Diferencia entre enrutamiento asimétrico y sesiones auxiliares.

Descripción
Este artículo analiza la diferencia entre el enrutamiento asimétrico y la sesión auxiliar.

Alcance

FortiGate.

Solución

Enrutamiento asimétrico.

Si los hosts de una red no pueden comunicarse con los hosts de otras redes, existe la posibilidad de que los paquetes de solicitud y respuesta sigan caminos diferentes.
Si un FortiGate reconoce los paquetes de respuesta, pero no las solicitudes, bloquea los paquetes como no válidos.
Además, si un FortiGate reconoce los mismos paquetes repetidos en múltiples interfaces, bloquea la sesión como un posible ataque.

Este es el enrutamiento asimétrico. De forma predeterminada, un FortiGate bloquea paquetes o cancela la sesión cuando esto sucede.
FortiGate se puede configurar para permitir el enrutamiento asimétrico mediante los siguientes comandos CLI.

# config system settings
    set asymroute enable
end

Si los VDOM están habilitados, este comando debe habilitarse por VDOM y no es una configuración global.

# config vdom
    edit <vdom_name>
# config system settings
    set asymroute enable
end
end

Si esto resuelve el problema del tráfico bloqueado, la causa es el enrutamiento asimétrico.
Pero permitir el enrutamiento asimétrico no es la mejor solución, porque reduce la seguridad de la red.
Para una solución a largo plazo o permanente, es mejor cambiar la configuración de enrutamiento o cambiar la forma en que FortiGate se conecta a la red.

Tenga en cuenta que si el enrutamiento asimétrico está habilitado, los sistemas antivirus y de prevención de intrusiones no serán efectivos.
FortiGate no estará al tanto de las conexiones y tratará cada paquete individualmente con la CPU.
Se convertirá en un cortafuegos sin estado. La descarga no será posible.

Artículos relacionados  Cómo realizar pruebas de ancho de banda

Sesión auxiliar

Cuando ECMP está habilitado, el tráfico TCP para la misma sesión puede salir e ingresar a FortiGate en diferentes interfaces.
Para permitir el paso de este tráfico, FortiOS crea sesiones auxiliares.
Permitir la creación de sesiones auxiliares se maneja con el siguiente comando.

# config system settings
    set auxiliary-sessions {disable | enable}
end

De forma predeterminada, la opción de sesión auxiliar está deshabilitada.

Esto puede bloquear parte del tráfico TCP cuando ECMP está habilitado.

Si esto ocurre, habilitar la sesión auxiliar resuelve el problema.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *