Nse4 Infraestructura 1-50

Machine Translated by Google

NO REIMPRIMIR
© FORTINET
Registro de cambios
Esta tabla incluye actualizaciones de la Guía de estudio de Infraestructura 7.0 de FortiGate con fecha del 7/6/2021 a la actualización
versión del documento de fecha 24/01/2022.
Cambiar Ubicación
Varias correcciones de formato Guía completa
l Diapositivas eliminadas 15
l Diapositiva fija 27 (ahora diapositiva 26) Lección 04
l Diapositivas eliminadas relacionadas con STP (diapositivas 36-41)
Se agregó IKEv1 frente a IKEv2 Lección 5: Diapositiva 9
Diapositivas de equilibrio de carga HA AA actualizadas Lección 7: Diapositivas 29-34
Guía de estudio de FortiGate Infraestructura 7.0 4

Enrutamiento
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre las funciones y capacidades de enrutamiento disponibles en FortiGate.

Enrutamiento
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en el enrutamiento en FortiGate, debería poder implementar el enrutamiento estático

y de políticas. También podrá controlar el enrutamiento del tráfico para servicios de Internet conocidos.

Enrutamiento
NO REIMPRIMIR
© FORTINET
¿Qué es el enrutamiento?
El enrutamiento es cómo FortiGate en modo NAT decide dónde enviar los paquetes que recibe y los paquetes
que genera.
Todos los dispositivos de red que realizan enrutamiento tienen una tabla de enrutamiento. Una tabla de enrutamiento
contiene una serie de reglas. Cada regla especifica el siguiente salto, que puede ser o no el destino final del paquete.
Cada salto de enrutamiento en la ruta enrutada requiere una búsqueda en la tabla de enrutamiento para pasar el paquete hasta que llegu
Al enrutar paquetes, FortiGate primero encontrará una ruta coincidente en su lista de rutas según la dirección de
destino del paquete. Al realizar esta coincidencia, FortiGate evalúa toda la tabla de enrutamiento para encontrar la
coincidencia más específica antes de seleccionar una ruta. Si FortiGate encuentra varias coincidencias, utiliza varios
atributos de ruta para determinar la mejor ruta.
La configuración de enrutamiento adecuada es importante. Si las rutas están mal configuradas, los paquetes no llegarán
a su destino y se perderán.

Enrutamiento
NO REIMPRIMIR
© FORTINET
De forma predeterminada, muchos aspectos de FortiGate tienen estado. Es decir, FortiGate decide muchas cosas al inicio
de una sesión, cuando recibe el primer paquete.
Para cada sesión, FortiGate realiza dos búsquedas de enrutamiento:

