Este artículo aborda los temporizadores relacionados con BGP que pueden configurarse o ajustarse en FortiGate. La gestión correcta de estos temporizadores es esencial para garantizar una comunicación efectiva entre los pares BGP, mejorando la estabilidad y la eficiencia de la red. A lo largo de este documento, exploraremos los diferentes temporizadores, sus configuraciones y el impacto que tienen en su funcionamiento general.
Índice
Descripción del problema
La configuración adecuada de los temporizadores BGP es crucial para mantener la conectividad y la eficacia de la infraestructura de red. Un error en la configuración puede llevar a la caída de las sesiones BGP, lo cual puede causar interrupciones en el tráfico y afectar el rendimiento de las aplicaciones. Este artículo proporciona un desglose detallado de los temporizadores que se pueden ajustar en FortiGate para administrar adecuadamente el protocolo BGP.
Alcance
FortiGate, BGP.
Diagnóstico paso a paso
A continuación, se presentan los diferentes tipos de temporizadores que se pueden configurar en un dispositivo FortiGate, junto con sus respectivas descripciones y ejemplos de comandos.
Tabla de Contenidos:
- Temporizadores Core.
- Temporizadores de Dampening de Rutas.
- Temporizadores de Reinicio Sin Interrupciones.
Temporizadores Core
Los siguientes temporizadores se consideran temporizadores BGP básicos que son necesarios para establecer relaciones de vecindario/peering.
set keepalive-timer
- Establece la frecuencia (0 – 65535 segundos, predeterminado = 60) con la que FortiGate envía mensajes keepalive BGP a los pares establecidos.
- keepalive-timer es la configuración global utilizada para BGP (config router bgp). Esta configuración puede ser anulada a nivel de cada par (config neighbor / config neighbor-group) utilizando la opción CLI keep-alive-timer (note el guion adicional en ‘keep-alive’).
set holdtime-timer
- Establece el tiempo máximo (3 – 65535 segundos, predeterminado = 180) que BGP esperará antes de marcar un par como inactivo. Al recibir un ‘keepalive’ del par, el holdtime se restablece a este valor configurado.
- holdtime-timer es la configuración global utilizada para BGP. Esta configuración puede ser anulada a nivel de cada par utilizando la opción holdtime-timer en la CLI.
Nota sobre keepalive/holdtime en FortiOS:
- Los administradores pueden configurar el keepalive-timer para que sea mayor que un tercio del holdtime-timer en la configuración, pero el keepalive que usará FortiOS estará limitado a un máximo de un tercio del holdtime.
- Los valores de keepalive y holdtime son negociados entre pares de manera que se elijan los valores más bajos anunciados.
- Además, cambiar el keepalive-timer y el holdtime-timer no afectará las sesiones BGP existentes hasta que sean eliminadas y restablecidas.
set advertisement-interval
- Establece el intervalo mínimo (0 – 600 segundos, predeterminado = 30) que BGP espera para enviar actualizaciones de enrutamiento.
- Nota que cada par BGP espera para enviar sus propias actualizaciones de acuerdo con el advertisement-interval configurado localmente.
- FortiOS no ajusta automáticamente este temporizador en función de los peerings iBGP vs. eBGP, por lo que puede ser beneficioso considerar establecer un intervalo más corto para las conexiones iBGP.
set connect-timer
- Establece el tiempo máximo (1 – 65535 segundos, predeterminado = 120) que el FortiGate gastará intentando conectarse a un nuevo par BGP a través de TCP antes de pasar al estado Idle.
- Esta configuración se establece solo a nivel de cada par y no tiene una configuración global equivalente.
set scan-time
- Establece el intervalo de fondo (5 – 60 segundos, predeterminado = 60, establecer en 0 para desactivar) en el que el FortiGate escanea todas las rutas BGP para verificar la accesibilidad del siguiente salto.
Temporizadores de Dampening de Rutas
Los siguientes temporizadores son relevantes para la función de Dampening de Rutas BGP. Para más información, consulte:
Nota que set dampening enable debe establecerse primero para que estos temporizadores aparezcan en la CLI.
set dampening-max-suppress-time
- Establece el tiempo máximo (1 – 255 minutos, predeterminado = 60) durante el cual una ruta puede ser suprimida.
set dampening-reachability-half-life
- Establece el tiempo de media vida para penalizaciones (1 – 45 minutos, predeterminado = 15).
set dampening-unreachability-half-life
- Establece el tiempo de media vida para penalizaciones (1 – 45 minutos, predeterminado = 15).
Temporizadores de Reinicio Sin Interrupciones
Los siguientes temporizadores son relevantes para la función de Reinicio Sin Interrupciones BGP:
set graceful-restart-time
- Establece el tiempo (1 – 3600 segundos, predeterminado = 120) que el FortiGate esperará mientras un par BGP se reinicia.
set graceful-stalepath-time
- Establece el tiempo (1 – 3600 segundos, predeterminado = 360) que el FortiGate retendrá rutas obsoletas que se habían recibido previamente de un par BGP que se está reiniciando.
set graceful-update-delay
- Establece el tiempo (1 – 3600 segundos, predeterminado = 120) que el FortiGate esperará después de reiniciar antes de realizar la selección de rutas.
Buenas prácticas y recomendaciones
- Considere usar intervalos de keepalive-timer y holdtime-timer de acuerdo a las mejores prácticas recomendadas en RFC 4271.
- Revisite las configuraciones de temporizadores BGP regularmente para adaptarse a cambios en la topología de la red y los requerimientos de latencia.
Notas adicionales
El uso y la configuración correcta de los temporizadores BGP en FortiGate son elementos críticos que pueden influir en la resiliencia y estabilidad de su red. Asegúrese de comprender el contexto y la aplicación de cada uno de estos temporizadores en su arquitectura de red.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!