Cómo solucionar problemas de filtrado de AS en grupos de vecinos BGP

En este artículo, abordaremos cómo filtrar en un grupo de vecinos BGP en FortiGate en función de un sistema autónomo remoto (AS). Este tema es crucial para asegurar configuraciones de red eficientes y seguras. A medida que las organizaciones crecen y se conectan a más redes, es esencial gestionar adecuadamente las rutas aprendidas a través de BGP, lo que nos permitirá optimizar nuestras infraestructuras y evitar conflictos. A continuación, proporcionaremos una guía detallada para resolver este problema utilizando la nueva funcionalidad introducida en FortiOS 7.4.4 y 7.6.0.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

A partir de FortiOS 7.4.4 y 7.6.0, se introduce una nueva característica que permite la asignación de múltiples sistemas autónomos remotos a un único grupo de vecinos BGP. Esta funcionalidad mejora la flexibilidad para manejar las configuraciones de BGP mediante el uso de listas de rutas de AS.

Alcance

Esta guía es aplicable para las versiones de FortiOS 7.4.4 GA y 7.6.0 GA.

Diagnóstico paso a paso

Para implementar esta característica, es necesario configurar varias sesiones BGP y aplicar filtros basados en los sistemas autónomos deseados. Por ejemplo, se puede usar la expresión regular en la configuración de AS-path para permitir solo ciertos rangos de AS.

Solución recomendada

La siguiente configuración de BGP para FortiGate-1 presenta un ejemplo de uso de la funcionalidad de filtrado de AS. Asegúrese de que las configuraciones de cada FortiGate estén correctamente definidas para interactuar adecuadamente entre sí.

Configuración de BGP para FortiGate-1:

config router bgp
    set as 65513
    set router-id 1.1.1.1
    config neighbor-group
        edit "1"
            set remote-as-filter "allow_AS_list"
        next
    end
    config neighbor-range
        edit 1
            set prefix 192.168.1.0 255.255.255.0
            set neighbor-group "1"
        next
    end
end

Configuración de lista de AS para FortiGate-1:

config router aspath-list
    edit "allow_AS_list"
        config rule
            edit 1
                set action permit
                set regexp "^6551[2-3]$"
            next
        end
    next
end

Configuraciones de BGP para FortiGate-2 y FortiGate-3:

config router bgp
    set as 65512
    set router-id 3.3.3.3
    config neighbor
        edit "192.168.1.99"
            set remote-as 65513
        next
    end
    config network
        edit 1
            set prefix 192.168.200.0 255.255.255.0
        next
    end
end

config router bgp
    set as 65513
    set router-id 2.2.2.2
    config neighbor
        edit "192.168.1.99"
            set remote-as 65513
        next
    end
    config network
        edit 1
            set prefix 192.168.201.0 255.255.255.0
        next
    end
end

Para simplificar, FortiGate-2 anunciará la red 192.168.200.0/24, y FortiGate-3 anunciará la red 192.168.201.0/24. FortiGate-1 aplicará un filtrado basado en el AS-filter usando los comandos introducidos anteriormente.

Comandos CLI utilizados

Los comandos CLI que se han utilizado en este proceso son:

config router bgp: Comando para iniciar la configuración del proceso BGP.
set remote-as-filter: Configura un filtro basado en un grupo específico de sistemas autónomos (AS).
set regexp: Define expresiones regulares para permitir o denegar AS específicos basados en su numeración.
get router info bgp summary: Muestra un resumen del estado de BGP, incluyendo la identificación del router y la tabla BGP.

Buenas prácticas y recomendaciones

Al implementar configuraciones BGP, es recomendable seguir las siguientes buenas prácticas:

Realizar copias de seguridad de las configuraciones antes de realizar cambios.
Monitorear el tráfico BGP y las sesiones de vecindario para detectar anomalías o problemas.
Utilizar expresiones regulares con precaución y probarlas en entornos de desarrollo antes de aplicarlas en producción.

Notas adicionales

Si el AS de FortiGate-2 cambia a 65514, FortiGate-1 solo tendrá una sesión BGP, ya que 65514 no coincide con la expresión regular configurada para la lista de AS. Por lo tanto, es crucial ajustar las configuraciones según la infraestructura de red existente.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre FortiGate

Cómo resolver el conflicto de caché con el gateway DDNS en Fortinet IKE
El presente artículo aborda el problema de conflicto de caché con el error ‘Cache conflict with DDNS gateway <duplicated tunnel-name>’ al intentar establecer túneles IPsec Site-to-Site (S2S). Este error es relevante ya que impide la correcta creación de túneles, afectando la comunicación entre ubicaciones remotas. Aquí se proporcionan pasos claros para diagnosticar y resolver este Leer
Cómo solucionar el problema de no poder ver FortiGate en FortiGate-Cloud
En este artículo se abordará un problema común que enfrentan los usuarios de FortiGate: la ausencia del dispositivo en los Activos de FortiGate Cloud. Este problema es importante ya que puede afectar la visibilidad y gestión del firewall FortiGate desde la nube. Aquí se proporcionarán pasos para diagnosticar y resolver este inconveniente, asegurando que su Leer
Cómo solucionar el error de autenticación tras migrar a FortiGate con FortiConverter
En este artículo se describe un problema común que se presenta al intentar iniciar sesión en FortiGate después de restaurar un archivo de configuración convertido desde FortiConverter. Este problema es relevante porque puede afectar la continuidad de las operaciones de red y la seguridad, dificultando el acceso al dispositivo. A continuación, se ofrecerán pasos para Leer
Cómo solucionar problemas con el proceso de validación de correos electrónicos para el acceso de invitados en Fortinet
En el entorno actual de redes, es fundamental que las configuraciones de acceso para invitados sean eficientes y seguras. Un aspecto clave de este proceso es la validación de direcciones de correo electrónico durante la recopilación de datos. Este artículo tiene como objetivo proporcionar una guía detallada sobre cómo realizar correctamente este proceso en FortiGate, Leer
Cómo solucionar el error de persistencia en el servidor virtual al habilitar el modo de política NGFW en Fortinet
Este artículo aborda un problema común con la configuración de los servidores virtuales en dispositivos FortiGate cuando se utiliza el modo de firewall de nueva generación (NGFW) configurado como «policy-mode». La falta de la opción ‘persistence’ en la interfaz gráfica y la CLI puede dificultar la correcta implementación del equilibrador de carga. A continuación, se Leer