01 Routing SP

Enrutamiento
Infraestructura FortiGate
Enrutamiento
FortiOS 7.0
© Copyright Fortinet Inc. All rights reserved. LastLast
Modified:
Modified:
14 April
14 April
20222022
En esta lección, aprenderá sobre las funciones y capacidades de enrutamiento disponibles en FortiGate.
Enrutamiento
Lesson Overview
Enrutamiento en FortiGate
Monitor de enrutamiento y atributos de ruta
Enrutamiento de rutas múltiples de igual costo (ECMP)
Reenvío de ruta inversa (RPF)
Mejores prácticas
Diagnóstico
© Fortinet Inc. All Rights Reserved. 2
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.
Enrutamiento
Objectives
• Identificar las capacidades de enrutamiento en FortiGate
• Configurar enrutamiento estático
• Implementar rutas basadas en políticas
• Trafico de control servicios de Internet bien-conocidos
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en el enrutamiento en FortiGate, debería poder implementar el enrutamiento

estático y de políticas. También podrá controlar el enrutamiento del tráfico para servicios de Internet bien-
conocidos .
Enrutamiento
¿Qué es el enrutamiento de capa IP?

• El enrutamiento es cómo se envían los paquetes a lo largo de una ruta , desde un punto
a otro en la red, desde el origen hasta el destino.
• Si el destino está en una subred que no está directamente conectada al enrutador, el paquete se
retransmite a otro enrutador que está más cerca
• Las entradas en la tabla de enrutamiento se pueden configurar de forma manual, dinámica o ambas.
• Un FortiGate en modo NAT, entre otras cosas, es un enrutador OSI Capa 3
© Fortinet Inc. Todos los derechos reservados. 4
¿Qué es el enrutamiento?
El enrutamiento es cómo FortiGate en modo NAT decide dónde enviar los paquetes que recibe y los
paquetes que genera.
Todos los dispositivos de red que realizan el enrutamiento tiene una tabla de enrutamiento. Una tabla de
enrutamiento contiene una serie de reglas. Cada regla especifica el siguiente salto , que puede ser o no el
destino final del paquete. Cada salto de enrutamiento en la ruta enrutada requiere una búsqueda en la tabla
de enrutamiento para pasar el paquete hasta que llegue al destino final.
Al enrutar paquetes, FortiGate primero encontrará una ruta coincidente en su lista de rutas según la dirección
de destino del paquete. Al realizar esta coincidencia, FortiGate evalúa toda la tabla de enrutamiento para
encontrar la coincidencia más específica antes de seleccionar una ruta. Si FortiGate encuentra varias
coincidencias, utiliza varios atributos de ruta para determinar la mejor ruta.
La configuración de enrutamiento adecuada es importante. Si las rutas están mal configuradas, los paquetes
no llegarán a su destino y se perderán.
Enrutamiento
Búsqueda de rutas
• Para cualquier sesión, FortiGate realiza una búsqueda en la tabla de enrutamiento dos
veces:
• Para el primer paquete enviado por el originador
• Para el paquete de primera respuesta proveniente del respondedor
• La información de enrutamiento se escribe en la tabla de sesión
• Todos los demás paquetes para esa sesión usarán la misma ruta
• Excepción: después de un cambio en la tabla de enrutamiento, la información de la ruta se elimina de
las sesiones y se debe volver a aprender
Por defecto, muchos aspectos de FortiGate son con estado Es decir, FortiGate decide muchas cosas al inicio
de una sesión, cuando recibe el primer paquete.
Para cada sesión, FortiGate realiza dos búsquedas de enrutamiento:

• Para el primer paquete enviado por el originador
• Para el primer paquete de respuesta proveniente del respondedor
Después de completar estas dos búsquedas , FortiGate escribe la información de enrutamiento en su tabla
de sesión. Los paquetes posteriores se enrutan según la tabla de sesión , no la tabla de enrutamiento.
Entonces, todos los paquetes que pertenecen a la misma sesión siguen la misma ruta, incluso después de un
cambio en las rutas estáticas. Sin embargo, hay una excepción a esta regla: si hay un cambio en la tabla de
enrutamiento, FortiGate elimina la información de ruta para la tabla de sesión y luego realiza búsquedas
adicionales en la tabla de enrutamiento para reconstruir esta información.
Enrutamiento
Rutas estáticas
• Configurado manualmente , por un administrador
• Coincidencia simple de paquetes con una ruta, según la dirección IP de destino del
paquete
Red
Network
> Rutas
> Static
estáticas
Routes
Ruta por
defecto
Un tipo de ruta configurada manualmente se denomina ruta estática. Cuando configura una ruta estática, le
está diciendo a FortiGate: "Cuando vea un paquete cuyo destino está dentro de un rango específico, envíelo
a través de una interfaz de red específica, hacia un enrutador específico". También puede configurar la
distancia y la prioridad para que FortiGate pueda identificar la mejor ruta a cualquier destino que coincida con
varias rutas . Aprenderá acerca de la distancia y la prioridad más adelante en esta lección.
Por ejemplo, en redes domésticas simples, DHCP recupera y configura automáticamente un ruta _ Luego, su
módem envía todo el tráfico saliente a través del enrutador de Internet de su ISP , que puede retransmitir
paquetes a su destino. Por lo general , esto se conoce como una ruta predeterminada, porque todo el tráfico
que no coincida con ninguna otra ruta se enrutará, de manera predeterminada, utilizando esta ruta. El
ejemplo que se muestra en esta diapositiva es una ruta predeterminada. El valor de subred de destino de
0.0.0.0/0.0.0.0 coincide con todas las direcciones dentro de cualquier subred. La mayoría de los
dispositivos FortiGate implementados en el borde de la red tienen al menos una de estas rutas
predeterminadas para garantizar que el tráfico de Internet se reenvíe a la red del ISP.
Las rutas estáticas no son necesarias para las subredes a las que FortiGate tiene conectividad directa de
capa 2.
Enrutamiento
Rutas estáticas con direcciones con nombre

• direcciones de firewall configuradas para escribir IP/Netmask o FQDN se pueden usar
como destinos para rutas estáticas
Network > Static Routes

Policy & Objects > Addresses
Si crea un objeto de dirección de firewall con el tipo IP/Netmask o FQDN , puede usar esa dirección de
firewall como destino de una o más rutas estáticas. Primero, habilite la configuración de rutas estáticas en
la configuración de la dirección del cortafuegos. Después de habilitarlo, el objeto de dirección del firewall
estará disponible para su uso en la lista desplegable Destino para rutas estáticas con direcciones con
nombre.
Enrutamiento
Rutas Dinámicas
• Las rutas se descubren automáticamente
• FortiGate se comunica con los enrutadores vecinos para encontrar las
mejores rutas
• Las rutas también se basan en la dirección IP de destino del paquete
• El enrutamiento se vuelve algo autoorganizado
• FortiGate admite:
• Protocolo de información de enrutamiento (RIP)
• Abrir primero la ruta más corta (OSPF)
• Protocolo de puerta de enlace fronteriza (BGP)
• Sistema intermedio a sistema intermedio (IS-IS)
System > Feature Visibility
Debe habilitar Avanzado Enrutamiento

para mostrar los menús de configuración
de la GUI para RIP, OSPF, BGP, rutas de
política, objetos de enrutamiento y
multidifusión. Puede configurar IS-IS en
la CLI.
Para redes grandes, la configuración manual de cientos de rutas estáticas puede no ser práctica. Su
FortiGate puede ayudar, aprendiendo rutas automáticamente. FortiGate admite varios protocolos de
enrutamiento dinámico: RIP, OSPF, BGP e IS-IS.
En el enrutamiento dinámico, FortiGate se comunica con los enrutadores cercanos para descubrir sus rutas y
anunciar sus propias subredes conectadas directamente. Las rutas descubiertas se agregan
automáticamente a la tabla de enrutamiento de FortiGate . ¡Así que verifique que sus enrutadores vecinos
sean confiables y seguros!
Las redes más grandes también pueden necesitar equilibrar la carga de enrutamiento entre varias rutas
válidas y detectar y evitar los enrutadores que están caídos. Aprenderá más sobre eso más adelante en esta
lección.
Enrutamiento
Rutas basadas en políticas Network > Policy Routes
• Coincidencia más granular que las rutas

