Este artículo aborda un problema que puede surgir al configurar un grupo de direcciones IP de tipo CGN con la opción de overload habilitada en un FortiGate utilizando la licencia Hyperscale. En estos casos, se pueden observar estadísticas incorrectas de sesiones del grupo de direcciones IP, ya que las sesiones UDP y TCP no se diferencian adecuadamente. Es crucial entender y resolver este problema para asegurar el rendimiento óptimo de su firewall y evitar confusiones en el monitoreo de tráfico.
Índice
Descripción del problema
Cuando se configura un grupo de direcciones IP de tipo CGN con la opción de overload habilitada en FortiGate, se presentan estadísticas de sesiones de IP de grupo erróneas. Más específicamente, se observa que las sesiones UDP y TCP no son diferenciadas. Este comportamiento es causado por una limitación en el procesador NP7.
Alcance
Este artículo se aplica a firewalls Hyperscale que utilizan la licencia adecuada para configurar grupos de direcciones IP de tipo CGN.
Diagnóstico paso a paso
Para diagnosticar este problema, se puede crear un grupo de direcciones IP de tipo CGN utilizando la configuración siguiente:
config firewall ippool
edit "NAT_TEST"
set type cgn-resource-allocation
set startip 10.10.10.13
set endip 10.10.10.13
set cgn-spa enable
set cgn-overload enable
next
endEn la configuración anterior, la opción overload está habilitada para este grupo de direcciones IP.
Para propósitos de prueba, principalmente se envía tráfico UDP a través de este grupo, sin embargo, las estadísticas del grupo indican 0 sesiones UDP y un gran número de sesiones TCP:
diag firewall ippool list
ippool NAT_TEST: id=277, block-sz=128, num-block=8, fixed-port=no, use=2
ip-range=10.10.10.13-10.10.10.13 start-port=5117, num-pba-per-ip=472
clients=0, inuse-NAT-IPs=0
total-PBAs=472, inuse-PBAs=0, expiring-PBAs=0, free-PBAs=100.00%
allocate-PBA-times=0, reuse-PBA-times=0
grp=N/A, start-port=5117, end-port=65530
npu-clients=1, npu-inuse-NAT-IPs=1, total-NAT-IP=1
npu-total-PBAs=60288, npu-inuse-PBAs=340010/0, npu-free-PBAs=0.00%/100.00%
npu-tcp-sess-count=340010, npu-udp-sess-count=0Esta discrepancia es causada por la limitación del procesador NP7 en el uso del firewall Hyperscale combinado con un grupo de tipo CGN habilitado para sobrecarga. En estos casos, las estadísticas no pueden diferenciar entre sesiones TCP y UDP, y por lo tanto se reportan todas las sesiones bajo npu-tcp-sess-count.
Nota: Cualquier otro tipo de grupo no presentará este problema.
Solución recomendada
Para mitigar este problema, asegúrese de que la configuración de su grupo de direcciones IP siga las pautas mencionadas. Es importante mencionar que, aunque esta limitación puede ser confusa, no afecta de manera crítica el funcionamiento del firewall, sino que reduce la precisión de las estadísticas mostradas.
Comandos CLI utilizados
Los siguientes comandos CLI fueron utilizados en la configuración y el diagnóstico:
- config firewall ippool: Este comando inicia la configuración del grupo de direcciones IP.
- diag firewall ippool list: Este comando se utiliza para listar las estadísticas actuales del grupo de direcciones IP.
Buenas prácticas y recomendaciones
1. Asegúrese de revisar periódicamente las configuraciones de su firewall para adaptarse a cambios en la red.
2. Mantenga actualizado su sistema FortiGate y verifique regularmente las actualizaciones de firmware que pueden abordar problemas conocidos.
3. Considere alternativas de monitoreo para sesiones TCP y UDP, especialmente si su configuración involucra tráfico crítico.
Notas adicionales
Si experimenta problemas adicionales o inconsistencias en el rendimiento, consulte la documentación oficial de Fortinet o contacte a su soporte técnico para obtener asistencia especializada.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!