• Para el primer paquete enviado por el originador
• Para el primer paquete de respuesta proveniente del respondedor
Después de completar estas dos búsquedas, FortiGate escribe la información de enrutamiento en su tabla de sesión.
Los paquetes posteriores se enrutan según la tabla de sesión, no la tabla de enrutamiento. Entonces, todos los paquetes
que pertenecen a la misma sesión siguen la misma ruta, incluso después de un cambio en las rutas estáticas. Sin
embargo, hay una excepción a esta regla: si hay un cambio en la tabla de enrutamiento, FortiGate elimina la información
de ruta de la tabla de sesión y luego realiza búsquedas adicionales en la tabla de enrutamiento para reconstruir esta información.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Un tipo de ruta configurada manualmente se denomina ruta estática. Cuando configura una ruta estática, le está diciendo a
FortiGate: "Cuando vea un paquete cuyo destino está dentro de un rango específico, envíelo a través de una interfaz de red
específica, hacia un enrutador específico". También puede configurar la distancia y la prioridad para que FortiGate pueda identificar
la mejor ruta a cualquier destino que coincida con varias rutas. Aprenderá acerca de la distancia y la prioridad más adelante en esta
lección.
Por ejemplo, en redes domésticas simples, DHCP recupera y configura automáticamente una ruta. Luego, su módem envía todo
el tráfico saliente a través del enrutador de Internet de su ISP, que puede retransmitir paquetes a su destino.
Por lo general, esto se conoce como una ruta predeterminada, porque todo el tráfico que no coincida con ninguna otra ruta se
enrutará, de manera predeterminada, utilizando esta ruta. El ejemplo que se muestra en esta diapositiva es una ruta predeterminada.
El valor de subred de destino de 0.0.0.0/0.0.0.0 coincide con todas las direcciones dentro de cualquier subred. La mayoría de los
dispositivos FortiGate implementados en el borde de la red tienen al menos una de estas rutas predeterminadas para garantizar que
el tráfico de Internet se reenvíe a la red del ISP.
Las rutas estáticas no son necesarias para las subredes a las que FortiGate tiene conectividad directa de capa 2.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Si crea un objeto de dirección de firewall con el tipo IP/Netmask o FQDN, puede usar esa dirección de firewall
como destino de una o más rutas estáticas. Primero, habilite la configuración de rutas estáticas en la
configuración de direcciones del cortafuegos. Después de habilitarlo, el objeto de dirección del firewall estará
disponible para su uso en la lista desplegable Destino para rutas estáticas con direcciones con nombre.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Para redes grandes, la configuración manual de cientos de rutas estáticas puede no ser práctica. Su FortiGate puede ayudar,
aprendiendo rutas automáticamente. FortiGate admite varios protocolos de enrutamiento dinámico: RIP, OSPF, BGP e IS-IS.
En el enrutamiento dinámico, FortiGate se comunica con los enrutadores cercanos para descubrir sus rutas y anunciar sus
propias subredes conectadas directamente. Las rutas descubiertas se agregan automáticamente a la tabla de enrutamiento
de FortiGate. ¡Así que verifique que sus enrutadores vecinos sean confiables y seguros!
Las redes más grandes también pueden necesitar equilibrar la carga de enrutamiento entre varias rutas válidas y detectar y
evitar los enrutadores que están caídos. Aprenderá más sobre eso más adelante en esta lección.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Las rutas estáticas son simples y se utilizan a menudo en redes pequeñas. Las rutas basadas en políticas, sin embargo, son
más flexibles. Pueden coincidir con más que solo la dirección IP de destino. Por ejemplo, si tiene dos enlaces, uno lento y uno rápido,
puede enrutar paquetes desde direcciones IP de origen de baja prioridad al enlace lento.
Las rutas de política configuradas para la acción Reenviar tráfico tienen prioridad sobre las rutas estáticas y dinámicas. Entonces,
si un paquete coincide con la ruta de la política, FortiGate omite cualquier búsqueda en la tabla de enrutamiento.
Al igual que las rutas estáticas, las rutas basadas en políticas deben ser válidas: se requiere un destino y una puerta de
enlace, y no se pueden usar interfaces desconectadas (o inactivas). Para las rutas basadas en políticas, los paquetes también
deben coincidir con todas las subredes, bits ToS y número de puerto especificados. Por lo tanto, si no desea que se incluya una
configuración en los criterios de coincidencia, déjela en blanco.
FortiGate mantiene las rutas de política en una tabla de enrutamiento separada y tienen prioridad sobre la tabla de enrutamiento regular.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Cuando un paquete coincide con una ruta de política, FortiGate realiza una de dos acciones. Enruta el paquete a la
interfaz y la puerta de enlace configuradas, sin pasar por la tabla de enrutamiento, o deja de verificar las rutas de la
política, por lo que el paquete se enruta según la tabla de enrutamiento.
Recuerde, para que una ruta de política reenvíe el tráfico a una interfaz específica, debe haber una ruta activa para ese
destino que use esa interfaz en la tabla de enrutamiento. De lo contrario, la ruta de la política no funciona.

Enrutamiento
NO REIMPRIMIR
© FORTINET
¿Qué sucede si necesita enrutar el tráfico a un servicio público de Internet (como Amazon-AWS o Apple Store) a través de un
enlace WAN específico? Digamos que tiene dos ISP y desea enrutar el tráfico de Netflix a través de un ISP y todo el resto del tráfico
de Internet a través del otro ISP. Para lograr este objetivo, debe conocer las direcciones IP de Netflix y configurar la ruta estática.
Después de eso, debe verificar con frecuencia que ninguna de las direcciones IP haya cambiado. La base de datos de servicios de
Internet (ISDB) ayuda a que este tipo de enrutamiento sea más fácil y sencillo. ISDB
las entradas se aplican a rutas estáticas para enrutar selectivamente el tráfico a través de interfaces WAN específicas.
Aunque están configuradas como rutas estáticas, las rutas ISDB son en realidad rutas de política y tienen prioridad
sobre cualquier otra ruta en la tabla de enrutamiento. Como tal, las rutas ISDB se agregan a la tabla de enrutamiento de políticas.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Para habilitar la configuración de enrutamiento para direcciones IPv6 mediante la GUI, debe habilitar IPv6 en el
menú Visibilidad de funciones. Luego, puede crear rutas estáticas y rutas de política con direcciones IPv6. Habilitar la
función IPv6 también habilita las opciones de configuración de la GUI para las versiones IPv6 de los protocolos de enrutamiento diná
Guía de estudio de FortiGate Infraestructura 7.0 dieciséis

Enrutamiento
NO REIMPRIMIR
© FORTINET

Enrutamiento
NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende el enrutamiento en FortiGate.
Ahora, aprenderá sobre el monitor de enrutamiento y los atributos de ruta.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Al demostrar competencia en la comprensión del monitor de enrutamiento y los atributos de la ruta, debería poder
interpretar la tabla de enrutamiento, identificar cómo se activan las rutas e identificar cómo FortiGate elige la mejor
ruta usando los atributos de la ruta.