estáticas:
• Protocolo
• Dirección de la fuente
• Puertos de origen
• Puertos de destino
• Bits de tipo de servicio (ToS)
• Configurado manualmente
• Tener prioridad sobre la tabla de
enrutamiento
• Mantenido en una tabla de enrutamiento
separada
Las rutas estáticas son simples y se utilizan a menudo en redes pequeñas. Las rutas basadas en políticas,
sin embargo, son más flexibles. Pueden coincidir con más que solo la dirección IP de destino. Por ejemplo, si
tiene dos enlaces, uno lento y uno rápido, puede enrutar paquetes desde direcciones IP de origen de baja
prioridad al enlace lento.
Las rutas de política configuradas para la acción Reenviar tráfico tienen prioridad sobre las rutas estáticas y
dinámicas. Entonces, si un paquete coincide con la ruta de la política, FortiGate omite cualquier búsqueda en
la tabla de enrutamiento.
Al igual que las rutas estáticas, las rutas basadas en políticas deben ser válidas: se requiere un destino y una
puerta de enlace, y no se pueden usar interfaces desconectadas (o inactivas). Para las rutas basadas en
políticas, los paquetes también deben coincidir con todas las subredes, bits ToS y número de puerto
especificados. Por lo tanto, si no desea que se incluya una configuración en los criterios de coincidencia,
déjela en blanco.
mantiene las rutas de política en una tabla de enrutamiento separada y tienen prioridad sobre la tabla de
enrutamiento regular.
Enrutamiento
Acciones de enrutamiento basadas en políticas

Network > Policy Routes
• Si el tráfico coincide con una ruta basada
en políticas, FortiGate:
• Reenvía el tráfico utilizando la interfaz de
salida especificada a la puerta de enlace
especificada
• Detiene el enrutamiento de políticas y utiliza
la tabla de enrutamiento en su lugar
Cuando un paquete coincide con una ruta de política, FortiGate realiza una de dos acciones. Enruta el
paquete a la interfaz y la puerta de enlace configuradas, sin pasar por la tabla de enrutamiento, o deja de
verificar las rutas de la política, por lo que el paquete se enruta según la tabla de enrutamiento.
Recuerde, para que una ruta de política reenvíe el tráfico a una interfaz específica, debe haber una ruta
activa para ese destino que use esa interfaz en la tabla de enrutamiento. De lo contrario, la ruta de la política
no funciona.
Enrutamiento
Enrutamiento de servicios de Internet

• Rutas bien-conocidas de Internet a través de interfaces WAN específicas
Policy & Objects > Internet Service Database Network > Static Routes
Base de datos que contiene

direcciones IP, protocolos y
números de puerto utilizados
por los servicios de Internet
más comunes
¿Qué sucede si necesita enrutar el tráfico a un servicio público de Internet (como Amazon-AWS o Apple
Store) a través de un enlace WAN específico? Digamos que tiene dos ISP y desea enrutar el tráfico de Netflix
a través de un ISP y todo el resto del tráfico de Internet a través del otro ISP. Para lograr este objetivo, debe
conocer las direcciones IP de Netflix y configurar la ruta estática. Después de eso, debe verificar con
frecuencia que ninguna de las direcciones IP haya cambiado. La base de datos de servicios de Internet
(ISDB) ayuda a que este tipo de enrutamiento sea más fácil y sencillo. ISDB las entradas se aplican a rutas
estáticas para enrutar selectivamente el tráfico a través de interfaces WAN específicas.
Aunque están configuradas como rutas estáticas, las rutas ISDB son en realidad rutas de política y tienen
prioridad sobre cualquier otra ruta en la tabla de enrutamiento. Como tal, las rutas ISDB se agregan a la tabla
de enrutamiento de políticas .
Enrutamiento
Enrutamiento IPv6
• Habilite la función IPv6 para admitir la configuración de enrutamiento IPv6 mediante la
GUI
• Permite la configuración de rutas estáticas y de políticas utilizando direcciones IPv6
• Habilita las opciones de configuración de la GUI de las versiones IPv6 de los protocolos de
enrutamiento dinámico
Network > Static Routes
System > Feature Visibility
Para habilitar la configuración de enrutamiento para direcciones IPv6 mediante la GUI, debe habilitar IPv6 en
el menú Visibilidad de características . Luego, puede crear rutas estáticas y rutas de política con
direcciones IPv6. Habilitar la función IPv6 también habilita las opciones de configuración de la GUI para las
versiones IPv6 de los protocolos de enrutamiento dinámico.
Enrutamiento
Knowledge Check
1. ¿Qué objetos puedes usar para crear rutas estáticas?
A. Objetos ISDB
B. Objetos de servicio
2. Cuando se utiliza la acción Detener enrutamiento de política en una ruta de política,

¿qué comportamiento se espera?
A. FortiGate omite esta ruta de política e intenta hacer coincidir otra en la lista.
B. FortiGate enruta el tráfico según la tabla de enrutamiento regular.

Enrutamiento
Lesson Progress
Mejores prácticas
Diagnóstico
Buen trabajo! Ahora comprende el enrutamiento en FortiGate .
Ahora, aprenderá sobre el monitor de enrutamiento y los atributos de ruta.

Enrutamiento
Objectives
• Interpretar la tabla de enrutamiento en FortiGate
• Identificar cómo FortiGate decide qué rutas se activan en la
tabla de enrutamiento
• Identifique cómo FortiGate elige la mejor ruta usando atributos
de ruta
15
Al demostrar competencia en la comprensión del monitor de enrutamiento y los atributos de la ruta, debería
poder interpretar la tabla de enrutamiento, identificar cómo se activan las rutas e identificar cómo FortiGate
elige la mejor ruta usando los atributos de la ruta.
Enrutamiento
Supervisión de la tabla de enrutamiento Política y ruta ISDB

Dashboard > Network > Routing > Policy
• Muestra solo las rutas activas
• Las rutas de política y las rutas

ISDB se ven en una tabla
separada
Dashboard > Network > Routing > Static & Dynamic
Ruta de política
configurada
Ruta estática y dinámica
Configurado
manualmente
Directamente
conectado
El monitor de la tabla de enrutamiento en la GUI de FortiGate muestra las rutas activas.
¿Qué rutas, además de las rutas estáticas, se muestran aquí?

• Subredes conectadas directamente: cuando se asigna una subred al FortiGate interfaz, se agrega
automáticamente una ruta a la subred y se muestra Conectado en la columna Tipo . Para que se
muestren las rutas conectadas, el enlace de la interfaz respectiva debe estar activo . Esto significa que si
una interfaz está inactiva o no se ha establecido un enlace, la ruta no se agrega .
• Rutas dinámicas: en redes más grandes, su FortiGate puede recibir rutas de otros enrutadores, a través
de protocolos como BGP u OSPF . FortiGate agrega estas rutas a la tabla de enrutamiento con el nombre
del protocolo de enrutamiento respectivo en la columna
¿Qué rutas configuradas no se muestran en el monitor de la tabla de enrutamiento?

• Rutas inactivas
• Si una interfaz está administrativamente inactiva, su enlace está inactivo o su puerta de enlace ha
sido detectada como inactiva por el función de monitor de enlace, entonces esa ruta se considera
inactiva y no se agregará a la tabla de enrutamiento.
• Apoyar rutas _ Estas son rutas duplicadas válidas que tienen mayor distancia. Por ejemplo:
• Una segunda ruta estática predeterminada con una distancia mayor
• Una ruta dinámica como BGP, RIP u OSPF, al mismo destino que otra ruta estática. Sin embargo,
la ruta dinámica no se muestra en la tabla de enrutamiento porque la ruta estática tiene una
distancia
Las rutas de política se ven en una tabla separada. Las rutas ISDB también se agregan como rutas de
políticas en el monitor de rutas de políticas.
Enrutamiento
Supervisión de enrutamiento
• Proporciona búsqueda de ruta Dashboard > Network > Static & Dynamic Routing
extendida
• Comprueba las tablas de
enrutamiento regulares y de
políticas
• Si la ruta coincide con la ruta de la
política, la GUI se redirige a la
página de supervisión de la ruta
de la política
• Puedes buscar rutas con:
• IP de destino/FQDN
• Puerto de destino, origen, protocolo,
interfaz de origen
El monitor de enrutamiento proporciona una búsqueda de ruta extendida para el monitor de enrutamiento.
Esta función verifica tanto las rutas de política como la tabla de enrutamiento normal. Si la ruta coincide con
la ruta de la política, se le redirigirá a la página Ruta de la política en la GUI.
En Búsqueda de rutas , puede especificar una dirección de destino y, opcionalmente, especificar un puerto
de destino, una IP de origen, un protocolo y una interfaz de origen para buscar una ruta según estos criterios.
Enrutamiento
Atributos de ruta
• Cada ruta en la tabla de enrutamiento tiene los siguientes atributos:
• Red Dashboard > Network > Static & Dynamic Routing
• IP de acceso
• Interfaces
• Distancia
• Métrico
• Prioridad
FGT # get router info routing-table all columna métrica

