Buenas, me llamo Mila Jiménez y me apetecía escribir sobre:
Sugerencia técnica: Cómo configurar y supervisar el Per-IP Shaper
Descripción
Este artículo describe cómo configurar el conformador por IP y cómo monitorizarlo.
Alcance
FortiOs 7.0.x.
Solución
Crear un conformador por IP.
# config firewall shaper per-ip-shaper
edit «2M-Shaper»
set max-bandwidth 2000
set max-concurrent-session 10
set max-concurrent-tcp-session 5
set max-concurrent-udp-session 2
siguiente
end
Se verá así en la GUI:
Política & Objetos -> Conformación del tráficoSeleccione la pestaña «Traffic Shaper».
Tipo:- Seleccione por formador de IP.
Nombre:- Nombre para el formador.
Unidad de ancho de banda:- Seleccione la unidad de medida en términos de Kbps, Mbps, Gbps
Ancho de banda máximo: – Máximo ancho de banda para el conformador. BW para el conformador.
Conexiones concurrentes máximas: – Número máximo de sesiones concurrentes para cada usuario . Si selecciona ‘0’ entonces no hay límite.
Número máximo de conexiones TCP concurrentes:- Número máximo de sesiones TCP concurrentes para cada usuario . Si selecciona ‘0’ entonces no hay límite.
Número máximo de conexiones UDP concurrentes:- Número máximo de sesiones UDP concurrentes para cada usuario . Si selecciona ‘0’ entonces no hay límite.
DSCP de reenvío:– Valor DSCP (Differentiated Services Code Point) para todos los paquetes aceptados por el conformador en dirección Original.
DSCP inverso:- Valor DSCP (Differentiated Services Code Point) para todos los paquetes aceptados por el conformador en dirección de respuesta.
– Cree una política de modelado de tráfico.
# config firewall shaping-policy
editar 2
set name «2-M-Shaper-Policy»
set service «HTTPS»
set dstintf «puerto1»
set per-ip-shaper «2M-Shaper»
set srcaddr «all»
set dstaddr «todos»
siguiente
end
Se verá así en la GUI:
Política & Objetos -> Conformación del tráficoseleccione «Políticas de control de tráfico».
Algunos comandos útiles para comprobar desde la CLI:
En este artículo, tenemos un PC con la dirección IP 10.40.48.5 que está accediendo al sitio HTTPS.
Para ver la información del conformador por IP.
# diagnose firewall shaper per-ip-shaper list
nombre 2M-Shaper
ancho de banda máximo 250 KB/seg.
maximum-concurrent-session 10
tos ff/ff
paquetes perdidos 0
bytes perdidos 0
addr=10.40.48.5 status: bps=0 ses=2
Análisis de la salida:
Es posible ver el nombre del conformador que está en uso y también comprobar el estado del conformador por IP. Es posible ver si algún paquete se está cayendo y la dirección de origen que está usando el conformador.
Tenga en cuenta que el ancho de banda mostrado en la CLI se mide en bytes y el ancho de banda mostrado en la GUI se mide en bits.
Información de la sesión con Per-IP shaper.
# diagnosticar filtro de sesión sys src 10.40.48.5
# diagnose sys session list
session info: proto=6 proto_state=01 duration=5 expire=3594 timeout=3600 flags=00000000 socktype=0 sockport=0 av_idx=0 use=3
origin-shaper=
reply-shaper=
per_ip_shaper=2M-Shaper
class_id=0 shaping_policy_id=2 ha_id=0 policy_dir=0 tunnel=/ vlan_cos=0/255
state=log may_dirty per_ip f00
statistic(bytes/packets/allow_err): org=92/2/1 reply=52/1/1 tuples=2
tx speed(Bps/kbps): 16/0 rx speed(Bps/kbps): 9/0
orgin->sink: org pre->post, reply pre->post dev=4->3/3->4 gwy=10.40.31.254/10.40.48.5
hook=post dir=org act=snat 10.40.48.5:56705->172.253.62.113:443(10.40.19.12:56705)
hook=pre dir=reply act=dnat 172.253.62.113:443->10.40.19.12:56705(10.40.48.5:56705)
pos/(antes,después) 0/(0,0), 0/(0,0)
misc=0 policy_id=1 pol_uuid_idx=14734 auth_info=0 chk_client_info=0 vd=0
serial=000bce26 tos=ff/ff app_list=0 app=0 url_cat=0
rpdb_link_id=00000000 ngfwid=n/a
npu_state=0x000100
total sesión 1
Análisis de la salida: Aquí, a partir de la lista de sesiones, es posible averiguar qué conformador está utilizando la sesión en particular y a qué política de conformación de tráfico se está ajustando.
Nota:
Si cualquier tráfico excede el valor del umbral de ancho de banda máximo configurado en el configurador por IP, entonces »no se puede hacer nada. BandWidth configurado en el conformador Per-IP, entonces ‘excedido el limite del shaper, drop en el flujo de depuración será visible.
Si el tráfico excede el máximo configurado de conexiones concurrentes entonces, ‘bloqueado por comprobación de cuota, abandonar’ en el flujo de depuración será visible.
Para acabar, agradecerte por haber llegado hasta el final del post. Espero que haya servido de ayuda y que recibamos pronto otra visita tuya.
Si no consigues encontrar solución a tu dilema escribe en la search bar o escríbenos en los comentarios.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!