Enrutamiento
NO REIMPRIMIR
© FORTINET
El monitor de la tabla de enrutamiento en la GUI de FortiGate muestra las rutas activas.
¿Qué rutas, además de las rutas estáticas, se muestran aquí?

• Subredes conectadas directamente: cuando se asigna una subred a la interfaz de FortiGate, se agrega automáticamente una ruta
a la subred y se muestra Conectado en la columna Tipo. Para que se muestren las rutas conectadas, el enlace de la interfaz
respectiva debe estar activo. Esto significa que si una interfaz está inactiva o no se ha establecido un enlace, la ruta no se
agrega.
• Rutas dinámicas: en redes más grandes, su FortiGate puede recibir rutas de otros enrutadores, a través de
protocolos como BGP u OSPF. FortiGate agrega estas rutas a la tabla de enrutamiento con el nombre del protocolo de
enrutamiento respectivo en la columna Tipo.
¿Qué rutas configuradas no se muestran en el monitor de la tabla de enrutamiento?

• Rutas inactivas
•
Si una interfaz está administrativamente inactiva, su enlace está inactivo o la función de monitor de enlace ha
detectado que su puerta de enlace no funciona, entonces esa ruta se considera inactiva y no se agregará a la tabla
de enrutamiento.
• Rutas de reserva. Estas son rutas duplicadas válidas que tienen mayor distancia. Por ejemplo:
• Una segunda ruta estática predeterminada con una mayor distancia
• Una ruta dinámica como BGP, RIP u OSPF, al mismo destino que otra ruta estática.
Sin embargo, la ruta dinámica no se muestra en la tabla de enrutamiento porque la ruta estática tiene una
distancia menor.
Las rutas de política se ven en una tabla separada. Las rutas ISDB también se agregan como rutas de políticas en el monitor de
rutas de políticas.

Enrutamiento
NO REIMPRIMIR
© FORTINET
El monitor de enrutamiento proporciona una búsqueda de ruta extendida para el monitor de enrutamiento. Esta función
verifica tanto las rutas de política como la tabla de enrutamiento normal. Si la ruta coincide con la ruta de la política, se le
redirigirá a la página Ruta de la política en la GUI.
En la búsqueda de rutas, puede especificar una dirección de destino y, opcionalmente, especificar un puerto de destino,
una IP de origen, un protocolo y una interfaz de origen para buscar una ruta según estos criterios.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Cada una de las rutas enumeradas en la tabla de enrutamiento incluye varios atributos con valores asociados.
La columna Red enumera la dirección IP de destino y la máscara de subred que coincidirán. La columna Interfaz
enumera la interfaz que se utilizará para entregar el paquete.
FortiGate utiliza los atributos Distancia, Métrica y Prioridad para tomar varias decisiones de selección de
ruta. Aprenderá acerca de cada uno de estos más adelante en esta lección.

Enrutamiento
NO REIMPRIMIR
© FORTINET
La distancia, o distancia administrativa, es un número que utilizan los enrutadores para determinar qué ruta se prefiere para un
destino en particular. Si hay dos rutas hacia el mismo destino, la que tenga la menor distancia se considera mejor (activa) y se usa
para enrutamiento. Las rutas con mayores distancias (standby) no se instalan en la tabla de enrutamiento.
De manera predeterminada, las rutas aprendidas a través del protocolo RIP tienen un valor de distancia más alto que las rutas
aprendidas a través del protocolo OSPF. OSPF se considera más preciso que RIP.
Los siguientes valores son las distancias predeterminadas en FortiGate:

• 0 - conectado directamente
• 5 - Puerta de enlace DHCP
• 20 - rutas BGP externas (EBGP)
• 200 - rutas internas BGP (IBGP)
• 110 - rutas OSPF
• 120 - Rutas RIP
• 10 - rutas estáticas