está oculta. Use
...omitted output... el menú
contextual para
Routing table for VRF=0 habilitarlo.
S* 0.0.0.0/0 [10/0] via 10.200.1.254, port1
[10/0] via 10.200.2.254, port2, [20/0]
C 10.0.1.0/24 is directly connected, port3
Cada una de las rutas enumeradas en la tabla de enrutamiento incluye varios atributos con valores
asociados.
La columna Red enumera la dirección IP de destino y la máscara de subred que coincidirán . La columna
Interfaz enumera la interfaz que se utilizará para entregar el paquete.
la distancia , FortiGate utiliza los atributos Métrica y Prioridad para tomar varias decisiones de selección de
rutas. Aprenderá acerca de cada uno de estos más adelante en esta lección.
Enrutamiento
Distancia
• Se utiliza para clasificar las rutas desde la más preferida (valor de distancia bajo) hasta
la menos preferida (valor de distancia alto)
• Si existen varias rutas para el mismo destino, la que tiene la distancia más baja se
instala en la tabla de enrutamiento (activa), y el resto no (en espera)
La distancia, o distancia administrativa, es un número que utilizan los enrutadores para determinar qué ruta
se prefiere para un destino en particular . Si hay dos rutas hacia el mismo destino, la que tenga la menor
distancia se considera mejor (activa) y se usa para enrutamiento. Las rutas con mayores distancias (standby)
no se instalan en la tabla de enrutamiento.
De manera predeterminada, las rutas aprendidas a través del protocolo RIP tienen un valor de distancia más
alto que las rutas aprendidas a través del protocolo OSPF. OSPF se considera más preciso que RIP.
Los siguientes valores son las distancias predeterminadas en FortiGate:

• 0 - conectado directamente
• 5 - Puerta de enlace DHCP
• 20 - e xterno Rutas BGP (EBGP)
• 200 - rutas BGP internas (IBGP)
• 110 - Rutas OSPF
• 120 - Rutas RIP
• 10 - rutas estáticas
Enrutamiento
Métrica
• Utilizado por protocolos de enrutamiento dinámico para identificar la mejor ruta a un
destino
• Si varias rutas dinámicas tienen la misma distancia, la métrica se usa para desempatar
• Se elige la ruta con la métrica más baja
• El método de cálculo difiere entre los protocolos de enrutamiento.
El atributo métrico se utiliza para determinar la mejor ruta a un destino cuando se trata de rutas aprendidas a
través de protocolos de enrutamiento dinámico . Si dos rutas tienen la misma distancia, el valor métrico se
utiliza para desempatar. La ruta con la métrica más baja se elige para el enrutamiento.
Cómo el valor de la métrica se mide depende del protocolo de enrutamiento. Por ejemplo, RIP usa el conteo
de saltos, que es la cantidad de enrutadores por los que debe pasar el paquete para llegar al destino. OSPF
usa el costo, que está determinado por la cantidad de ancho de banda que tiene un enlace.
Enrutamiento
Prioridad
• Utilizado por rutas estáticas para determinar la mejor ruta a un destino, cuando la
distancia es la misma
• Si varias rutas estáticas tienen la misma distancia, todas se instalan en la tabla de
enrutamiento; sin embargo, sólo el que tiene la menor prioridad se considera la mejor
ruta Network > Static Routes
Cuando varias rutas estáticas tienen el mismo valor de distancia, ambas se instalan en la tabla de
enrutamiento. Entonces, ¿qué ruta se usará para enrutar los paquetes coincidentes? En el escenario que se
muestra en esta diapositiva, FortiGate usa el valor de prioridad como desempate para identificar la mejor
ruta. Siempre se prefieren las rutas con menor prioridad.
El atributo de prioridad solo se aplica a las rutas estáticas y se configura en Opciones avanzadas en la GUI.
De forma predeterminada, todas las rutas estáticas tienen una prioridad de 0 .
prioridad se ven en la configuración de rutas estáticas y en la tabla de enrutamiento en la CLI, sobre la que
aprenderá más adelante en esta lección. No se muestran en la tabla de enrutamiento de la GUI.
Enrutamiento
Knowledge Check
1. A qué tipo de rutas se aplica el atributo Prioridad ?
A. Estático
B. Dinámica
2. ¿Qué atributo usa FortiGate para determinar la mejor ruta para un paquete, si coincide
con varias rutas dinámicas que tienen la misma distancia ?
A. Prioridad
B. Métrica
3. ¿Qué atributo de ruta estática no aparece en el monitor de enrutamiento de la GUI?

A. Distancia
B. Prioridad

Enrutamiento
Lesson Progress
Mejores prácticas
Diagnóstico
Buen trabajo! Ahora comprende el monitor de enrutamiento y los atributos de ruta.
Ahora, aprenderá sobre el enrutamiento ECMP.

Enrutamiento
Enrutamiento ECMP
Objectives
• Identificar los requisitos para el enrutamiento ECMP
• Implementar redundancia de rutas y equilibrio de carga
24
Al demostrar competencia en ECMP, debería poder identificar los requisitos para implementar ECMP e
implementar el equilibrio de carga de ECMP.
Enrutamiento
ECMP
• Si varias rutas del mismo tipo (estática, OSPF o BGP) tienen los mismos atributos,
todas se pueden instalar en la tabla de enrutamiento y FortiGate puede distribuir el
tráfico entre todas ellas.
• Para ser consideradas para ECMP, las rutas deben tener los mismos valores para los
siguientes atributos:
• Subred de destino
• Distancia
• Métrica
• Prioridad FGT # get router info routing-table all
…output omitted…
S* 0.0.0.0/0 [10/0] via 10.0.1.254, wan1

Ambas rutas son para la misma S 10.0.4.0/24 [10/0] via 10.0.3.254, port1, [5/0]
subred de destino y ambas [10/0] via 10.200.3.254, port2, [5/0]
comparten los mismos valores de C 10.200.3.0/24 is directly connected, port2
distancia y prioridad C 10.0.1.0/24 is directly connected, wan1
Hasta ahora, ha aprendido acerca de los diferentes atributos de ruta disponibles para que los enrutadores
identifiquen la mejor ruta a un destino. Entonces, ¿qué sucede cuando dos o más rutas del mismo tipo y al
mismo destino comparten los mismos valores para todos los atributos? Todas las rutas están instaladas en la
tabla de enrutamiento y FortiGate equilibrará la carga del tráfico en todas las rutas. Esto se denomina ruta
múltiple de igual costo (ECMP).
Enrutamiento
Métodos ECMP
• IP de origen (predeterminada)
• Las sesiones de la misma dirección IP de origen usan la misma ruta
• IP de origen-destino
• Las sesiones con la misma IP de origen y de destino utilizan la misma ruta
• Ponderado
• Las sesiones se distribuyen según la ruta o los pesos de la interfaz.
• Uso (desbordamiento)
• Se usa una ruta hasta que se alcanza el umbral de volumen, luego se usa la siguiente ruta
ECMP puede equilibrar la carga del tráfico utilizando uno de los siguientes cuatro métodos: Las sesiones se
pueden equilibrar entre rutas iguales según la dirección IP de origen, las direcciones IP de origen y destino, la
ruta o la interfaz. pesos o umbrales de volumen de interfaz.
Cuando se utiliza el método de IP de origen, se espera que todo el tráfico que se origine en la misma IP de
origen utilice la misma ruta. El método de IP de origen y destino funciona de manera similar, pero también
tiene en cuenta la IP de destino. Por lo tanto, se espera que las sesiones de un origen específico a un destino
específico usen la misma ruta.
Con el método de balanceo de carga ECMP establecido en ponderado, FortiGate distribuye sesiones con
diferentes direcciones IP de destino generando un valor aleatorio para identificar la ruta a seleccionar. La
probabilidad de seleccionar una ruta sobre otra se basa en el valor de peso de cada ruta o interfaz . Es más
probable que se seleccionen pesos más altos.
Hay un método adicional llamado basado en el uso (o indirecto). En el equilibrio de carga basado en el uso,
FortiGate usa una ruta principal hasta que se alcanza un umbral de volumen de tráfico; después de eso, usa
la siguiente ruta disponible.
Si una de las rutas ECMP falla y se elimina de la tabla de enrutamiento, el tráfico se enrutado sobre las rutas
restantes. No hay una configuración específica necesaria para la conmutación por error de la ruta.
Enrutamiento
Configuración de ECMP
• El método ECMP se establece en la CLI
# config system settings
# set v4-ecmp-mode [ source-ip-based | weight-based | usage-based | source-dest-ip-based ]
# end
• Para ECMP basado en peso, los valores de peso se configuran por interfaz o por ruta
en la CLI
# config system interface # config router static
# edit <interface name> # edit <id>
# set weight <0 to 255> # set weight <0 to 255>
# end # end
• Para ECMP de desbordamiento, los umbrales de desbordamiento se configuran por

