontrar otra forma de resolver
el problema. Otra forma de resolver este problema es habilitar la configuración predeterminada y de puerta de enlace en la regla SD
WAN coincidente esperada (ID de regla 2, en este caso).
Si habilita la configuración predeterminada , FortiGate no verifica si la mejor ruta al destino es miembro de SDWAN. Esto permite a
FortiGate evaluar las reglas SDWAN; de lo contrario, se saltan todas las reglas.
Sin embargo, también debes asegurarte de que FortiGate no omita los miembros de la regla, que no tienen una ruta válida al destino.
Puede evitar que se omitan miembros habilitando la configuración de puerta de enlace . Cuando esta configuración está habilitada,
FortiGate no verifica si un miembro tiene una ruta válida al destino. En cambio, FortiGate utiliza la puerta de enlace definida o detectada
por el miembro para enrutar los paquetes.
Debido a que el administrador desea que el tráfico de Internet coincida con el ID 2 de la regla SDWAN, debe habilitar la
configuración predeterminada y de puerta de enlace en la regla.
NO REIMPRIMIR
© FORTINET
Puede habilitar la configuración predeterminada y de puerta de enlace en la regla SDWAN ID 2 ejecutando los comandos que se muestran en esta diapositiva.
NO REIMPRIMIR
© FORTINET
Si repite la prueba, verá que FortiGate enruta los paquetes ICMP a través de T_INET_1, que es el comportamiento esperado cuando el
puerto 1 está inactivo.
La información de la sesión muestra que el tráfico coincide con el ID 2 de la regla SDWAN y el ID 4 del miembro, que corresponden a
T_INET_1.
NO REIMPRIMIR
© FORTINET
Hay otro problema que solucionar. La regla SDWAN ID 1 está deshabilitada porque no tiene destino. La regla utiliza etiquetas de ruta BGP
para coincidir con el destino de la regla.
El administrador quiere que la regla esté habilitada y coincida con el tráfico corporativo.
NO REIMPRIMIR
© FORTINET
Puede confirmar el problema verificando el estado de la regla ID 1. Verá que la regla está deshabilitada porque no tiene destino.
NO REIMPRIMIR
© FORTINET
Si ve la configuración de la regla, puede confirmar que la regla está configurada para hacer coincidir la dirección de destino con
los prefijos BGP asignados a una etiqueta de ruta de 10.
El administrador también dice que la etiqueta de ruta está asignada a prefijos BGP que coinciden con 65000:10
comunidad. Si luego ve los prefijos BGP aprendidos con esa comunidad, verá que hay un prefijo aprendido (10.1.0.0/24),
pero se le asigna la etiqueta de ruta 100. Por lo tanto, parece haber un error en la configuración.
NO REIMPRIMIR
© FORTINET
Si verifica la configuración de BGP, verá que a los vecinos BGP relevantes se les asigna el mapa de ruta dc1lanrm en la dirección
entrante. Si luego verifica la configuración del mapa de ruta, verá que tiene asignada la etiqueta de ruta 100, y no 10.
Por lo tanto, puede resolver el problema actualizando la configuración del mapa de ruta para utilizar una etiqueta de ruta de 10.
NO REIMPRIMIR
© FORTINET
Puede actualizar la etiqueta de ruta ejecutando los comandos que se muestran en esta diapositiva. También debe borrar los
emparejamientos BGP para que el cambio surta efecto. El ejemplo que se muestra en esta diapositiva utiliza el comando soft clear
para evitar que los emparejamientos reboten (sin reinicio).
Si luego vuelve a ver los prefijos BGP aprendidos que coinciden con la comunidad 65000:10 , verá que la etiqueta de ruta ahora es 10.
NO REIMPRIMIR
© FORTINET
Si vuelve a verificar el estado de la regla ID 1, verá que la regla ya no está deshabilitada y que la dirección de destino
coincide con el prefijo BGP aprendido (10.1.0.0/24).
Si luego hace ping a 10.1.0.7 desde Branch1_client, puede hacer ping a la dirección. Luego, si verifica los detalles de la sesión,
verá que el tráfico coincide con el ID de regla 1 y el ID de miembro 4 (T_INET_1).
NO REIMPRIMIR
© FORTINET
La última tarea es cumplir con una solicitud del administrador. El administrador quiere que Branch1_fgt prefiera al miembro con la
mejor ruta hacia el destino. De esta manera, el administrador puede controlar las preferencias de los miembros anunciando una mejor ruta,
sobre su superposición preferida, desde dc1_fgt, sin tener que cambiar la configuración en la sucursal.
Recuerde que no puede cambiar el modo de regla, que actualmente está configurado en modo manual.
NO REIMPRIMIR
© FORTINET
Puede confirmar el problema verificando la configuración de regla o zona. De forma predeterminada, las reglas utilizan el miembro
prioridad como primer desempate; es decir, el orden de la lista de preferencias de la interfaz, como primer desempate en todas las reglas
aplicables, que incluyen las reglas del modo manual.
El escenario que controla el primer desempate a nivel de reglas es el desempate. De forma predeterminada, está configurado en zona, lo que
significa que sigue la configuración de nivel de zona. La configuración a nivel de zona, serviceslatiebreak, está configurada en cfgorder
(prioridad de miembro).
NO REIMPRIMIR
© FORTINET
El ejemplo de esta diapositiva muestra cómo cambiar el desempate a la mejor ruta a nivel de regla. Por lo general, es mejor cambiar esta
configuración a nivel de regla para que solo la regla en cuestión se vea afectada. Si realiza el cambio a nivel de zona, afectará todas las
reglas que hacen referencia a la zona.
NO REIMPRIMIR
© FORTINET
Para probar la solución, primero puede realizar una búsqueda de ruta para el destino (10.1.0.7). FortiOS debería informar que
ambos miembros tienen rutas ECMP. Esto significa que ambos miembros tienen rutas igualmente buenas.
Debido a esto, FortiOS utilizará la prioridad del miembro como desempate para identificar el miembro preferido, que en este caso es
T_INET_1.
NO REIMPRIMIR
© FORTINET
Si hace ping a 10.1.0.7 desde Branch1_client mientras rastrea el tráfico, puede confirmar que FortiGate enruta los paquetes a través de T_INET_1.
Las instrucciones de laboratorio indican que debe aplicar la configuración que se muestra en esta diapositiva para probar la mejor ruta como
desempate. Después de eso, debe borrar suavemente todos los emparejamientos BGP para que la configuración surta efecto.
NO REIMPRIMIR
© FORTINET
Después de realizar los cambios indicados en las instrucciones de laboratorio en dc1_fgt, puede realizar otra búsqueda de ruta.
Ahora verá que la mejor ruta al destino es T_MPLS. Tenga en cuenta que ambos miembros tienen una ruta válida al destino,
pero T_MPLS tiene la mejor.
Cuando vuelva a hacer ping a 10.1.0.7 , verá que FortiGate ahora enruta los paquetes a través de T_MPLS, porque T_MPLS
tiene la mejor ruta.
NO REIMPRIMIR
© FORTINET
Ninguna parte de esta publicación puede reproducirse de ninguna forma ni por ningún medio ni utilizarse para
realizar ningún derivado, como traducción, transformación o adaptación, sin el permiso de Fortinet Inc., según lo
estipulado por la Ley de Derechos de Autor de los Estados Unidos de 1976.
Copyright© 2023 Fortinet, Inc. Todos los derechos reservados. Fortinet®, FortiGate®, FortiCare® y FortiGuard®, y algunas otras marcas son marcas comerciales registradas de Fortinet, Inc., en los
EE. UU. y otras jurisdicciones, y otros nombres de Fortinet aquí mencionados también pueden ser marcas comerciales registradas y/o de derecho consuetudinario de Fortinet. Todos los demás nombres
de productos o empresas pueden ser marcas comerciales de sus respectivos propietarios. El rendimiento y otras métricas contenidas en este documento se obtuvieron en pruebas de laboratorio
internas en condiciones ideales, y el rendimiento real y otros resultados pueden variar. Las variables de la red, los diferentes entornos de la red y otras condiciones pueden afectar los resultados del
rendimiento. Nada en este documento representa ningún compromiso vinculante por parte de Fortinet, y Fortinet renuncia a todas las garantías, ya sean expresas o implícitas, excepto en la medida en
que Fortinet celebre un contrato escrito vinculante, firmado por el Asesor General de Fortinet, con un comprador que garantiza expresamente que el producto identificado funcionará de acuerdo a ciertas
métricas de desempeño expresamente identificadas y, en tal caso, solo las métricas de desempeño específicas identificadas expresamente en dicho contrato escrito vinculante serán vinculantes
para Fortinet. Para mayor claridad, dicha garantía se limitará al rendimiento en las mismas condiciones ideales que en las pruebas de laboratorio internas de Fortinet. En ningún caso Fortinet
asume ningún compromiso relacionado con entregables, características o desarrollo futuros, y las circunstancias pueden cambiar de manera que cualquier declaración prospectiva contenida en este documento no sea precisa.
Fortinet renuncia por completo a cualquier convenio, representación y garantía en virtud del presente, ya sean expresos o implícitos. Fortinet se reserva el derecho de cambiar, modificar, transferir o
revisar esta publicación sin previo aviso, y será aplicable la versión más actual de la publicación.