En este artículo, abordamos un problema común que puede surgir al configurar una Política de Traffic Shaper en un dispositivo FortiGate, específicamente cuando se utilizan múltiples bases de datos de servicios de Internet (ISDB) como destino. Este problema es importante porque la correcta configuración de las políticas de gestión del tráfico es fundamental para garantizar un rendimiento óptimo de la red. El artículo proporcionará un diagnóstico detallado y una solución recomendada para asegurar que los límites de ancho de banda se apliquen eficazmente, incluso al utilizar múltiples ISDB.
Índice
Descripción del problema
Al configurar una Política de Traffic Shaper con una Categoría de Aplicación, una Categoría de Filtro de URL y múltiples ISDBs como destino, puede ocurrir que la regla de Traffic Shaper no se aplique correctamente. En este caso, el tráfico no se bloquea, a pesar de que el ancho de banda está limitado. Esto puede provocar una experiencia de usuario deficiente, ya que el tráfico aún es permitido a través de la red.
En el siguiente ejemplo, la Política de Traffic Shaper está configurada con varios ISDBs como destino, así como con la Categoría de Aplicación y la Categoría de URL:
- ISDB como destino – Servicios de ADOBE.
- Categoría de Aplicación – General.Interest.
- Categoría de URL – Tecnología de la Información.
Alcance
Este artículo se aplica a dispositivos FortiGate que utilizan políticas de Traffic Shaper para gestionar el tráfico basado en diferentes parámetros.
Diagnóstico paso a paso
Cuando se prueba la política de Traffic Shaper con tráfico de Adobe u otro ISDB, es posible que el tráfico no se esté bloqueando, aunque el ancho de banda esté limitado en la política de Shaper. Este comportamiento puede ocurrir porque el tráfico generado debería coincidir con los ISDBs, el control de aplicaciones y la Categoría de URL.
Para la configuración explicada anteriormente, el modelado del tráfico funciona como se esperaba para el tráfico de Adobe. Esto significa que se deben verificar las condiciones para asegurarse de que todas las categorías coincidan para aplicar correctamente la limitación de ancho de banda.
Solución recomendada
Es esencial que para que la política de Traffic Shaper se aplique, las tres condiciones (coincidencia de ISDB, Control de Aplicaciones y Categoría de URL) deben cumplirse simultáneamente. Si alguno de estos parámetros falla en coincidir, el tráfico generado no se alineará con la política de Shaper, lo que resultará en que no se aplique la limitación de tráfico.
Comandos CLI utilizados
La configuración en la CLI es como sigue:
config firewall shaping-policy
edit 4
set uuid 480b4d46-8fa7-51ef-1f0a-f5ffb87b87a1
set name «TEST Without URL»
set internet-service enable
set internet-service-name «Adobe-Adobe.Sign» «Adobe-Adobe.Experience.Cloud» «Adobe-DNS» «Adobe-FTP» «Adobe-ICMP» «Adobe-Inbound_Email» «Adobe-LDAP» «Adobe-NetBIOS.Name.Service» «Adobe-NetBIOS.Session.Service» «Adobe-NTP» «Adobe-Other» «Adobe-Outbound_Email» «Adobe-RTMP» «Adobe-SSH» «Adobe-Web»
set app-category 29 30 28 21 8 12 31 15 26 2 6 7 23 22 32 17 5 3 25
set url-category 50 52
set srcintf «internal1»
set dstintf «TX – SDWAN»
set per-ip-shaper «TEST»
set srcaddr «all»
next
end
Buenas prácticas y recomendaciones
Al implementar políticas de Traffic Shaper, es recomendable:
- Asegurarse de que los ISDB, las categorías de aplicación y las categorías de URL estén configurados y correctamente sincronizados.
- Realizar pruebas exhaustivas en la configuración de las políticas antes de implementarlas en producción.
- Monitorear el tráfico de red regularmente para identificar y solucionar problemas de configuración.
Notas adicionales
Las políticas de Traffic Shaper son herramientas poderosas, pero su efectividad depende de una correcta configuración y de que todos los elementos de la política coincidan. La falta de coincidencia en cualquiera de los parámetros puede provocar que las limitaciones de ancho de banda no se apliquen, afectando así el rendimiento de la red.
Conclusión: Si bien es posible que el ISDB y el Control de Aplicaciones coincidan, si la Categoría de URL no coincide, el modelado de tráfico no se aplicará. Se requiere que al menos una de las tres condiciones mencionadas anteriormente se cumpla para que el tráfico se alinee con la política de Shaper.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!