interfaz en la CLI
# config system interface
# edit <interface name>
# set spillover-threshold <0 to 16776000>
# end
FortiGate utiliza la IP de origen como método ECMP predeterminado . Puede cambiar esta
configuración en la CLI usando los comandos que se muestran en esta diapositiva.
Para ECMP basado en derrames, debe configurar ajustes adicionales en el nivel de interfaz. Para ECMP
basado en peso, debe asignar valores de peso a las interfaces o rutas. Puede hacer esto en la CLI usando
los comandos que se muestran en esta diapositiva.
Enrutamiento
Ejemplo de ECMP
Usuario A
10.0.3.1/24
puerto1 10.0.1.0/24
10.0.4.0/24
10.0.2.0/24
10.0.3.0/24 puerto3
puerto2
Usuario B
10.0.3.2/24 FGT # get router info routing-table all
S 10.0.4.0/24 [10/0] via 10.0.1.254, port1, [5/0]

[10/0] via 10.0.2.254, port2, [5/0]
Distancia Prioridad
En el escenario que se muestra en esta diapositiva, FortiGate tiene dos rutas candidatas iguales para la
subred 10.0.4.0/24 usando port1 y port2 respectivamente. Con el método ECMP predeterminado basado
en la fuente, FortiGate puede usar cualquier ruta para entregar el tráfico destinado a la subred 10.0.4.0/24
del Usuario A y el Usuario B. Si el puerto 1 pierde la conectividad, FortiGate usa automáticamente el puerto 2
para entregar todo el tráfico destinado a la 10.0 .4.0/24 subred.
ECMP le permite mantener varios enlaces para el mismo destino, así como proporcionar una conmutación
por error integrada. Puede implementar esto para cualquier recurso de red que tenga una gran demanda de
ancho de banda y sea de misión crítica. El uso de ECMP para estos recursos le permite agregar el ancho de
banda disponible de varios enlaces y equilibrar la carga del tráfico a través de esos enlaces.
Al usar ECMP, debe tener implementadas las políticas de firewall correctas para permitir que el tráfico salga
de todas las interfaces que participan en ECMP.
Si bien puede usar ECMP para mantener múltiples conexiones a Internet (WAN) en FortiGate, puede ser más
eficiente usar la función WAN definida por software (SD-WAN) para lograr esto. Todavía puede usar ECMP
para recursos internos.
Enrutamiento
Knowledge Check
1. ¿Cuál es el método ECMP predeterminado en FortiGate?
A. Ponderado
B. IP de origen
2. ¿Cómo equilibra la carga FortiGate el tráfico cuando se usa el método de

desbordamiento en el enrutamiento ECMP?
A. Las sesiones se distribuyen según el umbral de la interfaz.
B. Las sesiones se distribuyen en función del peso de la ruta.

Enrutamiento
Lesson Progress
Mejores prácticas
Diagnóstico
Buen trabajo! Ahora comprende el enrutamiento ECMP.
Ahora, aprenderá sobre el reenvío de ruta inversa.

Enrutamiento
RPF
Objectives
• Identificar cómo FortiGate detecta la suplantación de IP
• Bloquee el tráfico de direcciones IP falsificadas
• Diferenciar e implementar los diferentes métodos de
verificación de RPF
31
Al demostrar competencia en RPF, debería poder identificar y bloquear ataques de suplantación de IP en su

red.
Enrutamiento
RPF
• Protege contra ataques de suplantación de IP
• La dirección IP de origen se compara con la tabla de enrutamiento para obtener una
ruta de retorno
• El RPF solo se realiza en:
• El primer paquete en la sesión, no en una respuesta
• Dos métodos:
• Perder (Loose)
• Estricto (Strict)
A veces, los paquetes se descartan por motivos de enrutamiento y seguridad. RPF es un mecanismo que
protege FortiGate y su red de ataques de suplantación de IP. Comprueba si hay una ruta de regreso al origen
del paquete . Esta comprobación se ejecuta en el primer paquete de cualquier sesión nueva .
Hay dos métodos RPF: flexible y estricto.

Enrutamiento
Comprobación de RPF
• RPF busca una ruta activa de regreso a la IP de origen a través de la interfaz entrante
• acepta el tráfico del usuario A porque hay una ruta activa (la ruta predeterminada) de regreso a la
fuente
• Los paquetes de usuario B y C se niegan porque no hay rutas activas de regreso a esas fuentes
Usuario A
10.250.1.62
10.0.1.0/24
wan1
10.0.3.0/24
port1 10.0.2.0/24
wan2 Usuario B
10.0.4.0/24 10.175.3.69
FGT # get router info routing-table all

S* 0.0.0.0/0 [10/0] via 10.0.1.254, wan1

C 10.0.1.0/24 is directly connected, wan1
Usuario C C 10.0.2.0/24 is directly connected, wan2
10.0.4.63 C 10.0.3.0/24 is directly connected, port1
En el escenario que se muestra en esta diapositiva , tráfico de internet que llega a wan1 se acepta porque la
ruta predeterminada es una ruta válida de vuelta al origen.
Sin embargo, hay dos interfaces que no enrutan parte del tráfico entrante: puerto1 y wan2 . puerto1 no
enrute el tráfico porque la subred para el usuario C es 10.0.4.0/24 . No hay una ruta activa para esa
subred a través del puerto1 . Asi que, tráfico procedente de 10.0.4.0/24 al puerto 1 es se cayó
porque falló la verificación RPF.
La otra interfaz que hace el tráfico de ruta no es wan2 . mientras wan2 está conectado físicamente a Internet
, las únicas direcciones IP que son válidas como fuentes o destinos para wan2 son los de la subred
10.0.2.0/24 . Por lo tanto, el tráfico entrante de cualquier otra fuente no pasa la verificación de RPF y se
descarta .
Enrutamiento
Comprobación RPF ( Cont .)

• Soluciones:
• Agregue una ruta estática de regreso a 10.0.4.0/24
• Agregue una segunda ruta predeterminada, con la misma distancia, para wan2
• Use diferentes valores de prioridad si no desea ECMP
Usuario A
10.250.1.62
10.0.1.0/24
wan1
10.0.3.0/24
port1 10.0.2.0/24
wan2 Usuario B
10.0.4.0/24 10.175.3.69

S* 0.0.0.0/0 [10/0] via 10.0.1.254, wan1

[10/0] via 10.0.2.254, wan2, [5/0]
Usuario C S 10.0.4.0/24 [10/0] via 10.0.3.254, port1
10.0.4.63 C 10.0.1.0/24 is directly connected, wan1
Entonces, ¿cómo puedes solucionar este problema?
El primer problema se soluciona agregando una estática ruta a 10.0.4.0/24 a través del puerto1 .
Ahora, cuando FortiGate ejecuta la verificación RPF para los paquetes del usuario C , encuentra una ruta
activa a esa subred a través del puerto 1 y el paquete es aceptado.
El segundo problema también se soluciona agregando una ruta estática. En este caso, es una ruta
predeterminada para wan2 . Esta segunda ruta predeterminada debe tener la misma distancia que la ruta
predeterminada para wan1 . Esto asegura que ambas rutas estén activas en la tabla de enrutamiento .
Ambos pueden tener diferentes prioridades, pero deben tener la misma distancia para estar activos.
Esta diapositiva muestra un ejemplo de cuando se requieren dos rutas con la misma distancia, pero
diferentes prioridades. Asi que, una ruta es la mejor (la que tiene la prioridad más baja), pero ambas están
activos La mejor ruta se usa para el tráfico saliente, pero ambas pueden recibir conexiones entrantes sin
fallar la verificación RPF.
Enrutamiento
Métodos RPF
• RPF Loose (predeterminado)
• Verifica la existencia de al menos una ruta activa de regreso a la fuente usando la interfaz
entrante
• strict-src-check disable
• RPF Strict
• Comprueba la mejor ruta de regreso a la fuente utiliza la interfaz de entrada
• strict-src-check enable
# set strict-src-check [ disable | enable ]
# end
• Dos formas de desactivar la comprobación de RPF ¡Reduce la

• Habilite el enrutamiento asimétrico, que deshabilita el sistema de verificación de RPF en seguridad! ¡No
todo el sistema recomendado!
# set asymroute enable # config system interface
# end # edit <interface>
# set src-check [ enable | disable ]
• Deshabilitar la verificación de RPF en el nivel de interfaz # end
FortiGate puede aplicar RPF de forma estricta o flexible.
En el modo suelto, el paquete se acepta siempre que haya una ruta activa hacia la IP de origen a través de la
interfaz de entrada. No tiene que ser la mejor ruta, solo una activa.
En modo estricto, FortiGate verifica que la mejor ruta a la dirección IP de origen sea a través de la interfaz
entrante. La ruta no solo tiene que estar activa (como en el caso del modo suelto), sino que también tiene que
ser la mejor.
Puede deshabilitar la verificación de RPF de dos maneras. Si habilita el enrutamiento asimétrico, deshabilita
la verificación de RPF en todo el sistema. Sin embargo, esto reduce la seguridad de su red. Las funciones,
como el antivirus y el IPS, dejan de ser efectivas . Por lo tanto, si necesita deshabilitar la verificación de RPF,
puede hacerlo en el nivel de la interfaz usando los comandos que se muestran en esta diapositiva.
Enrutamiento
Ejemplo de RPF Loose

• Tráfico de 10.0.4.1 falsificando la dirección IP de origen 10.0.1.1 pasa el cheque
RPF loose
• La ruta predeterminada wan1 es válida para la subred 10.0.1.0/24
Usuario A # config system settings

RPF
10.0.1.1/24 # set strict-src-check disable
Loose
# end
RST SYN/ACK SYN with

wan1 source IP 10.0.1.1
Usuario C
10.0.1.0/24 puerto1 10.0.4.1

Usuario B …output omitted…
10.0.1.2/24
S* 0.0.0.0/0 [10/0] via 10.0.2.254, wan1
En el ejemplo que se muestra en esta diapositiva , 10.0.4.1 envía un paquete SYN a 10.0.1.2 , pero
falsifica una IP de origen de 10.0.1.1 . Esto hace que parezca que el paquete se inició desde la red interna
detrás del puerto1 . RPF suelto permite este tráfico porque la ruta activa en wan1 es una ruta
predeterminada ( 0.0.0.0/0 ).
A continuación, 10.0.1.2 (Usuario B) envía el paquete SYN/ACK al dispositivo real con la

dirección IP de 10.0.1.1 (Usuario A) .
Dado que 10.0.1.1 (Usuario A) no espera ningún paquete SYN/ACK (porque no ha enviado
previamente ningún paquete SYN a 10.0.1.2 ), responde con un paquete RST (restablecimiento) .
Enrutamiento
Ejemplo de RPF Strict

• Tráfico de 10.0.4.1 falsificando la dirección IP de origen 10.0.1.1 no pasa la
estricta verificación RPF
• La mejor ruta a 10.0.1.0/24 no es a través de wan1 porque tiene una distancia mayor
Usuario A # config system settings

RPF
10.0.1.1/24 # set strict-src-check enable
Strict
# end
SYN with
wan1 source IP 10.0.1.1 Usuario C
10.0.1.0/24 puerto1 10.0.4.1

Usuario B …output omitted…
10.0.1.2/24
S* 0.0.0.0/0 [10/0] via 10.0.2.254, wan1 Las rutas conectadas
C 10.0.1.0/24 is directly connected, port1 directamente tienen
C 10.0.2.0/24 is directly connected, wan1 una distancia
predeterminada de 0
Entonces, ¿qué sucede en el mismo escenario cuando se usa RPF estricto?
El RPF estricto descarta el paquete SYN . A pesar de La ruta predeterminada wan1 es una ruta activa
para la subred 10.0.1.0/24 , no es la mejor ruta. La mejor ruta es a través de la interfaz port1 porque
tiene un valor de distancia más bajo. Recuerde, el valor de distancia predeterminado para las rutas
conectadas directamente es 0 , que es menor que el valor de distancia de 10 de la ruta predeterminada .
Aunque el RPF estricto es más seguro, puede generar falsos positivos si utiliza el enrutamiento dinámico. Las
rutas dinámicas pueden cambiar rápidamente y podrían hacer que FortiGate descarte paquetes legítimos
cada vez que cambia la ruta preferida. En general, se recomienda usar RPF suelto en combinación con
políticas de firewall que bloquean el tráfico falsificado, en lugar de usar RPF estricto para ese fin.
Enrutamiento
Knowledge Check
1. ¿Cuál es el método de verificación RPF predeterminado en FortiGate?
A. Loose
B. Strict
2. ¿Qué escenario de búsqueda de ruta satisface la verificación RPF para un paquete?

A. La tabla de enrutamiento tiene una ruta activa para la IP de destino del paquete
B. La tabla de enrutamiento tiene una ruta activa para la IP de origen del paquete

Enrutamiento
Lesson Progress
Mejores prácticas
Diagnóstico
Buen trabajo! Ahora entiendes RPF.
Ahora, aprenderá sobre las mejores prácticas de enrutamiento.

Enrutamiento
Mejores prácticas
Objectives
• Configurar el monitor de estado del enlace
• Implementar conmutación por error de ruta
• Aplicar las mejores prácticas de diseño de red
• Aplicar las mejores prácticas de configuración de rutas
estáticas
• Usar los registros de tráfico de reenvío
40
Al demostrar competencia en las mejores prácticas de enrutamiento, debería poder aplicarlas en su propia
red y diseños de enrutamiento para mantener una configuración de enrutamiento eficaz y eficiente.
Enrutamiento
Monitor de estado de enlace

• Mecanismo para detectar cuando un enrutador a lo largo de la ruta está inactivo
• Sondea periódicamente un servidor más allá de la puerta de enlace
• Si FortiGate no recibe respuestas dentro del umbral de conmutación por error, todas las
rutas estáticas que usan la puerta de enlace se eliminan de la tabla de enrutamiento
• Si hay rutas en espera disponibles, FortiGate las activa y las usa en su lugar
Al usar el enrutamiento ECMP, no tiene que implementar nada adicional para la conmutación por error de la
ruta. Debido al diseño de ECMP, la conmutación por error de la ruta ocurre automáticamente. ¿Cómo
implementa la conmutación por error de ruta cuando no está utilizando ECMP?
El monitor de estado del enlace es un mecanismo para detectar cuando un enrutador a lo largo de la ruta
está inactivo. A menudo se usa donde hay enrutadores redundantes en el sitio, como para enlaces ISP
duales. Cuando está configurado, FortiGate envía periódicamente señales de sondeo a través de una de las
puertas de enlace a un servidor que actúa como baliza. El servidor puede ser cualquier host al que
normalmente se debería poder acceder a través de esa ruta. Por lo general, es mejor elegir un servidor
estable con una infraestructura robusta y elegir el protocolo al que respondería normalmente el servidor.
Si FortiGate deja de recibir una respuesta del servidor, todas las rutas que usan esa puerta de enlace se
eliminan de la tabla de enrutamiento. Como alternativa, puede configurar el dispositivo para desactivar
administrativamente una interfaz, de modo que se eliminen todas las rutas que utilizan esa interfaz . Mientras
se elimina una ruta monitoreada , FortiGate continúa enviando señales de monitoreo de estado del enlace.
Tan pronto como FortiGate recibe una respuesta, reactiva las rutas asociadas.
Puede ser útil elegir un servidor que esté conectado indirectamente, ubicado uno o dos saltos más allá de la
puerta de enlace de FortiGate. Esto no prueba exactamente la disponibilidad de esta puerta de enlace, sino la
combinación de puertas de enlace. De esa forma, FortiGate indicará con precisión la disponibilidad de los
servicios y los saltos posteriores.
Enrutamiento
Configuración del monitor de estado del vínculo

