Vous êtes sur la page 1sur 36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

Home (http://kb.mayabits.com/) / FORTINET (http://kb.mayabits.com/?cat=6)


/ FORTIGATE (http://kb.mayabits.com/?cat=7) / Como Configurar ECMP en un Fortigate

ComoConfigurarECMPenunFortigate
Posted on July 30, 2014 (http://kb.mayabits.com/?p=208) by Natanael Caldern (http://kb.mayabits.com/?
author=9)

FortiOS

4.0

Modelo

Todos los modelos FortiGates

Condicin

Tener al menos dos enlaces


externos

ECMP (Equal-Cost Multi-Path (http://en.wikipedia.org/wiki/Equal-cost_multi-path_routing)) es un protocolo


utilizado por los equipos FortiGates para hacer distribucin de trfico hacia un mismo destino (Puede ser
internet o una red pribada) pero utilizando diferentes rutas o caminos. Utilizando ECMP se puede agregar
diversas rutas hacia una misma red destino, asignndoles a cada una la misma distancia y la misma prioridad.
En caso, de que se creen mltiples rutas hacia el mismo destino con la misma distancia pero diferente prioridad,
entonces la ruta con menor prioridad sera usada. Puede darse el caso que tenga la misma prioridad pero
diferente distancia; en dicho caso, la de menor distancia ser usada. En caso que sean mltiples rutas hacia el
mismo destino pero con diferentes distancias y diferentes prioridades, entonces siempre ser usada la ruta con
menor distancia, ya que la Distancia tiene precedencia sobre las prioridades.
Este protocolo nos permite ademas de balancear las cargas de trfico por diferentes enlaces, hacer redundancia
de enlaces, ya que en caso de que uno falle, el sistema usar las rutas disponibles en el enlace que
s est operando.
Una vez entendido el concepto, tambien es necesario tener claro las diferentes opciones de ECMP (Cmo
queremos que se comporte la distribucin de trfico sobre las rutas.) ya que el sistema utiliza algunas tcnicas
para hacer dicha distribucin y stas se explican a continuacin:

http://kb.mayabits.com/?p=208

1/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

Source Based: La tcnica Basada en la Fuente o tambien conocida como Basada en IP Fuente (Source IP
Based) permite al FortiGate balancear las sesiones entre las rutas ECMP basndose en la direccin IP fuente de
las sesiones. Esta modalidad es la que trae el FortiGate configurada por defecto, por lo tanto no requiere mas
configuracin dentro de ECMP.
Wieghted: Tambien conocida como Basada en peso (Weight-Based), El fortiGate distribuye la carga, basndose
en el peso de las rutas ECMP, por lo tanto mas trfico sera direccionado por la ruta de mayr peso. Donde ser
necesario hacer configuracin del peso (Weight), para cada una de las rutas a travs de la CLI
Spill-Over: Este mtodo tambien se conoce como Basado en Uso (Usage-Based), donde el FortiGate distribuira
el trfico entre las rutas ECMP tomando como criterio el uso de la interface. Si se selecciona este mtodo ser
necesario configurar los umbrales del Spillover en las interfaces involucradas en los enlaces para los cuales se
har el balanceo por ECMP. En este caso, el FortiGate enviar todas las sesiones del ECMP por la interface con
menor numero en el Spillover. Una vez alcance el valor configurado, pasar a enviar las sesiones por la siguiente
Interface con menor nmero en Spill.
Cuando el ECMP selecciona una Ruta para una session, se crea tambien un cache de rutas, para todas las
sesiones con la misma IP de destino. Entonces, todas las nuevas sesiones hacia la misma IP de destino usaran
la misma ruta hasta que dicha ruta se borre del cache. Estas rutas se borraran automaticamente luego de un
periodo de tiempo en el que ya no se generen reciban peticiones de sesiones hacia la misma direccion IP de
destino.
En la figura 1, se muestra uun esquema en donde tendremos un FortiGate con una LAN y dos interfaces
recibiendo los enlaces de Internet, los cuales son independientes y con ellos haremos ECMP. Para este Lab
estamos utilizando un FortiGate FG310B-US, por lo tanto configuraremos el Port1 como Internal, el Port10
como WAN1 y el Port9 como WAN2
Figura 1:

http://kb.mayabits.com/?p=208

2/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

(http://kb.mayatelcom.com/wp-content/uploads/2014/07/i1.png)
En esta gua mostraremos los pasos para hacer las configuraciones va GUI ademas de la CLI.
NOTA: Solo se puede tener un mtodo de ECMP configurado a la vez.
Configuracin vi GUI de ECMP Basado en IP Fuente
Para este caso, asumiremos que ambos enlaces de Internet tienen el mismo ancho de banda, por lo tanto
queremos que pase el trfico de forma repartida.
Paso 1: Configurando las Interfaces WAN
Para la configuracin de las interfaces del FortiGate entramos en: System >> Network >> Interface, donde
configuraremos las IPs para cada una de las Interfaces externas.
Para la WAN1 vea la Figura 2.
Figura 2:

http://kb.mayabits.com/?p=208

3/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

(http://kb.mayatelcom.com/wp-content/uploads/2014/07/i2.png)
En la figura 3, se muestra la configuracin de la WAN2.
Figura 3:

http://kb.mayabits.com/?p=208

4/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

(http://kb.mayatelcom.com/wp-content/uploads/2014/07/i3.png)
Conifuracin por CLI para las Interfaces:
WAN1:

http://kb.mayabits.com/?p=208

5/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

config system interfaceedit port10

set vdom root


set ip 192.168.2.217
255.255.255.0
set allowaccess ping https
ssh snmp http telnet
set gwdetect enable
set detectserver
192.168.2.1
set type physical
set alias WAN1
end
WAN2:
config system interfaceedit port9

set vdom root


set ip 192.168.111.217
255.255.255.0
set allowaccess ping https
snmp http telnet
set gwdetect enable
set detectserver
192.168.111.1
set type physical
set alias WAN2
end
Tal como se muestra en las figuras anteriores, la configuracin de las interfaces no tiene grado de dificultad
configurar,. Pero se debe notar que hemos habilitado la opcin de Detect Interface Status for Gateway Load
Balancing lo que nos permite configurar un server para detectar Detect Server, tcnica que permitir al
FortiGate detectar cuando un enlace presente problemas de comunicacin, de tal forma que si uno de los

http://kb.mayabits.com/?p=208

6/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

enlaces con los cuales estamos haciendo ECMP falla, el dispositivo enviar el trfico por la otra interface, con lo
cual ademas del balanceo de las cargas, tendremos tambien redundancia a Fallas. Se recomienda poner como
Server una IP de un dispositivo remoto que sea confiable y que nunca falle, pues de lo contrario, podramos
experimentar problemas de conexiones.
Paso 2: Configurando las rutas.
La creacion de las rutas estticas las haremos desde: Router >> Static>> Static Route >> Create New.
Debido a que deseamos utilizar por igual los dos enlaces de internet, ambas rutas estticas tendran igual
distancia y prioridad. LA figura 4, muestra la primera ruta creada la cual encaminar el trfico por la interface
WAN1, mientras que la figura 5, encamir trfico a traves de la WAN2.
Figura 4:

(http://kb.mayatelcom.com/wp-content/uploads/2014/07/i4.png)
Figura 5:

(http://kb.mayatelcom.com/wp-content/uploads/2014/07/i5.png)
Configurando las rutas por la CLI:
Ruta 1:
config router staticedit 1

set device port10


set distance 10

http://kb.mayabits.com/?p=208

7/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

set dst 0.0.0.0 0.0.0.0


set gateway 192.168.2.1
set priority 0
set weight 0
next
end
Ruta 2:
config router staticedit 2

set device port9


set distance 10
set dst 0.0.0.0 0.0.0.0
set gateway 192.168.111.1
set priority 0
set weight 0
next
end
Paso 3: Creacin de las Polticas de Firewall.
Ahora nos toca navegar en: Firewall >>Policy >> Policy >> Create New , para crear las politicas desde la LAN
hacia la WAN1 y WAN2, para poder permitir trfico a travs de ambos enlaces hacia el Internet, ver figura 6 y 7.
Figura 6:

