En este artículo se abordará un problema común en FortiGate relacionado con la instalación de rutas por defecto o redundantes aprendidas a través de eBGP. Este asunto es importante, ya que la configuración incorrecta puede afectar la conectividad y el rendimiento de la red. A continuación, se proporcionará un diagnóstico paso a paso para identificar el problema y una solución recomendada para asegurar el funcionamiento correcto del enrutamiento.
Índice
Descripción del problema
Cuando FortiGate tiene dos pares BGP de proveedores de servicios de Internet (ISP) que anuncian la misma ruta por defecto o una ruta redundante, es posible que estas rutas no se instalen en la tabla de enrutamiento de FortiGate. Este comportamiento es esperado según el protocolo BGP, que selecciona únicamente la mejor ruta a un destino.
Alcance
Este artículo se aplica a dispositivos FortiGate que manejan configuración de enrutamiento a través de BGP.
Diagnóstico paso a paso
En este ejemplo, se considera un par BGP con las direcciones 10.193.4.152 y 10.201.4.152, ambas anunciando la ruta por defecto y la subred 172.21.0.0/20. A continuación, se muestran los pasos necesarios para diagnosticar el problema:
juara-kvm89 # get router info bgp summary
VRF 0 BGP router identifier 10.1.1.1, local AS number 65510 BGP table version is 2 3 BGP AS-PATH entries 0 BGP community entries Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 10.193.4.152 4 65520 33 60 2 0 0 00:00:36 2 10.201.4.152 4 65530 16 21 2 0 0 00:00:33 2
Asegúrate de que ambos pares están recibiendo y enviando mensajes correctamente. Verifica las rutas recibidas con los siguientes comandos:
juara-kvm89 # get router info bgp neighbors 10.193.4.152 received-routes
VRF 0 BGP table version is 2, local router ID is 10.1.1.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight RouteTag Path *> 0.0.0.0/0 10.193.4.152 0 0 65520 ? <->/->
Repite este paso para el otro par:
juara-kvm89 # get router info bgp neighbors 10.201.4.152 received-routes
VRF 0 BGP table version is 2, local router ID is 10.1.1.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight RouteTag Path *> 0.0.0.0/0 10.201.4.152 0 0 65530 ? <->/->
Finalmente, revisa la tabla de enrutamiento para comprobar qué rutas se han instalado:
juara-kvm89 # get router info routing-table bgp
Routing table for VRF=0 B* 0.0.0.0/0 [20/0] via 10.193.4.152 (recursive is directly connected, port9), 00:03:49, [1/0] B 172.21.0.0/20 [20/0] via 10.193.4.152 (recursive is directly connected, port9), 00:03:49, [1/0]
Solución recomendada
Según los resultados de la tabla de enrutamiento, se observa que BGP solo ha instalado rutas de un único par. Para que se instalen ambas rutas de los dos pares, es necesario habilitar la opción ‘ebgp-multipath’. A continuación se indican los comandos necesarios:
config router bgp
set ebgp-multipath enable
end
Comandos CLI utilizados
get router info bgp summary— Muestra un resumen de la configuración y estado de BGP.get router info bgp neighbors [IP] received-routes— Muestra las rutas recibidas de un dispositivo BGP específico.get router info routing-table bgp— Muestra las rutas BGP instaladas en la tabla de enrutamiento.
Buenas prácticas y recomendaciones
Es recomendable verificar regularmente la configuración BGP y asegurarse de que la opción ‘ebgp-multipath’ esté habilitada si es necesario recibir múltiples rutas de diferentes pares. También es útil mantener actualizado el firmware de tu FortiGate para beneficiarte de las últimas características y correcciones de seguridad.
Notas adicionales
Además del uso de ‘ebgp-multipath’, es importante revisar otros parámetros de configuración de BGP, como la política de selección de rutas y la configuración de atributos BGP, que pueden influir en cómo se instalan las rutas en la tabla de enrutamiento.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!