# config system link-monitor
# edit <name>
# set srcintf <interface> Use una IP de servidor ubicada
# set server <server ip> más allá de la puerta de enlace
del ISP
# set gateway-ip <gateway ip>
# set protocol [ ping | tcp-echo | udp-echo | twamp | http ]
# set update-static-route [ enable | disable ]
# next
Elimina todas las
# end rutas estáticas
asociadas con el
srcint en caso de
una interrupción
Configure el monitor de estado de enlace en la CLI.
Debe configurar la interfaz de salida, la dirección IP del enrutador de la puerta de enlace y la dirección IP y el
protocolo ( http , ping , udp -echo , tcp -echo o twamp ).
Debe habilitar la configuración de update-static-route para asegurarse de que FortiGate elimine

cualquier ruta estática coincidente, en caso de que el monitor de estado del enlace detecte una interrupción.
Esto permite activar cualquier ruta secundaria configurada con mayor distancia.
Puede configurar varios monitores de estado de enlaces, por ejemplo, uno para cada ISP.
Enrutamiento
Ejemplo de conmutación por error de ruta

1. El monitor de
estado del enlace
sondea el servidor
ISP1
ubicado en la red
Servidor ISP1
wan1
ISP2
Internet
wan2
2. El servidor ISP1
3. FortiGate desactiva la ruta principal Servidor ISP2 no responde a las
y activa la ruta sondas
Antes de la conmutación por error Después de la conmutación por error
FGT # get router info routing-table all FGT # get router info routing-table all
…output omitted… …output omitted…
S 0.0.0.0/0 [10/0] via 10.0.1.254, wan1 S 0.0.0.0/0 [20/0] via 10.0.2.254, wan2
C 10.0.1.0/24 is directly connected, wan1 C 10.0.1.0/24 is directly connected, wan1
C 10.0.2.0/24 is directly connected, wan2 C 10.0.2.0/24 is directly connected, wan2
En el ejemplo que se muestra en esta diapositiva , FortiGate tiene dos conexiones ISP: ISP1 e ISP2. Dentro
de la red de cada ISP , hay servidores que FortiGate está probando.
Antes de la conmutación por error, la ruta predeterminada wan1 está activa en la tabla de enrutamiento
porque tiene la distancia más baja. La ruta por defecto de wan2 está configurada con mayor distancia y, por
tanto, en standby. El monitor de estado del enlace sondea el servidor ISP1 ubicado dentro de la red ISP1 a
través de la interfaz wan1 . Cuando el servidor ISP1 no responde a los intentos de sondeo, FortiGate elimina
la ruta principal de la tabla de enrutamiento y, dado que hay una segunda ruta predeterminada a través de
wan2 , la activa para enrutar el tráfico a Internet .
En este escenario de doble ISP, su primera reacción podría ser implementar el enrutamiento ECMP.
Después de todo, ECMP le permitiría utilizar ambos enlaces ISP al mismo tiempo, lo que aumenta el ancho
de banda disponible para el tráfico de Internet . Sin embargo, puede que no siempre sea factible implementar
ECMP. La mayoría de las veces está relacionado con consideraciones de costos: el ISP secundario podría
estar cobrando según el ancho de banda o el uso de datos. Aquí es donde puede usar el atributo de
distancia, junto con la supervisión del estado del enlace, para implementar la conmutación por error de la
ruta.
Enrutamiento
Mejores prácticas—Diseño de red

• Aplicar prácticas de diseño de red adecuadas
• Las redes no contiguas son difíciles de administrar con enrutamiento estático
10.4.0.0/24 puerto1 puerto2 10.4.0.0/16
10.4.0.254/24 10.4.0.254/16
• Si existen varias rutas para el mismo destino, use el atributo de distancia para asegurarse de que solo
una ruta esté activa a la vez
PRECAUCIÓN : Habilitar el soporte de enrutamiento asimétrico deshabilita la inspección de estado de
FortiGate
MPLS
Dos caminos
posibles para un
mismo destino
MPLS 10.4.0.254/16
Las mejores prácticas de enrutamiento comienzan en la fase de diseño de la red. Uno de los mayores
desafíos con el enrutamiento estático es descubrir cómo manejar redes no contiguas. Si bien los protocolos
de enrutamiento dinámico están mejor equipados para manejarlos, aún crean problemas con tablas de
enrutamiento grandes y resúmenes de rutas. En algunas situaciones, no puede manejar redes no contiguas
solo con enrutamiento estático y es posible que deba recurrir a NAT para permitir el tráfico.
Otro desafío a considerar es el enrutamiento asimétrico. Un enrutamiento simétrico es una situación en la

que los paquetes, en la misma sesión, pueden fluir a través de diferentes rutas para llegar al destino. Por lo
tanto, si existen varias rutas en su red para el mismo destino, considere usar el atributo de distancia para
asegurarse de que solo una ruta esté activa a la vez. También puede considerar usar ECMP; sin embargo, la
efectividad de esto también depende de si el enrutador del lado remoto también es capaz de ECMP o alguna
forma de persistencia de sesión. En otras palabras, el enrutador del lado remoto también debe enviar los
paquetes de respuesta a través de la misma ruta.
Si bien puede configurar FortiGate para permitir el enrutamiento asimétrico, se desaconseja encarecidamente
para hacerlo Habilitar el enrutamiento asimétrico deshabilita la capacidad de inspección con estado de
FortiGate . La prevención de virus e intrusiones no será eficaz porque FortiGate desconoce las sesiones y
trata cada paquete individualmente. Deshabilite la comprobación de RPF en el nivel de interfaz.
Enrutamiento
Prácticas recomendadas—Configuración
• Intente resumir las rutas de host (máscaras de subred /32) a las superredes
• Reduce el tamaño de la tabla de enrutamiento y el tiempo que lleva hacer una búsqueda de ruta
• Por ejemplo, 10.4.0.100/32 , 10.4.0.201/32 , 10.4.0.69/32 , 10.4.0.97/32 10.4.0.0/24
• Por ejemplo, 10.4.0.29/32 , 10.4.0.30/32 10.4.0.28/30
• Configurar rutas de política como una excepción

• Las tablas de enrutamiento de políticas grandes son difíciles de solucionar
• Si el enrutamiento ECMP no es posible para lograr la redundancia de ruta, use el
monitor de estado del enlace
• Se puede usar junto con el atributo de distancia para lograr la protección de conmutación por error de
la ruta
Si se encuentra creando varias rutas de host ( máscara de subred /32) , investigue si puede resumirlos en
una superred. Los protocolos de enrutamiento dinámico están diseñados para resumir redes contiguas para
mantener pequeñas las tablas de enrutamiento, lo que reduce el tamaño de las actualizaciones de
enrutamiento y el tiempo que lleva realizar una búsqueda de ruta. Debe emplear la misma metodología al
crear rutas estáticas.
Al configurar rutas de política, trátelas como una excepción a la tabla de enrutamiento. Si tiene que crear
rutas de política continuamente, debe volver a evaluar la configuración de su ruta estática para ver si puede
hacer ajustes allí primero. Recuerde, las rutas de política anulan la tabla de enrutamiento. Por lo tanto, la
única forma de anular una ruta de política es configurando otra. Si no planifica la configuración de la ruta de
su política, puede convertirse rápidamente en un problema. Además, las tablas de rutas de políticas grandes
son difíciles de solucionar.
Finalmente, si el enrutamiento ECMP no es posible con múltiples rutas, use el monitor de estado del enlace
junto con el atributo de distancia, para asegurarse de que tiene la conmutación por error de la ruta .
Enrutamiento
Prácticas recomendadas: registros de tráfico de reenvío

• Use la columna Interfaz de destino en los registros de tráfico de reenvío para
determinar la interfaz de salida para todo el tráfico
Log & Report > Forward Traffic
Si habilita la columna Interfaz de destino en los registros de tráfico de reenvío , puede ver la interfaz de
salida para el tráfico que pasa a través de su dispositivo FortiGate. Puede usar esta información para
determinar qué ruta se aplica a qué flujo de tráfico, así como identificar cualquier problema de configuración
de enrutamiento.
Si sus políticas de firewall no tienen ningún perfil de seguridad aplicado, debe habilitar el registro para todas
las sesiones en sus políticas; de lo contrario, FortiGate no genera ningún reenvío Registros de tráfico .
Utilice esta función con precaución, ya que habilitar el registro de todas las sesiones puede generar muchos
registros si la política del cortafuegos maneja un gran volumen de tráfico. Debe habilitarlo cuando sea
necesario y deshabilitarlo inmediatamente después.
Enrutamiento
Knowledge Check
1. ¿Cuál es el propósito de la configuración del monitor de estado del enlace update-
static-route ?
A. Crea una nueva ruta estática para la interfaz de respaldo.
B. Elimina todas las rutas estáticas asociadas con la interfaz del monitor de estado del enlace.
2. Al usar la supervisión del estado de los enlaces, ¿qué atributo de la ruta debe
configurar también para lograr la protección de conmutación por error de la ruta?
A. Distancia
B. Métrica

Enrutamiento
Lesson Progress
Mejores prácticas
Diagnóstico
Buen trabajo! Ahora comprende algunas de las mejores prácticas de enrutamiento.
Ahora, aprenderá sobre el diagnóstico de enrutamiento.