http://kb.mayabits.com/?p=208

8/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

(http://kb.mayatelcom.com/wp-content/uploads/2014/07/i6.png)

http://kb.mayabits.com/?p=208

9/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

Figura 7:

http://kb.mayabits.com/?p=208

10/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

(http://kb.mayatelcom.com/wp-content/uploads/2014/07/i7.png)

http://kb.mayabits.com/?p=208

11/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

Con estos pasos ya tenemos enlaces configurados con ECMP, y que ademas son redundantes entre s.
Si revisamos las polticas, podremos ver que estamos pasando trfico por ambas, y el criterio se basa en la IP
fuente de usuario. Ver figura 8.
Figura 8:

(http://kb.mayatelcom.com/wp-content/uploads/2014/07/i8.png)
Ademas podremos monitorear las rutas, donde veremos que ambas tienen
igual peso y prioridad en: Router
>> Monitor >> Routing Monitor, tal como se muestra
en la figura 9.
Figura 9:

(http://kb.mayatelcom.com/wp-content/uploads/2014/07/i9.png)
Configuracin vi GUI de ECMP Basado en Peso
(Weight-Based)
Para este mtodo, tomando en cuenta que ya hemos realizado los pasos 1-3, ahora solo nos toca cambiar el
peso de las rutas y adicionalmente cambiar el mtodo de ECMP via CLI.
Paso 4: Cambiando el mtodo de ECMP.
Para esta modalidad ser necesario cambiar el mtodo de distribucin de ECMP, de tal forma que tome como
criterio el parmetro de Peso de cadauna de las rutas.

http://kb.mayabits.com/?p=208

12/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

config system settingsset v4-ecmp-mode weight-based

end
Paso 5: Cambiando el Peso de las rutas. Este cambio lo podremos hacer via CLI, de la siguiente manera:
Ruta 1:
config router staticedit 1

set device port10


set distance 10
set dst 0.0.0.0 0.0.0.0
set gateway 192.168.2.1
set priority 0
set weight 10
next
end
Ruta 2:
config router staticedit 2

set device port9


set distance 10
set dst 0.0.0.0 0.0.0.0
set gateway 192.168.111.1
set priority 0
set weight 20
next
end

http://kb.mayabits.com/?p=208

13/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

Este es un escenario perfecto para el caso de tener enlaces de Internet con anchos de banda diferentes, por lo
tanto, con esta configuracin estamos forzando a que un tercio del trfico pase a travs del enlace conectado a
la WAN1 y los otros dos tercios pasen a travs del enlace conectado a la WAN2.
Podemos ahora minitorear las polticas de Firewall, tal como lo hicimos en la seccin anterior para ver la
distribucin de trfico que ha atravesado por cada una de ellas.
Ademas, si monitoreamos las rutas via CLI veremos que los Pesos de las rutas hacia el mismo destino tiene
pesos diferentes.
get router info routing-table
staticS* 0.0.0.0/0 [10/0] via 192.168.111.1,
port9, [0/20]

[10/0] via 192.168.2.1, port10, [0/10]


Por lo tanto el ECMP utilizar como primera ruta la de mayor peso. El Parmetro del Peso (weight) solo es
utilizado al momento de enviar la primera sesin hacia una Ip destino. Una vez se decide por qu camino enviar
el trfico, las nuevas sesiones que vayan hacia esa misma IP sern enviadas por esa misma ruta mientras dure
la tabla de cache de sesiones, tal como se explic al inicio de esta gua.
Configuracin vi GUI de ECMP Basado en Uso (Spillover)
Si deseamos trabajar con el mtodo de Spillover, antes debemos ejecutar los pasos del 1-3, con la nica
diferencia que en la configuracin de las interfaces, hemos configurado el parmtro de Spillover, tal como lo
muestra la figura 10 para la WAN1 y en la figura 11 para la WAN2.
Paso 6: Configurando el Umbral de Spillover en las Interfaces.
Navegando desde System>> Network >> Interface, donde configuraremos los umbrales de Spill para cada una de
las Interfaces.
Figura 10:

http://kb.mayabits.com/?p=208

14/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

(http://kb.mayatelcom.com/wp-content/uploads/2014/07/i10.png)

http://kb.mayabits.com/?p=208

15/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

Figura 11:

(http://kb.mayatelcom.com/wp-content/uploads/2014/07/i11.png)
Paso 7: Cambiando el mtodo de ECMP.

http://kb.mayabits.com/?p=208

16/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

config system settingsset v4-ecmp-mode usage-based

end
Si navegamos en Router >>Monitor >> Routing Monitor veremos que las rutas hacia el mismo destino (en este
caso, las que apuntan a la red 0.0.0.0 0.0.0.0) son idnticas en cuanto amtrica y distancia. ver figura 12.
Figura 12:

(http://kb.mayatelcom.com/wp-content/uploads/2014/07/i12.png)
Por lo tanto, el FortiGate enviar todas las sesiones a travs de la ruta 1 por el gateway 192.168.2.1 y solo hasta
que la interface port10 (WAN1) haya excedido el Umbral de Spillover de 128KBps pasar todas las
nuevas sesiones a travs de la siguiente ruta que seria por el gateway 192.168.111.1 y la interface Port9 (WAN2)
A traves de la linea de comando (CLI), se puede determinar si una interface est excediendo el umbral de
desbordamiento (Spillover Threshold), de la siguiente manera:
diagnose netlink dstmac listdev=lo mac=00:00:00:00:00:00
rx_tcp_mss=0 tx_tcp_mss=0
overspill-threshold=0 bytes=0 over_bps=0 sampler_rate=0

dev=port10 mac=00:00:00:00:00:00 rx_tcp_mss=0 tx_tcp_mss=0


overspill-threshold=128000 bytes=1179 over_bps=0 sampler_rate=0
dev=port9 mac=00:00:00:00:00:00 rx_tcp_mss=0 tx_tcp_mss=0
overspill-threshold=256000 bytes=132 over_bps=0 sampler_rate=0
Nota: No debes olvidarte que en caso de utilizar ECMP, solo se puede seleccionar un Mtodo a la vez, por lo
tanto, se recomienda tener muy claro los conceptos sobre la funcionalidad del protocolo para hacer una buena
eleccin del mtodo a utilizar.

Relacionados:
Cmo Configurar ECMP en un FortiGate (http://kb.mayabits.com/?p=208)
Cmo Configurar Polticas de Ruteo en un FortiGate (http://kb.mayabits.com/?p=352)

http://kb.mayabits.com/?p=208

17/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

Referencias:
http://kb.fortinet.com (http://kb.fortinet.com/)
http://docs.fortinet.com/ (http://docs.fortinet.com/)
This entry was posted in FORTIGATE (http://kb.mayabits.com/?cat=7).
Bookmark the permalink (http://kb.mayabits.com/?p=208).

This article was helpful


0 people found this article useful
How to configure 3G Modem in FortiGate 60B
(http://kb.mayabits.com/?p=203)

(http://kb.mayabits.com/?author=9)

How to Setup Static Routes in FortiGates


(http://kb.mayabits.com/?p=224)

NatanaelCaldernhaswritten57
(http://kb.mayabits.com/?author=9)articles
(http://www.mayabits.com)

LeaveaReply
Your email address will not be published. Required fields are marked *

Name *

Email *

Website

http://kb.mayabits.com/?p=208

18/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

Comment

No soy un robot *

1=2

You may use these HTML (HyperText Markup Language) tags and attributes: <ahref=""title=""><abbr
title=""><acronymtitle=""><b><blockquotecite=""><cite><code><deldatetime=""><em><i><q
cite=""><strike><strong>

Post Comment

Search Knowledgebase

RecentPosts
Como crear tickets de soporte en sitio de maya (http://kb.mayabits.com/?p=2413)
Autenticacin de doble factor utilizando fortitoken (http://kb.mayabits.com/?p=2232)
Fortigate opciones de Web Filter (Monitor, Warninig y Authenticate) (http://kb.mayabits.com/?
p=2316)
Como configurar SNMP v2c/v3 en FortiGate (http://kb.mayabits.com/?p=2277)
Deteccin y Autenticacin de dispositivos con FortiGate (http://kb.mayabits.com/?p=2223)