Enrutamiento
NO REIMPRIMIR
© FORTINET
El atributo métrico se utiliza para determinar la mejor ruta a un destino cuando se trata de rutas aprendidas a través
de protocolos de enrutamiento dinámico. Si dos rutas tienen la misma distancia, el valor métrico se utiliza para desempatar.
La ruta con la métrica más baja se elige para el enrutamiento.
La forma en que se mide el valor de la métrica depende del protocolo de enrutamiento. Por ejemplo, RIP usa el conteo
de saltos, que es la cantidad de enrutadores por los que debe pasar el paquete para llegar al destino. OSPF usa el costo,
que está determinado por la cantidad de ancho de banda que tiene un enlace.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Cuando varias rutas estáticas tienen el mismo valor de distancia, ambas se instalan en la tabla de enrutamiento.
Entonces, ¿qué ruta se usará para enrutar los paquetes coincidentes? En el escenario que se muestra en esta
diapositiva, FortiGate usa el valor de prioridad como desempate para identificar la mejor ruta. Siempre se prefieren las rutas con me
El atributo de prioridad solo se aplica a las rutas estáticas y se configura en Opciones avanzadas en la GUI. De forma
predeterminada, todas las rutas estáticas tienen una prioridad de 0.
Los valores de prioridad se ven en la configuración de rutas estáticas y en la tabla de enrutamiento en la CLI, sobre la
que aprenderá más adelante en esta lección. No se muestran en la tabla de enrutamiento de la GUI.

Enrutamiento
NO REIMPRIMIR
© FORTINET

Enrutamiento
NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende el monitor de enrutamiento y los atributos de ruta.
Ahora, aprenderá sobre el enrutamiento ECMP.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Al demostrar competencia en ECMP, debería poder identificar los requisitos para implementar ECMP e
implementar el equilibrio de carga de ECMP.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Hasta ahora, ha aprendido acerca de los diferentes atributos de ruta disponibles para que los enrutadores
identifiquen la mejor ruta a un destino. Entonces, ¿qué sucede cuando dos o más rutas del mismo tipo y al mismo
destino comparten los mismos valores para todos los atributos? Todas las rutas están instaladas en la tabla de
enrutamiento y FortiGate equilibrará la carga del tráfico en todas las rutas. Esto se denomina ruta múltiple de igual costo (ECMP).

Enrutamiento
NO REIMPRIMIR
© FORTINET
ECMP puede equilibrar la carga del tráfico utilizando uno de los siguientes cuatro métodos: las sesiones se pueden
equilibrar entre rutas iguales según la dirección IP de origen, las direcciones IP de origen y destino, la ruta o la interfaz
pesos o umbrales de volumen de interfaz.
Cuando se utiliza el método de IP de origen, se espera que todo el tráfico que se origine en la misma IP de origen utilice
la misma ruta. El método de IP de origen y destino funciona de manera similar, pero también tiene en cuenta la IP de
destino. Por lo tanto, se espera que las sesiones de un origen específico a un destino específico usen la misma ruta.
Con el método de balanceo de carga ECMP establecido en ponderado, FortiGate distribuye sesiones con
diferentes direcciones IP de destino generando un valor aleatorio para identificar la ruta a seleccionar. La probabilidad
de seleccionar una ruta sobre otra se basa en el valor de peso de cada ruta o interfaz. Es más probable que se
seleccionen pesos más altos.
Hay un método adicional llamado basado en el uso (o indirecto). En el equilibrio de carga basado en el uso, FortiGate
usa una ruta principal hasta que se alcanza un umbral de volumen de tráfico; después de eso, usa la siguiente ruta disponible.
Si una de las rutas ECMP falla y se elimina de la tabla de enrutamiento, el tráfico se enruta a través de las rutas
restantes. No hay una configuración específica necesaria para la conmutación por error de la ruta.

Enrutamiento
NO REIMPRIMIR
© FORTINET
FortiGate utiliza la IP de origen como método ECMP predeterminado. Puede cambiar esta configuración en la CLI
usando los comandos que se muestran en esta diapositiva.
Para ECMP basado en derrames, debe configurar ajustes adicionales en el nivel de interfaz. Para ECMP basado en
peso, debe asignar valores de peso a las interfaces o rutas. Puede hacer esto en la CLI usando los comandos que
se muestran en esta diapositiva.

