En este artículo, abordaremos un problema común relacionado con el cambio de la Clase de Servicio (CoS) del tráfico que pasa a través de FortiGate. Este tema es importante porque una adecuada configuración de CoS puede mejorar la calidad del servicio (QoS) en la red, especialmente en entornos con tráfico interno crítico. A través de este artículo, aprenderás cómo diagnosticar y modificar la CoS para optimizar el rendimiento del tráfico en tu dispositivo FortiGate.
Índice
Descripción del problema
El CoS se refiere al nivel de prioridad que se asigna a un tipo específico de tráfico en redes de capa 2. A veces, es necesario modificar el CoS para asegurar que el tráfico crítico dentro de una red interna obtenga la prioridad adecuada. No obstante, cuando este tráfico se envía a internet, los proveedores de servicios de internet (ISP) pueden bloquear tráfico que no esté marcado como de esfuerzo máximo.
Alcance
Este artículo se aplica específicamente a dispositivos FortiGate.
Diagnóstico paso a paso
Para verificar el CoS de una sesión específica, puedes utilizar el siguiente comando:
diagnose sys session list
[...]
class_id=0 ha_id=0 policy_dir=0 tunnel=/ vlan_cos=0/255
Aquí, vlan_cos indica la Clase de Servicio para la sesión. Tiene dos valores: el primero se refiere a la dirección original y el segundo a la dirección de respuesta.
Solución recomendada
Al modificar el CoS a través de la política de firewall, puedes ajustar la prioridad del tráfico. Los valores posibles para el CoS son:
- 255: Valor por defecto, el FortiGate no cambiará el CoS para la sesión.
- 0 a 7: Donde CS0 es la prioridad más baja (esfuerzo máximo) y CS7 es la más alta.
Por ejemplo, si vlan_cos=0/255, esto significa que el FortiGate cambiará el CoS para los paquetes que coincidan con la sesión en la dirección original a CS0, mientras que dejará sin cambios el CoS para la dirección de respuesta (255).
Es importante notar que para el tráfico autogenerado, el FortiGate utilizará CS0.
Para realizar este cambio, utiliza los siguientes comandos en la configuración de política de firewall:
config firewall policy edit <ID>
set vlan-cos-fwd <value>
set vlan-cos-rev <value>
donde vlan-cos-fwd indica la dirección original y vlan-cos-rev la dirección de respuesta.
Comandos CLI utilizados
A continuación, se listan los comandos CLI usados en este proceso:
diagnose sys session list– Muestra la tabla de sesiones activas y su CoS.config firewall policy– Inicia la configuración de las políticas de firewall.
Buenas prácticas y recomendaciones
Al ajustar la Clase de Servicio, se recomienda:
- Monitorear el tráfico y la QoS después de realizar cambios para asegurarse de que los ajustes son efectivos.
- Documentar cualquier cambio realizado en la configuración para facilitar futuras referencias o auditorías.
- Realizar copias de seguridad de la configuración antes de aplicar cambios significativos.
Notas adicionales
Recuerda que la gestión adecuada de la QoS no solo optimiza el rendimiento de la red, sino que también puede prevenir problemas de congestionamiento y mejorar la experiencia del usuario final en entornos críticos.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!