Cómo resolver el uso de la interfaz de destino como 'any' en la política de multicast en FortiGate como reenvío de multicast

En este artículo, abordamos cómo configurar correctamente las políticas de multicast en un dispositivo FortiGate que actúa como un reenvío de multicast. Este tema es crucial, ya que una mala configuración puede resultar en problemas de rendimiento y en la incapacidad de distribuir efectivamente el tráfico multicast a los clientes. Aquí aprenderá a diagnosticar y resolver problemas de configuración relacionados con el multicast en FortiGate.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

Cuando un FortiGate se utiliza como un reenvío de multicast, es fundamental que la política de multicast esté configurada adecuadamente. Si no se configura correctamente, el tráfico multicast no será distribuido a los clientes de manera eficiente, lo que puede llevar a la pérdida de datos y al desperdicio de recursos de red.

Alcance

Este artículo aplica a cualquier versión del firmware de FortiGate.

Diagnóstico paso a paso

Para diagnosticar la configuración del multicast, es importante observar cómo el tráfico multicast llega al FortiGate desde el servidor multicast y cómo se distribuye a través de las interfaces. Basado en la configuración de las interfaces, el tráfico multicast debería ser gestionado correctamente.

Un aspecto crucial es la configuración de la VLAN que se utiliza para gestionar dicho tráfico. En el ejemplo, se configura la VLAN 100 de la siguiente manera:

config system interface

edit «Vlan100»
set vdom «root»
set ip 192.168.100.1 255.255.255.0
set allowaccess ping
set device-identification enable
set role lan
set snmp-index 30
set switch-controller-access-vlan enable En la interfaz gráfica, esto se refiere como ‘bloquear tráfico intra-vlan’.
set interface «fortilink»
set vlanid 100
next

Cuando el tráfico alcanza el FortiGate, se debe utilizar una política de multicast para enviar el tráfico a la interfaz de entrada, que en este caso es la VLAN 100 en FortiLink. Asegúrese de que la política de multicast esté configurada correctamente, donde la interfaz de origen y de destino son las mismas.

Solución recomendada

La política de multicast debería verse de la siguiente manera:

config firewall multicast-policy
edit 1
set uuid 386da6f4-8c3c-51ef-62b4-4a484a66318c
set name «v100»
set logtraffic enable
set srcintf «Vlan100»
set dstintf «Vlan100» No soportado.
set srcaddr «tac» «ubuntu»
set dstaddr «all»
next
end

Sin embargo, la misma interfaz no está soportada como origen y destino. Por lo tanto, como solución alternativa, se puede usar ‘any’ como interfaz de destino:

config firewall multicast-policy
edit 1
set uuid 386da6f4-8c3c-51ef-62b4-4a484a66318c
set name «v100»
set logtraffic enable
set srcintf «Vlan100»
set dstintf «any» El destino debe cambiarse a ‘any’.
set srcaddr «tac» «ubuntu»
set dstaddr «all»
next
end

Comandos CLI utilizados

Los comandos mencionados anteriormente son esenciales para la configuración de las políticas de multicast en un FortiGate. Es importante conocer su propósito:

config system interface: Configura las interfaces del sistema.
config firewall multicast-policy: Define las políticas de multicast que determinan cómo se maneja el tráfico multicast.
Cada bloque de configuración tiene instrucciones específicas sobre los parámetros a definir, como srcintf (interfaz de origen) y dstintf (interfaz de destino).

Buenas prácticas y recomendaciones

Al configurar el tráfico multicast, considere las siguientes buenas prácticas:

Utilice ‘any’ como destino si tiene problemas con interfaces específicas.
Evite configurar direcciones de destino específicas, ya que esto puede evitar que el tráfico fluya correctamente.
Considere permitir el tráfico intra-VLAN si se utilizará multicast de manera regular para optimizar la gestión del tráfico en la red.

Notas adicionales

Nota 1: Se observó que tener una dirección de destino específica no permite el flujo del tráfico; por lo tanto, es necesario tener ‘all’ como dirección de destino.

Nota 2: En futuras versiones, este comportamiento puede cambiar.

Nota 3: Tenga cuidado, ya que esta configuración inundará el tráfico multicast recibido en VLAN100 a todas las interfaces activas. Esto puede resultar en el desperdicio de ancho de banda y recursos de red innecesariamente.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre FortiGate

Consejo técnico: personalice el campo de registro en la GUI
Descripción: El artículo describe cómo agregar o eliminar el campo de registro que desea ver desde la GUI. Alcance FortiGate. Solución Vaya a Log & Report -> Forward Traffic ‘, mueva el puntero del mouse a la columna ‘Data/Time’ y aparecerá el botón de configuración ‘Configure Table’ como se muestra en la siguiente captura de Leer
Cómo solucionar el reenvío de tráfico con NAT habilitado en políticas IPv4 de Fortinet
Este artículo aborda un problema común en la gestión de tráfico NAT en dispositivos FortiGate, específicamente en la configuración de la política IPv4. La correcta comprensión y gestión de NAT es crucial, ya que afecta la forma en que se enrutan los paquetes a través de la red. A lo largo del artículo, se describirá Leer
Cómo resolver el problema de SNMPv3 con nombres de host diferentes en miembros de un clúster HA de Fortinet
Este artículo aborda un problema común en la configuración de clústeres de alta disponibilidad (HA) en FortiGate, específicamente la verificación de los diferentes nombres de host de los miembros del clúster. La correcta configuración y supervisión de estos nombres es crucial para garantizar la estabilidad y la resiliencia de la red. A través de este Leer
Cómo solucionar el error ‘Por favor, verifique los cables de red o la configuración del dispositivo de conmutación SEND/RECV por debajo del umbral’ en dispositivos Fortinet.
En este artículo, abordaremos un problema común que afecta a los dispositivos FortiGate, específicamente cuando la prueba HQIP informa el error «Por favor, verifique los cables Ethernet o la configuración del dispositivo de conmutación SEND/RECV por debajo del umbral (
Configuración de reenvío de puertos de IP virtual (VIP) – Port forwarding
Descripción Este artículo describe cómo configurar el reenvío de puertos según la siguiente topología. Solución De Gui. 1) Para crear un objeto VIP, vaya a Política y objetos -> IP virtuales y seleccione ‘Crear nuevo’. En el ejemplo anterior, 1.1.1.1 es una IP de WAN externa y 10.0.0.10 es una IP de servidor interno Leer

Cómo resolver el uso de la interfaz de destino como ‘any’ en la política de multicast en FortiGate como reenvío de multicast