Enrutamiento
NO REIMPRIMIR
© FORTINET
En el escenario que se muestra en esta diapositiva, FortiGate tiene dos rutas candidatas iguales para la subred 10.0.4.0/24
usando port1 y port2 respectivamente. Con el método ECMP predeterminado basado en la fuente, FortiGate puede usar
cualquier ruta para entregar el tráfico destinado a la subred 10.0.4.0/24 del Usuario A y el Usuario B. Si el puerto 1 pierde
la conectividad, FortiGate usa automáticamente el puerto 2 para entregar todo el tráfico destinado a la 10.0 .4.0/24 subred.
ECMP le permite mantener varios enlaces para el mismo destino, así como proporcionar una conmutación por error
integrada. Puede implementar esto para cualquier recurso de red que tenga una gran demanda de ancho de banda y sea de misión crític
El uso de ECMP para estos recursos le permite agregar el ancho de banda disponible de varios enlaces y equilibrar la
carga del tráfico a través de esos enlaces.
Al usar ECMP, debe tener implementadas las políticas de firewall correctas para permitir que el tráfico salga de todas las
interfaces que participan en ECMP.
Si bien puede usar ECMP para mantener múltiples conexiones a Internet (WAN) en FortiGate, puede ser más eficiente
usar la función WAN definida por software (SD-WAN) para lograr esto. Todavía puede usar ECMP para recursos internos.

Enrutamiento
NO REIMPRIMIR
© FORTINET

Enrutamiento
NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende el enrutamiento ECMP.
Ahora, aprenderá sobre el reenvío de ruta inversa.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Al demostrar competencia en RPF, debería poder identificar y bloquear ataques de suplantación de IP en su red.

Enrutamiento
NO REIMPRIMIR
© FORTINET
A veces, los paquetes se descartan por motivos de enrutamiento y seguridad. RPF es un mecanismo que protege FortiGate y su
red de ataques de suplantación de IP. Comprueba si hay una ruta de regreso al origen del paquete. Esta verificación se ejecuta en
el primer paquete de cualquier sesión nueva.
Hay dos métodos RPF: flexible y estricto.

Enrutamiento
NO REIMPRIMIR
© FORTINET
En el escenario que se muestra en esta diapositiva, se acepta el tráfico de Internet entrante que llega a wan1 porque la
ruta predeterminada es una ruta válida de vuelta al origen.
Sin embargo, hay dos interfaces que no enrutan parte del tráfico entrante: port1 y wan2. port1 no enruta el tráfico
porque la subred para el usuario C es 10.0.4.0/24. No hay una ruta activa para esa subred a través del puerto1. Por lo
tanto, el tráfico proveniente de 10.0.4.0/24 al puerto 1 se descarta porque falló la verificación de RPF.
La otra interfaz que no enruta el tráfico es wan2. Si bien wan2 está conectado físicamente a Internet, las únicas direcciones
IP que son válidas como fuentes o destinos para wan2 son las de la subred 10.0.2.0/24.
Por lo tanto, el tráfico entrante de cualquier otra fuente no pasa la verificación de RPF y se descarta.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Entonces, ¿cómo puedes solucionar este problema?
El primer problema se soluciona agregando una ruta estática a 10.0.4.0/24 a través del puerto1. Ahora, cuando FortiGate ejecuta la verificación RPF para los
paquetes del usuario C, encuentra una ruta activa a esa subred a través del puerto 1 y se acepta el paquete.
El segundo problema también se soluciona agregando una ruta estática. En este caso, es una ruta predeterminada para wan2. Esta segunda ruta
predeterminada debe tener la misma distancia que la ruta predeterminada para wan1. Esto asegura que ambas rutas estén activas en la tabla de
enrutamiento. Ambos pueden tener diferentes prioridades, pero deben tener la misma distancia para estar activos.
Esta diapositiva muestra un ejemplo de cuando se requieren dos rutas con la misma distancia, pero diferentes prioridades.
Entonces, una ruta es la mejor (la que tiene la prioridad más baja), pero ambas están activas. La mejor ruta se usa para el tráfico saliente, pero ambas
pueden recibir conexiones entrantes sin fallar la verificación RPF.

Enrutamiento
NO REIMPRIMIR
© FORTINET
FortiGate puede aplicar RPF de forma estricta o flexible.
En el modo suelto, el paquete se acepta siempre que haya una ruta activa hacia la IP de origen a través de la interfaz
de entrada. No tiene que ser la mejor ruta, solo una activa.
En modo estricto, FortiGate verifica que la mejor ruta a la dirección IP de origen sea a través de la interfaz entrante.
La ruta no solo tiene que estar activa (como en el caso del modo suelto), sino que también tiene que ser la mejor.
Puede deshabilitar la verificación de RPF de dos maneras. Si habilita el enrutamiento asimétrico, deshabilita la
verificación de RPF en todo el sistema. Sin embargo, esto reduce la seguridad de su red. Las funciones, como el antivirus y
el IPS, dejan de ser efectivas. Por lo tanto, si necesita deshabilitar la verificación de RPF, puede hacerlo en el nivel de la
interfaz usando los comandos que se muestran en esta diapositiva.