RecentComments

Archives

http://kb.mayabits.com/?p=208

19/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

January 2015 (http://kb.mayabits.com/?m=201501)


December 2014 (http://kb.mayabits.com/?m=201412)
November 2014 (http://kb.mayabits.com/?m=201411)
August 2014 (http://kb.mayabits.com/?m=201408)
July 2014 (http://kb.mayabits.com/?m=201407)

Categories
BLUECOAT (http://kb.mayabits.com/?cat=18)
DLINK (http://kb.mayabits.com/?cat=13)
EXTREME (http://kb.mayabits.com/?cat=14)
FORTIANALIZER (http://kb.mayabits.com/?cat=8)
FORTIAP (http://kb.mayabits.com/?cat=20)
FortiCam (http://kb.mayabits.com/?cat=34)
FORTICLIENT (http://kb.mayabits.com/?cat=9)
FORTIDB (http://kb.mayabits.com/?cat=10)
FORTIGATE (http://kb.mayabits.com/?cat=7)
FORTIMAIL (http://kb.mayabits.com/?cat=11)
FORTINET (http://kb.mayabits.com/?cat=6)
FORTIRECORDER (http://kb.mayabits.com/?cat=33)
FORTIVOICE (http://kb.mayabits.com/?cat=12)
HELPDESK (http://kb.mayabits.com/?cat=50)
OTROS (http://kb.mayabits.com/?cat=17)
REDLINE (http://kb.mayabits.com/?cat=15)
UBUNTU (http://kb.mayabits.com/?cat=16)
Uncategorized (http://kb.mayabits.com/?cat=1)

Meta
Log in (http://kb.mayabits.com/wp-login.php)
Entries RSS (Really Simple Syndication) (http://kb.mayabits.com/?feed=rss2)
Comments RSS (Really Simple Syndication) (http://kb.mayabits.com/?feed=comments-rss2)
WordPress.org (http://wordpress.org/)

http://kb.mayabits.com/?p=208

20/36

9/9/2015

http://kb.mayabits.com/?p=208

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

21/36

9/9/2015

http://kb.mayabits.com/?p=208

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

22/36

9/9/2015

http://kb.mayabits.com/?p=208

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

23/36

9/9/2015

http://kb.mayabits.com/?p=208

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

24/36

9/9/2015

http://kb.mayabits.com/?p=208

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

25/36

9/9/2015

http://kb.mayabits.com/?p=208

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

26/36

9/9/2015

http://kb.mayabits.com/?p=208

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

27/36

9/9/2015

http://kb.mayabits.com/?p=208

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

28/36

9/9/2015

http://kb.mayabits.com/?p=208

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

29/36

9/9/2015

http://kb.mayabits.com/?p=208

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

30/36

9/9/2015

http://kb.mayabits.com/?p=208

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

31/36

9/9/2015

http://kb.mayabits.com/?p=208

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

32/36

9/9/2015

http://kb.mayabits.com/?p=208

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

33/36

9/9/2015

http://kb.mayabits.com/?p=208

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

34/36

9/9/2015

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

AcercadeNosotros
Maya Telecom es una compaa que nace en el ao 2004 con la iniciativa de desarrollar
soluciones de alta calidad a nuestros clientes garantizando que su inversin en tecnologa
refleje una mejora en rendimiento y productividad.
Maya FileBox (http://www.mayacontact.com/fb-index.php)
Email Marketing (http://www.mayacontact.com/email-marketing.php)

FollowUs
Twitter

Facebook

http://kb.mayabits.com/?p=208

Google+

Linked In

35/36

9/9/2015

(https://
twitter.c
om/May
aTeleco
m)

ComoConfigurarECMPenunFortigateKnowledgeBaseMayaBits

(https://
www.fa
cebook.
com/M
ayaTele
comSA)

(https://
plus.go
ogle.co
m/b/10
010372
477362
All rights reserved, 2014 | Power 979906
by MayaBits
3/10010
372477

http://kb.mayabits.com/?p=208

(http://
www.lin
kedin.co
m/com
pany/m
ayatelecom
)

Trminos de uso (http://mayabits.com/?p=268) | Poltica de privacidad


(http://mayabits.com/?p=266)

36/36