En este artículo, abordaremos un problema común en las configuraciones de SD-WAN en los dispositivos FortiGate: la sincronización del tráfico con rutas de blackhole. Estas rutas son esenciales para gestionar el tráfico no deseado y evitar que se enrute de manera incorrecta. A través de este artículo, analizaremos las causas de este problema, su diagnóstico y las soluciones recomendadas para asegurar que la configuración de su SD-WAN funcione correctamente.
Índice
Descripción del problema
Este artículo describe situaciones en las que una ruta de blackhole debería coincidir mientras el tráfico se redirige a través de SD-WAN. Un fallo en esta coincidencia puede llevar a la pérdida de paquetes importantes y una gestión ineficiente del tráfico dentro de la red.
Alcance
Los temas cubiertos incluyen: FortiGate, SD-WAN y la interacción entre las configuraciones de los túneles.
Diagnóstico paso a paso
Considere el siguiente escenario:
Se crean reglas de servicio SD-WAN para la superposición y la subyacente (con la regla de superposición en orden superior).
El tráfico interesante va de la subred local a la subred remota (10.248.17.0/24).
El siguiente proceso de búsqueda de reglas SD-WAN se lleva a cabo:
- Con las configuraciones ‘default’ y ‘gateway’ desactivadas, se omiten las reglas SD-WAN si la mejor ruta al destino no es un miembro de SD-WAN.
- Las reglas SD-WAN se omiten si ninguno de los miembros configurados en la regla tiene una ruta válida al destino o está marcado como inactivo en la verificación de salud SLA.
Cuando la superposición está inactiva, la mejor coincidencia de la FIB para la subred remota es la ruta blackhole, y, por lo tanto, el tráfico debería ser descartado.
En algunos casos, el tráfico no coincide con el blackhole: tenga cuidado con los ajustes.
- La verificación de salud para las superposiciones puede caer primero (antes que los túneles mismos) y si ‘update-static-route’ está configurado para desactivar, ocurriría lo siguiente:
Las rutas estáticas de la superposición no se eliminarían de la FIB. La mejor coincidencia de la FIB sería a través de una superposición (miembros de SD-WAN), y FortiGate inicia el proceso de búsqueda de reglas SD-WAN.
La Regla de Servicio 1 se omite, ya que los miembros están marcados como inactivos. Se continúa con la siguiente regla. El tráfico coincide con la regla SD-WAN 2, ya que los miembros subyacentes están marcados como activos y tienen una ruta válida al destino. - Si la configuración ‘default’ está habilitada bajo SD-WAN para la regla de servicio 2 (subyacente), la regla no será omitida aunque los miembros subyacentes no sean la mejor coincidencia para el tráfico. Como también tienen una ruta válida al destino, el tráfico a la subred remota será enrutado a través de la subyacente.
Solución recomendada
Para forzar que el tráfico coincida con la ruta blackhole, cree un grupo de direcciones que niegue las subredes involucradas.
config firewall addrgrp
edit «ALL»
set member «all»
set exclude enable
set exclude-member «remote» (-> representa la subred remota 10.248.17.0/24)
next
end
- Utilice este grupo de direcciones como un destino en la regla SD-WAN subyacente.
- El tráfico destinado a la subred ‘remota’ coincidirá con la regla implícita de SD-WAN y será reenviado según la FIB.
- El resultado deseado con la ruta blackhole se logrará.
O cree una ‘ruta de política de detención’ para una subred remota o dirección IP para forzar que el tráfico coincida con rutas estáticas y blackhole.
Comandos CLI utilizados
Los comandos CLI previos son fundamentales para configurar la ruta adecuada y asegurar que el tráfico no deseado sea desviado a la blackhole.
Buenas prácticas y recomendaciones
Al trabajar con rutas de blackhole en un entorno SD-WAN, es fundamental revisar y mantener siempre actualizadas las configuraciones de verificación de salud y rutas, para evitar caídas no deseadas o coincidencias incorrectas que puedan afectar el rendimiento de la red.
Notas adicionales
Asegúrese de realizar un seguimiento regular de las métricas de monitoreo en su sistema FortiGate y de ajustar las configuraciones según sea necesario para mantener un rendimiento óptimo.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!