Enrutamiento
NO REIMPRIMIR
© FORTINET
En el ejemplo que se muestra en esta diapositiva, 10.0.4.1 envía un paquete SYN a 10.0.1.2, pero falsifica una
IP de origen de 10.0.1.1. Esto hace que parezca que el paquete se inició desde la red interna detrás del puerto
1. Loose RPF permite este tráfico porque la ruta activa en wan1 es una ruta predeterminada (0.0.0.0/0).
A continuación, 10.0.1.2 (Usuario B) envía el paquete SYN/ACK al dispositivo real con la dirección IP 10.0.1.1
(Usuario A).
Dado que 10.0.1.1 (usuario A) no espera ningún paquete SYN/ACK (porque no ha enviado previamente ningún
paquete SYN a 10.0.1.2), responde con un paquete RST (restablecimiento).

Enrutamiento
NO REIMPRIMIR
© FORTINET
Entonces, ¿qué sucede en el mismo escenario cuando se usa RPF estricto?
El RPF estricto descarta el paquete SYN. Aunque la ruta predeterminada wan1 es una ruta activa para 10.0.1.0/24
subred, no es la mejor ruta. La mejor ruta es a través de la interfaz port1 porque tiene un valor de distancia más bajo.
Recuerde, el valor de distancia predeterminado para rutas conectadas directamente es 0, que es menor que el valor
de distancia de 10 de la ruta predeterminada.
Aunque el RPF estricto es más seguro, puede generar falsos positivos si utiliza el enrutamiento dinámico. Las rutas
dinámicas pueden cambiar rápidamente y podrían hacer que FortiGate descarte paquetes legítimos cada vez que
cambia la ruta preferida. En general, se recomienda usar RPF suelto en combinación con políticas de firewall que
bloquean el tráfico falsificado, en lugar de usar RPF estricto para ese fin.

Enrutamiento
NO REIMPRIMIR
© FORTINET

Enrutamiento
NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora entiendes RPF.
Ahora, aprenderá sobre las mejores prácticas de enrutamiento.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Al demostrar competencia en las mejores prácticas de enrutamiento, debería poder aplicarlas en su propia red y
diseños de enrutamiento para mantener una configuración de enrutamiento eficaz y eficiente.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Al usar el enrutamiento ECMP, no tiene que implementar nada adicional para la conmutación por error de la ruta. Debido al
diseño de ECMP, la conmutación por error de la ruta ocurre automáticamente. ¿Cómo implementa la conmutación por error de
ruta cuando no está utilizando ECMP?
El monitor de estado del enlace es un mecanismo para detectar cuando un enrutador a lo largo de la ruta está inactivo. A
menudo se usa donde hay enrutadores redundantes en el sitio, como para enlaces ISP duales. Cuando está configurado, FortiGate
envía periódicamente señales de sondeo a través de una de las puertas de enlace a un servidor que actúa como baliza. El servidor
puede ser cualquier host al que normalmente se debería poder acceder a través de esa ruta. Por lo general, es mejor elegir un
servidor estable con una infraestructura robusta y elegir el protocolo al que respondería normalmente el servidor.
Si FortiGate deja de recibir una respuesta del servidor, todas las rutas que usan esa puerta de enlace se eliminan de la tabla
de enrutamiento. Como alternativa, puede configurar el dispositivo para desactivar administrativamente una interfaz, de modo
que se eliminen todas las rutas que utilizan esa interfaz. Mientras se elimina una ruta monitoreada, FortiGate continúa enviando
señales de monitoreo de estado del enlace. Tan pronto como FortiGate recibe una respuesta, reactiva las rutas asociadas.
Puede ser útil elegir un servidor que esté conectado indirectamente, ubicado uno o dos saltos más allá de la puerta
de enlace de FortiGate. Esto no prueba exactamente la disponibilidad de esta puerta de enlace, sino la combinación de puertas
de enlace. De esa forma, FortiGate indicará con precisión la disponibilidad de los servicios y los saltos posteriores.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Configure el monitor de estado del vínculo en la CLI.
Debe configurar la interfaz de salida, la dirección IP del enrutador de la puerta de enlace y la dirección IP y el
protocolo (http, ping, udp-echo, tcp-echo o twamp).
Debe habilitar la configuración de ruta estática de actualización para asegurarse de que FortiGate elimine cualquier
ruta estática coincidente, en caso de que el monitor de estado del enlace detecte una interrupción. Esto permite activar
cualquier ruta secundaria configurada con mayor distancia.
Puede configurar varios monitores de estado de enlaces, por ejemplo, uno para cada ISP.

