En este artículo, abordaremos cómo mitigar la pérdida de paquetes al utilizar Forward Error Correction (FEC) en dispositivos FortiGate. Esta cuestión es crítica ya que la pérdida de paquetes puede afectar gravemente el rendimiento de la red y la experiencia del usuario. A través de este artículo, proporcionaremos un diagnóstico paso a paso y soluciones recomendadas para optimizar la configuración de FEC.
Índice
Descripción del problema
Al implementar FEC en redes FortiGate, los administradores pueden experimentar pérdida de paquetes. FEC es una técnica que se utiliza para detectar y corregir errores en la transmisión de datos, pero su uso puede provocar que se activen mecanismos como anti-replay, que a su vez puede resultar en la pérdida de paquetes. Es esencial entender cómo configurar adecuadamente FEC y otros parámetros para evitar este problema.
Alcance
Este artículo se centra en la configuración de FortiOS, lo que incluye aspectos de FEC en VPNs IPSec y cómo estos pueden impactar el rendimiento de la red.
Diagnóstico paso a paso
Para abordar la pérdida de paquetes que puede surgir al usar FEC, sigue los pasos que se detallan a continuación:
- Verifica que FEC esté habilitado en la configuración de la interfaz VPN.
- Observa los registros de tráfico para identificar patrones de pérdida de paquetes.
- Revisa las configuraciones de «npu-offloading» y «anti-replay» en el sistema.
Solución recomendada
Para mejor rendimiento y reducir la pérdida de paquetes, se recomienda habilitar «npu-offloading» para el tráfico que no requiere FEC. Esto permitirá descargar el tráfico a la Unidad de Procesamiento de Red (NPU), mejorando así el rendimiento general. La configuración básica es la siguiente:
config vpn ipsec phase1-interface
edit «tunnel»
set npu-offload enable
set fec-ingress enable
next
end
Si experimentas pérdida de paquetes debido a anti-replay, considera deshabilitar «npu-offloading». Aquí tienes cómo hacerlo:
config vpn ipsec phase1-interface
edit «tunnel»
set npu-offload disable
set fec-ingress enable
next
end
Para deshabilitar anti-replay:
config vpn ipsec phase2-interface
edit <phase2-name>
set replay disable
end
Además, se recomienda asegurar que haya una política de firewall dedicada para el tráfico sensible a la pérdida de paquetes donde FEC esté habilitado. Esto ayudará a separar el tráfico que no tendrá FEC aprobado. Ejemplo de configuración:
config firewall policy
edit <id>
………
set fec enable
next
end
Comandos CLI utilizados
Los comandos CLI que se mencionaron anteriormente son fundamentales para realizar los ajustes necesarios en la configuración de FortiGate:
- config vpn ipsec phase1-interface: Accede a la configuración de la interfaz de fase 1 del túnel IPSec.
- set npu-offload: Habilita o deshabilita la descarga de tráfico a la NPU.
- set fec-ingress: Habilita el uso de FEC en la interfaz.
- config firewall policy: Configura políticas específicas del firewall para separar el tráfico.
Buenas prácticas y recomendaciones
Para una gestión efectiva y eficiente de la configuración de FortiGate y FEC:
- Siempre realiza un monitoreo del tráfico para identificar patrones de pérdida de paquetes.
- Implementa políticas de firewall que optimicen el rendimiento de las conexiones críticas.
- Documenta y verifica todos los cambios realizados en la configuración para una resolución de problemas eficiente.
Notas adicionales
Es recomendable consultar la documentación oficial de Fortinet para obtener más detalles sobre la configuración y características de FEC, así como mantenerse informado sobre las actualizaciones y mejores prácticas en la gestión de redes FortiGate.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!