Enrutamiento
Diagnóstico
Objectives
• Ver rutas activas, en espera e inactivas
• Ver rutas de política en la CLI
• Utilice las herramientas de captura de paquetes integradas
49
Al demostrar competencia en el diagnóstico de enrutamiento, debería poder determinar las causas

fundamentales de cualquier falla de enrutamiento en su red.
Enrutamiento
Rutas activas
# get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
Distancia/Métrica
Routing table for VRF=0
S* 0.0.0.0/0 [10/0] via 172.25.176.1, port1
O 10.200.2.0/24 [110/2] via 192.167.1.130, port2, 01:01:30
B 10.250.2.0/24 [200/0] via 10.200.3.1, port3, 00:45:12
C 192.167.1.0/24 is directly connected, port2 Prioridad/Peso
S 192.168.1.0/24 [10/0] via 192.167.1.130, port2, [25/0]
El comando CLI que se muestra en esta diapositiva muestra todas las rutas activas en la tabla de
enrutamiento. La columna más a la izquierda indica el origen de la ruta.
Los atributos de ruta se muestran entre corchetes. El primer número, en el primer par de atributos, es la
distancia, que se aplica tanto a rutas dinámicas como estáticas. El segundo número es métrico, que se aplica
solo a las rutas dinámicas.
Las rutas estáticas también pueden tener atributos de prioridad y peso, que se muestran como el último par
de atributos de la ruta respectiva.
Este comando no muestra rutas en espera o inactivas. Por ejemplo, cuando dos rutas estáticas a la misma
subred de destino tienen distancias diferentes, la de menor distancia se considera activa y , por lo tanto , se
instala en la tabla de enrutamiento. El de mayor distancia se considera standby y por lo tanto no se instala en
la tabla de enrutamiento. Entonces, este comando muestra solo la ruta con la distancia más baja (la activa).
Enrutamiento
Rutas activas, en espera e inactivas

# get router info routing-table database
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
> - selected route, * - FIB route, p - stale info
Routing table for VRF=0
S 0.0.0.0/0 [20/0] via 10.200.2.254, port2 Ruta en espera
S *> 0.0.0.0/0 [10/0] via 10.200.1.254, port1
C *> 10.0.1.0/24 is directly connected, port3
S 8.8.4.5/32 [10/0] via 10.255.255.5, port4 inactive ruta inactiva
rutas activas
Si desea mostrar rutas activas, en espera e inactivas, use el comando CLI que se muestra en esta
diapositiva.
En el ejemplo de esta diapositiva, el comando muestra una ruta de reserva. La ruta es la ruta en espera
porque la ruta predeterminada sobre el puerto 1 tiene una distancia menor . La salida también muestra
una ruta inactiva. Las rutas se marcan como inactivas cuando la interfaz correspondiente está
administrativamente inactiva , o su enlace está inactivo, o cuando el monitor de enlace detecta que la puerta
de enlace está muerta.
Enrutamiento
Rutas de política y rutas ISDB

# diagnose firewall proute list
list route policy info(vf=root):
id=1 dscp_tag=0xff 0xff flags=0x0 tos=0x00 tos_mask=0x00 protocol=6 sport=1-65535
iif=5 dport=443 oif=3(port1) gwy=10.200.1.254
source wildcard(1): 10.0.1.10/255.255.255.255
destination wildcard(1): 0.0.0.0/0.0.0.0 Ruta de política para
hit_count=77 last_used=2021-04-06 12:08:54 una sola dirección
de origen
id=2113929219 static_route=3 dscp_tag=0xff 0xff flags=0x0 tos=0x00 tos_mask=0x00

protocol=0 sport=0-0 iif=0 dport=1-65535 oif=3(port1) gwy=10.200.1.254
source wildcard(1): 0.0.0.0/0.0.0.0
destination wildcard(1): 0.0.0.0/0.0.0.0
Ruta ISDB para
internet service(1): Amazon-AWS(393320,0,0,0) Amazon web
services
hit_count=3 last_used=2021-04-06 11:37:07
Las rutas de política y las rutas estáticas creadas con direcciones ISDB no se agregan a la tabla de
enrutamiento; se agregan a la tabla de enrutamiento de políticas. Puede mostrar estas rutas usando el
comando CLI que se muestra en esta diapositiva . Este comando enumera todas las rutas activas en la tabla
de enrutamiento de políticas.
Enrutamiento
Captura de paquetes
• Se puede utilizar para verificar la interfaz de entrada y salida de paquetes
# diagnose sniffer packet <interface> '<filter>' <verbosity> <count> <timestamp> <frame size>
• <interface> puede ser any o una interfaz específica (es decir, port1 o internal )
• <filter> sigue el formato tcpdump
• <verbosity> especifica cuánta información capturar
• <count> número de paquetes a capturar
• <timestamp> imprimir información de marca de tiempo
• a – imprime la marca de tiempo absoluta
• l – imprime la marca de tiempo local
• <frame size> especifique una longitud de hasta un tamaño máximo de 65K
Las capturas de paquetes, o sniffers , son una de las fuentes de información más útiles para depurar
problemas de enrutamiento. FortiGate incluye una herramienta de rastreo de tráfico integrada . Puede usarlo
para verificar las interfaces de entrada y salida de los paquetes a medida que pasan. Puede ejecutar el sniffer
integrado desde la GUI o la CLI. La sintaxis del comando CLI se muestra en esta diapositiva .
La < interfaz> es el nombre de la interfaz física o lógica. Si su cuenta tiene el perfil de acceso
super_admin , puede especificar cualquiera para capturar en todas las interfaces. Si está utilizando
cualquier opción, recuerde que el sniffer no imprime ninguna dirección MAC de interfaz.
Los filtros son similares a tcpdump en Linux. Debe configurar filtros específicos para asegurarse de capturar
solo lo que necesita. También puede especificar un valor de <recuento> para detener automáticamente el
rastreador después de capturar una cantidad específica de paquetes. De lo contrario, el sniffer continúa
capturando paquetes hasta que usted lo detenga manualmente usando Ctrl + C. Puede usar la opción
<marca de tiempo > para imprimir información de marca de tiempo. Utilice a para imprimir la
marca de tiempo absoluta o l ( L minúscula ) para imprimir la marca de tiempo basada en la zona horaria
local. La información de marca de tiempo es particularmente útil cuando se correlaciona la salida del sniffer
con los mensajes de flujo de depuración. Aprenderá más sobre el flujo de depuración más adelante en este
curso.
De forma predeterminada, el rastreador utiliza la MTU configurada en la interfaz. Usando el argumento <
tamaño de marco> , puede especificar una longitud mayor o menor que la MTU de la interfaz. Si usa
cualquier interfaz, el sniffer tendrá un valor predeterminado de 1600 bytes.
Enrutamiento
Nivel de detalle de captura de paquetes

Level IP Headers Packet Payload Ethernet Headers Interface Name
1 •
2 • •
3 • • •
4 • •
5 • • •
6 • • • •
• Los niveles más comunes son:
• 4 – Imprime las interfaces de entrada y salida
• Puede verificar cómo se enruta el tráfico o si FortiGate está descartando paquetes
• 3 o 6 : imprime la carga útil del paquete
• Puede convertir esta salida en un archivo de captura de paquetes (pcap) que se puede abrir con un
analizador de paquetes
• Si no especifica un nivel, el sniffer usa el nivel 1 de forma predeterminada
El nivel de verbosidad especifica cuánta información desea mostrar. Hay seis niveles diferentes y esta tabla
muestra cuáles muestran los encabezados de IP, la carga útil del paquete, los encabezados de Ethernet y los
nombres de las interfaces.
nivel de verbosidad 4 para echar un vistazo rápido a cómo fluye el tráfico a través de FortiGate (si llegan
paquetes y cómo los enruta FortiGate ). También puede usar el nivel 4 para verificar si FortiGate está
descartando paquetes.
Los niveles de verbosidad 3 y 6 proporcionan la mayor salida . Ambos muestran la carga útil de IP y los
encabezados de Ethernet. Puede guardar el resultado y exportarlo a un archivo de captura de paquetes
(pcap) mediante un script Perl. A continuación , se puede abrir el archivo pcap. con un analizador de
paquetes , como Wireshark , para una mayor investigación. Puede ubicar el script Perl que convierte la salida
del sniffer en pcap en el sitio web de la base de conocimientos de Fortinet ( kb.fortinet.com ).
Enrutamiento
Ejemplos de captura de paquetes

# diagnose sniffer packet any 'port 443' 4 Todo el tráfico
hacia o desde el
5.455914 port8 in 192.168.1.254.59785 -> 192.168.1.1.443: syn 457459 puerto 443 con
5.455930 port8 out 192.168.1.1.443 -> 192.168.1.254.59785: syn 163440 ack 457460 verbosidad 4
5.455979 port8 out 192.168.1.1.443 -> 192.168.1.254.59773: 927943 ack 725411
5.456012 port8 out 192.168.1.1.443 -> 192.168.1.254.59773: 929403 ack 725411
5.456043 port8 out 192.168.1.1.443 -> 192.168.1.254.59773: psh 930863 ack 725411
Todo el tráfico ICMP

# diagnose sniffer packet any 'host 192.168.1.254 and icmp' 3
hacia o desde
interfaces=[any] 192.168.1.254
filters=[host 192.168.1.254 and icmp] con verbosidad 3
7.560352 192.168.1.254 -> 192.168.1.1: icmp: echo request

0x0000 0000 0000 0001 0050 56c0 0001 0800 4500 .......PV.....E.
0x0010 003c 0e85 0000 8001 a7ec c0a8 01fe c0a8 .<..............
0x0020 0101 0800 4d58 0001 0003 6162 6364 6566 ....MX....abcdef
0x0030 6768 696a 6b6c 6d6e 6f70 7172 7374 7576 ghijklmnopqrstuv
0x0040 7761 6263 6465 6667 6869 wabcdefghi
Esta diapositiva muestra dos ejemplos de salidas de captura de paquetes . el primer ejemplo captura todo el
tráfico hacia y desde el puerto 443 . Utiliza verbosidad 4 , por lo que la información es fácil de leer. Muestra
una línea por paquete , que contiene la interfaz entrante y saliente, las direcciones IP, los números de puerto
y el tipo de paquete ( SYN , SYN/ACK , etc.).
el segundo ejemplo captura todo el tráfico ICMP procedente o dirigido al host 192.168.1.254. En este
caso, la verbosidad es 3 , que es más larga y más difícil de leer, ya que incluye la carga IP del paquete s .
Sin embargo, este es uno de los dos niveles de verbosidad a usar ( siendo 6 el otro) si necesita exportar la
salida a Wireshark.
Enrutamiento
Captura de paquetes desde la GUI

• Las capturas se convierten automáticamente al formato Wireshark
• Disponible en dispositivos con almacenamiento interno
Network > Packet Capture
Cualquier interfaz no
está disponible en la
captura de paquetes GUI
filtros deben ser muy

específicos para
asegurarse de que solo se
capturen los paquetes
relevantes.
Si su modelo de FortiGate tiene almacenamiento interno, puede capturar paquetes en la GUI. Las opciones
son similares a las de la CLI. Para ejecutar un seguimiento, especifique una interfaz de origen y un filtro.
¿Cuál es la principal ventaja de usar la GUI sobre la CLI? Descarga la salida en un formato de archivo (pcap)
que está listo para abrirse con Wireshark, sin tener que usar un script de conversión.
Independientemente del método que utilice (CLI o GUI), los filtros de captura de paquetes deben ser muy
específicos para garantizar que solo se capturen los paquetes relevantes. y grandes cantidades de datos no
se escriben en el disco.
Enrutamiento
Knowledge Check
1. ¿Cuál es el valor de la distancia para esta ruta ?
10.200.2.0/24 [110/2] via 10.200.2.254, [25/0]
A. 110
B. 2
2. ¿Qué comandos CLI puede usar para ver rutas en espera e inactivas?
A. get router info routing-table all
B. get router info routing-table database
3. ¿Qué nivel de detalle de captura de paquetes CLI imprime nombres de interfaz?

A. 3
B. 4

Enrutamiento
Lesson Progress
Mejores prácticas
Diagnóstico
¡Felicidades! Has completado la lección.
Ahora revisará los objetivos que cubrió en esta lección.

Enrutamiento
Review
 Configurar enrutamiento estático
 Implementar rutas basadas en políticas
 servicios de Internet bien-conocidos
 Interpretar la tabla de enrutamiento en FortiGate
 Implementar enrutamiento ECMP
 Bloquee el tráfico de direcciones IP falsificadas
 Aplique las mejores prácticas de diseño de red y enrutamiento estático
 Implementar conmutación por error de ruta
 Ver rutas activas, en espera e inactivas
 Utilice las herramientas de rastreo integradas
Esta diapositiva muestra los objetivos que cubrió en esta lección.
Al dominar los objetivos cubiertos en esta lección, aprendió cómo configurar, mantener y solucionar
problemas de configuración de enrutamiento de FortiGate.

01 Routing SP

Cargado por

Copyright:

Formatos disponibles

01 Routing SP

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

01 Routing SP

Cargado por

Copyright:

Formatos disponibles

Enrutamiento

Monitor de enrutamiento y atributos de ruta

Enrutamiento de rutas múltiples de igual costo (ECMP)

Reenvío de ruta inversa (RPF)

© Fortinet Inc. All Rights Reserved. 2

Al demostrar competencia en el enrutamiento en FortiGate, debería poder implementar el enrutamiento

¿Qué es el enrutamiento de capa IP?

© Fortinet Inc. Todos los derechos reservados. 4

© Fortinet Inc. Todos los derechos reservados. 5

Para cada sesión, FortiGate realiza dos búsquedas de enrutamiento:

© Fortinet Inc. Todos los derechos reservados. 6

Rutas estáticas con direcciones con nombre

Network > Static Routes

© Fortinet Inc. Todos los derechos reservados. 7

Debe habilitar Avanzado Enrutamiento

© Fortinet Inc. Todos los derechos reservados. 8

Rutas basadas en políticas Network > Policy Routes

• Coincidencia más granular que las rutas

© Fortinet Inc. Todos los derechos reservados. 9

Acciones de enrutamiento basadas en políticas

© Fortinet Inc. Todos los derechos reservados. 10

Enrutamiento de servicios de Internet

Base de datos que contiene

© Fortinet Inc. Todos los derechos reservados. 11

System > Feature Visibility

© Fortinet Inc. Todos los derechos reservados. 12

2. Cuando se utiliza la acción Detener enrutamiento de política en una ruta de política,

© Fortinet Inc. Todos los derechos reservados. 13

Monitor de enrutamiento y atributos de ruta

Enrutamiento de rutas múltiples de igual costo (ECMP)

Reenvío de ruta inversa (RPF)

© Fortinet Inc. All Rights Reserved. 14

Buen trabajo! Ahora comprende el enrutamiento en FortiGate .

Ahora, aprenderá sobre el monitor de enrutamiento y los atributos de ruta.

Monitor de enrutamiento y atributos de ruta

Supervisión de la tabla de enrutamiento Política y ruta ISDB

• Las rutas de política y las rutas

Ruta estática y dinámica

© Fortinet Inc. Todos los derechos reservados. 16

El monitor de la tabla de enrutamiento en la GUI de FortiGate muestra las rutas activas.

¿Qué rutas, además de las rutas estáticas, se muestran aquí?

¿Qué rutas configuradas no se muestran en el monitor de la tabla de enrutamiento?

© Fortinet Inc. Todos los derechos reservados. 17

FGT # get router info routing-table all columna métrica

© Fortinet Inc. Todos los derechos reservados. 18

© Fortinet Inc. Todos los derechos reservados. 19

Los siguientes valores son las distancias predeterminadas en FortiGate:

© Fortinet Inc. Todos los derechos reservados. 20

© Fortinet Inc. Todos los derechos reservados. 21

3. ¿Qué atributo de ruta estática no aparece en el monitor de enrutamiento de la GUI?

© Fortinet Inc. Todos los derechos reservados. 22

Monitor de enrutamiento y atributos de ruta

Enrutamiento de rutas múltiples de igual costo (ECMP)

Reenvío de ruta inversa (RPF)

© Fortinet Inc. All Rights Reserved. 23

Buen trabajo! Ahora comprende el monitor de enrutamiento y los atributos de ruta.

Ahora, aprenderá sobre el enrutamiento ECMP.

S* 0.0.0.0/0 [10/0] via 10.0.1.254, wan1

© Fortinet Inc. Todos los derechos reservados. 25

© Fortinet Inc. Todos los derechos reservados. 26