Enrutamiento
NO REIMPRIMIR
© FORTINET
En el ejemplo que se muestra en esta diapositiva, FortiGate tiene dos conexiones ISP: ISP1 e ISP2. Dentro de la red de
cada ISP, hay servidores que FortiGate está probando.
Antes de la conmutación por error, la ruta predeterminada wan1 está activa en la tabla de enrutamiento porque tiene la
distancia más baja. La ruta por defecto de wan2 está configurada con mayor distancia y, por tanto, en standby. El monitor de
estado del enlace sondea el servidor ISP1 ubicado dentro de la red ISP1 a través de la interfaz wan1. Cuando el servidor ISP1
no responde a los intentos de sondeo, FortiGate elimina la ruta principal de la tabla de enrutamiento y, dado que hay una
segunda ruta predeterminada a través de wan2, la activa para enrutar el tráfico a Internet.
En este escenario de doble ISP, su primera reacción podría ser implementar el enrutamiento ECMP. Después de todo, ECMP le
permitiría utilizar ambos enlaces ISP al mismo tiempo, lo que aumenta el ancho de banda disponible para el tráfico de Internet.
Sin embargo, puede que no siempre sea factible implementar ECMP. La mayoría de las veces está relacionado
con consideraciones de costos: el ISP secundario podría estar cobrando según el ancho de banda o el uso de datos. Aquí es
donde puede usar el atributo de distancia, junto con la supervisión del estado del enlace, para implementar la conmutación por error de la r

Enrutamiento
NO REIMPRIMIR
© FORTINET
Las mejores prácticas de enrutamiento comienzan en la fase de diseño de la red. Uno de los mayores desafíos con el
enrutamiento estático es descubrir cómo manejar redes no contiguas. Si bien los protocolos de enrutamiento dinámico
están mejor equipados para manejarlos, aún crean problemas con tablas de enrutamiento grandes y resúmenes de
rutas. En algunas situaciones, no puede manejar redes no contiguas solo con enrutamiento estático y es posible que
deba recurrir a NAT para permitir el tráfico.
Otro desafío a considerar es el enrutamiento asimétrico. El enrutamiento asimétrico es una situación en la que los
paquetes, en la misma sesión, pueden fluir a través de diferentes rutas para llegar al destino. Por lo tanto, si existen
varias rutas en su red para el mismo destino, considere usar el atributo de distancia para asegurarse de que solo una
ruta esté activa a la vez. También puede considerar usar ECMP; sin embargo, la efectividad de esto también depende
de si el enrutador del lado remoto también es capaz de ECMP o alguna forma de persistencia de sesión. En otras
palabras, el enrutador del lado remoto también debe enviar los paquetes de respuesta a través de la misma ruta.
Si bien puede configurar FortiGate para permitir el enrutamiento asimétrico, se desaconseja hacerlo. Habilitar el
enrutamiento asimétrico deshabilita la capacidad de inspección con estado de FortiGate. El antivirus y la prevención de
intrusiones no serán efectivos porque FortiGate no reconoce las sesiones y trata cada paquete individualmente.
Deshabilite la comprobación de RPF en el nivel de interfaz.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Si se encuentra creando múltiples rutas de host (máscara de subred /32), investigue si puede resumirlas en una superred. Los
protocolos de enrutamiento dinámico están diseñados para resumir redes contiguas para mantener pequeñas las tablas de
enrutamiento, lo que reduce el tamaño de las actualizaciones de enrutamiento y el tiempo que lleva realizar una búsqueda de ruta.
Debe emplear la misma metodología al crear rutas estáticas.
Al configurar rutas de política, trátelas como una excepción a la tabla de enrutamiento. Si tiene que crear rutas de política
continuamente, debe volver a evaluar la configuración de su ruta estática para ver si puede hacer ajustes allí primero. Recuerde,
las rutas de política anulan la tabla de enrutamiento. Por lo tanto, la única forma de anular una ruta de política es configurando
otra. Si no planifica la configuración de la ruta de su política, puede convertirse rápidamente en un problema. Además, las tablas
de rutas de políticas grandes son difíciles de solucionar.
Finalmente, si el enrutamiento ECMP no es posible con múltiples rutas, use el monitor de estado del enlace junto con el atributo
de distancia, para asegurarse de que tiene la conmutación por error de la ruta.

