Cómo solucionar la distribución del tráfico IPsec en todos los núcleos de CPU en FortiGate VM

En entornos de red donde se utiliza FortiGate, es crucial distribuir el tráfico IPSEC de manera eficiente para maximizar el rendimiento. Este artículo aborda un problema común de configuración relacionado con la distribución del tráfico IPSEC en múltiples núcleos de CPU. A través de un diagnóstico paso a paso y soluciones recomendadas, podrás configurar adecuadamente tu dispositivo FortiGate y optimizar su rendimiento.

Descripción del problema

El problema radica en la necesidad de realizar cambios de configuración para que el tráfico IPSEC se distribuya eficazmente entre varios núcleos de CPU en un entorno FortiGate. Esto es fundamental para asegurar que se aprovechen todos los recursos disponibles, evitando así cuellos de botella en el procesamiento del tráfico.

Alcance

Este artículo se aplica a la VM de FortiGate y detalla los pasos necesarios para mejorar la configuración del tráfico IPSEC en este tipo de dispositivos.

Diagnóstico paso a paso

Para activar la configuración de distribución de tráfico en FortiGate, es necesario seguir ciertos pasos específicos. Primero, se deben entender cuáles son los parámetros ‘rx-ring’ a configurar. Esto implica trabajar en la interfaz física donde se ha construido el túnel, en este caso, ‘port2’. A continuación, se deberá asignar la máscara de afinidad de la CPU adecuada.

Solución recomendada

Para realizar la configuración adecuada, sigue los siguientes comandos en la interfaz de línea de comandos (CLI):

config system interface
edit «port2»
set ring-rx 1024
set ring-tx 1024
end

A continuación, configura la redistribución de paquetes:

config system affinity-packet-redistribution
edit 1
set interface «port2»
set rxqid 255 <—– Este valor se utiliza cuando se desea utilizar todos los núcleos.
set round-robin enable
set affinity-cpumask «0xF» <—– Este valor varía según la necesidad del entorno.
next
end

Artículos relacionados  Cómo solucionar el error al obtener la cantidad de discos usados para WAN Optimization con SNMP en Fortinet

Comandos CLI utilizados

Los comandos proporcionados son cruciales para la configuración de la nueva estructura de distribución de tráfico. Asegúrate de ejecutar estos comandos desde la interfaz de línea de comandos (CLI) de tu dispositivo FortiGate. Cada comando cumple una función específica:

  • config system interface: Para modificar los parámetros de la interfaz física.
  • set ring-rx y set ring-tx: Para definir los anillos de recepción y transmisión de paquetes, optimizando el manejo del tráfico.
  • config system affinity-packet-redistribution: Para establecer la redistribución de paquetes en las CPU.
  • set interface: Especifica la interfaz que se está configurando.
  • set round-robin enable: Habilita la distribución equilibrada del tráfico en múltiples núcleos.

Buenas prácticas y recomendaciones

Es importante seguir las mejores prácticas al configurar FortiGate para optimizar el rendimiento:

  • Asegúrate de realizar copias de seguridad de la configuración antes de hacer cambios.
  • Monitorea el rendimiento del sistema después de aplicar las configuraciones para asegurar que el tráfico se distribuye correctamente.
  • Consulta la documentación oficial de Fortinet para estar al tanto de las últimas actualizaciones y mejoras en la configuración.

Notas adicionales

Recuerda que los ajustes en la configuración de la red pueden tener un impacto significativo en el rendimiento y la seguridad. Siempre es recomendable realizar pruebas en un entorno controlado antes de implementar cambios en producción.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *