En este artículo, abordaremos un problema común relacionado con el tráfico TACACS que se origina en los dispositivos FortiGate. Este problema es significativo, ya que puede afectar la conectividad y la autenticación de red. A través de este artículo, aprenderemos a resolver cómo priorizar las reglas de SD-WAN para el tráfico TACACS en lugar de las rutas estáticas, garantizando una configuración más eficiente.
Índice
Descripción del problema
El tráfico TACACS iniciado por FortiGate puede preferir las reglas de SD-WAN para salir de la red en lugar de usar las rutas estáticas. Esto puede causar problemas de conectividad si las configuraciones no están alineadas adecuadamente.
Alcance
Este artículo se aplica a dispositivos FortiGate que implementan autenticación TACACS+.
Diagnóstico paso a paso
Antes de aplicar cambios en la configuración, es esencial entender cómo funciona el tráfico TACACS+. Por defecto, este tráfico es auto-origen y confía en las búsquedas de tabla de enrutamiento para determinar la interfaz de salida para iniciar la conexión.
Solución recomendada
La autenticación TACACS+ tiene tres métodos de selección de interfaz:
- auto: Establece automáticamente la interfaz de salida.
- sdwan: Establece la interfaz de salida mediante reglas de SD-WAN o de enrutamiento de políticas.
- specify: Establece manualmente la interfaz de salida.
Nota: El método de selección de interfaz por defecto está configurado como auto.
Para preferir las reglas de SD-WAN para TACACS, utiliza los siguientes comandos en la CLI:
config user tacacs+
edit <nombre del servidor>
set interface-select-method sdwan
next
end
Comandos CLI utilizados
Los comandos CLI mencionados son esenciales para configurar la selección de interfaz para el tráfico TACACS+. Aquí están desglosados:
- config user tacacs+: Inicia la configuración del servidor TACACS.
- edit <nombre del servidor>: Permite editar la configuración de un servidor específico.
- set interface-select-method sdwan: Establece el método de selección de interfaz a SD-WAN.
- next: Guarda la configuración actual y permite editar el siguiente servidor.
- end: Finaliza la sesión de configuración.
Buenas prácticas y recomendaciones
Es recomendable validar la configuración después de realizar cambios. Puedes usar:
- Comando get user tacacs+ para verificar la configuración actual.
- Asegúrate de que las rutas de SD-WAN estén correctamente definidas y activas.
- Realiza pruebas de conectividad después de aplicar cambios para asegurar que el tráfico fluya correctamente.
Notas adicionales
Si experimentas problemas continuos después de implementar esta solución, verifica las configuraciones relacionadas de SD-WAN y asegúrate de que no haya otros factores que interrumpan el flujo de tráfico TACACS.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!