Enrutamiento
NO REIMPRIMIR
© FORTINET
Si habilita la columna Interfaz de destino en los registros de tráfico de reenvío, puede ver la interfaz de
salida para el tráfico que pasa a través de su dispositivo FortiGate. Puede usar esta información para determinar
qué ruta se aplica a qué flujo de tráfico, así como identificar cualquier problema de configuración de enrutamiento.
Si sus políticas de firewall no tienen ningún perfil de seguridad aplicado, debe habilitar el registro para todas las
sesiones en sus políticas; de lo contrario, FortiGate no genera ningún registro de tráfico de reenvío. Utilice esta
función con precaución, ya que habilitar el registro de todas las sesiones puede generar muchos registros si la
política del cortafuegos maneja un gran volumen de tráfico. Debe habilitarlo cuando sea necesario y deshabilitarlo inmediatame

Nse4 Infraestructura 1-50

Cargado por

Copyright:

Formatos disponibles

Nse4 Infraestructura 1-50

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Nse4 Infraestructura 1-50

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google

Machine Translated by Google

Varias correcciones de formato Guía completa

l Diapositiva fija 27 (ahora diapositiva 26) Lección 04

l Diapositivas eliminadas relacionadas con STP (diapositivas 36-41)

Se agregó IKEv1 frente a IKEv2 Lección 5: Diapositiva 9

Diapositivas de equilibrio de carga HA AA actualizadas Lección 7: Diapositivas 29-34

Guía de estudio de FortiGate Infraestructura 7.0 4

Guía de estudio de FortiGate Infraestructura 7.0 5

Guía de estudio de FortiGate Infraestructura 7.0 6

Al demostrar competencia en el enrutamiento en FortiGate, debería poder implementar el enrutamiento estático

Guía de estudio de FortiGate Infraestructura 7.0 7

Guía de estudio de FortiGate Infraestructura 7.0 8

Para cada sesión, FortiGate realiza dos búsquedas de enrutamiento:

Guía de estudio de FortiGate Infraestructura 7.0 9

Guía de estudio de FortiGate Infraestructura 7.0 10

Guía de estudio de FortiGate Infraestructura 7.0 11

Guía de estudio de FortiGate Infraestructura 7.0 12

Guía de estudio de FortiGate Infraestructura 7.0 13

Guía de estudio de FortiGate Infraestructura 7.0 14

Guía de estudio de FortiGate Infraestructura 7.0 15

Guía de estudio de FortiGate Infraestructura 7.0 dieciséis

Guía de estudio de FortiGate Infraestructura 7.0 17

¡Buen trabajo! Ahora comprende el enrutamiento en FortiGate.

Ahora, aprenderá sobre el monitor de enrutamiento y los atributos de ruta.

Guía de estudio de FortiGate Infraestructura 7.0 18

Guía de estudio de FortiGate Infraestructura 7.0 19

El monitor de la tabla de enrutamiento en la GUI de FortiGate muestra las rutas activas.

¿Qué rutas, además de las rutas estáticas, se muestran aquí?

¿Qué rutas configuradas no se muestran en el monitor de la tabla de enrutamiento?

Guía de estudio de FortiGate Infraestructura 7.0 20

Guía de estudio de FortiGate Infraestructura 7.0 21

Guía de estudio de FortiGate Infraestructura 7.0 22

Los siguientes valores son las distancias predeterminadas en FortiGate:

Guía de estudio de FortiGate Infraestructura 7.0 23

Guía de estudio de FortiGate Infraestructura 7.0 24

Guía de estudio de FortiGate Infraestructura 7.0 25

Guía de estudio de FortiGate Infraestructura 7.0 26

¡Buen trabajo! Ahora comprende el monitor de enrutamiento y los atributos de ruta.

Ahora, aprenderá sobre el enrutamiento ECMP.

Guía de estudio de FortiGate Infraestructura 7.0 27

Guía de estudio de FortiGate Infraestructura 7.0 28

Guía de estudio de FortiGate Infraestructura 7.0 29

Guía de estudio de FortiGate Infraestructura 7.0 30

Guía de estudio de FortiGate Infraestructura 7.0 31

Guía de estudio de FortiGate Infraestructura 7.0 32

Guía de estudio de FortiGate Infraestructura 7.0 33

¡Buen trabajo! Ahora comprende el enrutamiento ECMP.

Ahora, aprenderá sobre el reenvío de ruta inversa.

Guía de estudio de FortiGate Infraestructura 7.0 34

Guía de estudio de FortiGate Infraestructura 7.0 35

Hay dos métodos RPF: flexible y estricto.

Guía de estudio de FortiGate Infraestructura 7.0 36

Guía de estudio de FortiGate Infraestructura 7.0 37

Entonces, ¿cómo puedes solucionar este problema?

Guía de estudio de FortiGate Infraestructura 7.0 38

FortiGate puede aplicar RPF de forma estricta o flexible.

Guía de estudio de FortiGate Infraestructura 7.0 39

Guía de estudio de FortiGate Infraestructura 7.0 40

Entonces, ¿qué sucede en el mismo escenario cuando se usa RPF estricto?