En este artículo, se abordará un comportamiento fundamental en dispositivos FortiGate relacionado con la generación de tráfico en instancias de Virtual Routing and Forwarding (VRF). Comprender cómo el dispositivo selecciona las rutas cuando hay múltiples caminos hacia una dirección IP específica es crucial para optimizar la configuración y asegurar el funcionamiento adecuado de las redes. A lo largo del artículo, se proporcionarán diagnósticos paso a paso y soluciones recomendadas para garantizar una correcta implementación.
Descripción del problema
Los dispositivos FortiGate pueden manejar múltiples rutas hacia un mismo destino mediante diferentes instancias de VRF. Esto puede dar lugar a ambigüedades en la selección de rutas si no se está familiarizado con el proceso que sigue el dispositivo para elegir qué ruta utilizar. Un entendimiento claro de esta funcionalidad es vital para una configuración óptima y para evitar problemas relacionados con la conectividad.
Alcance
Este artículo se aplica a FortiOS y es relevante para administradores de red que trabajan con dispositivos FortiGate.
Diagnóstico paso a paso
Para diagnosticar el comportamiento de las rutas en FortiGate, se debe considerar cómo el dispositivo selecciona las rutas cuando hay múltiples opciones. La selección sigue un proceso definido en el que el dispositivo elegirá siempre la ruta asociada con el número de VRF más bajo.
Solución recomendada
Comportamiento de selección de rutas:
Cuando un FortiGate tiene múltiples rutas para alcanzar una dirección IP de destino específica a través de diferentes VRFs, se sigue un proceso de selección definido. El dispositivo selecciona la ruta asociada con el número de VRF más bajo.
Ejemplo práctico:
Imaginemos el escenario en el que el FortiGate necesita alcanzar la dirección IP del servidor DNS ‘8.8.8.8’. Las tablas de enrutamiento indican que hay dos caminos disponibles:
- A través de port1 con VRF 11.
- A través de port2 con VRF 30.
En este caso, el FortiGate seleccionará la ruta a través de ‘Port1’ (VRF 11) ya que tiene el número de VRF más bajo.
Salida de la tabla de enrutamiento:
El siguiente comando se puede utilizar para verificar los detalles de enrutamiento para la dirección IP de destino:
get router info routing-table details 8.8.8.8 <- La salida mostrará las entradas de enrutamiento para ambos VRFs.
Tabla de enrutamiento para VRF=11
Entrada de enrutamiento para 8.8.8.8/32
Conocido vía «estático», distancia 10, métrica 0, mejor
* vrf 11 10.5.63.254, vía port1
Tabla de enrutamiento para VRF=30
Entrada de enrutamiento para 8.8.8.8/32
Conocido vía «estático», distancia 10, métrica 0, mejor
* vrf 30 10.5.31.254, vía port2
Salida del Sniffer de paquetes:
Para observar el flujo de tráfico, se puede usar el siguiente comando sniffer. (La salida del comando confirma que el FortiGate está enroutando el tráfico a través de la interfaz seleccionada (port1)):
di sniffer packet any «host 8.8.8.8 and port 53» 4
Usando el Modo de Sniffing Original
interfaces=[any]
filters=[host 8.8.8.8 and port 53]
5.175623 port1 out 10.5.63.82.1510 -> 8.8.8.8.53: udp 29
5.189339 port1 in 8.8.8.8.53 -> 10.5.63.82.1510: udp 45
Nota:
Las versiones V7.6.1 y superiores soportan la opción de seleccionar ‘vrf id’ para el tráfico local.
Ejemplo:
config system DNS
set vrf-select 30
end
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!