Network

7.6.2 - Interfaces
Las interfaces físicas y virtuales permiten el flujo de tráfico entre las redes
internas y entre internet y las redes internas. FortiOS ofrece opciones para
configurar interfaces y grupos de subredes que pueden escalar a medida que
crece la organización. La siguiente tabla enumera los tipos de interfaces más
utilizadas.
Tipos de interfaz y su descripción

Interface
Descripción
Type

Una interfaz física puede conectarse mediante cables Ethernet

u ópticos. Dependiendo del modelo de FortiGate, el número de
interfaces físicas Ethernet u ópticas varía. Algunos dispositivos
Physical
FortiGate agrupan interfaces bajo la etiqueta "lan",
proporcionando funcionalidad de switch incorporado. Ver más
sobre Physical interfaces

Una red de área local virtual (VLAN) divide lógicamente una

red LAN en dominios de difusión distintos mediante etiquetas
VLAN IEEE 802.1Q. Una interfaz VLAN admite etiquetado VLAN
y está asociada con una interfaz física que puede conectarse a
VLAN
dispositivos como switches o routers compatibles con estas
etiquetas. Las VLAN pueden usarse en FortiGate en modo NAT
o transparente, funcionando de manera diferente según el
modo de operación. Ver más sobre VLAN

Una interfaz agregada utiliza un método de agregación de

enlaces para combinar varias interfaces físicas, aumentando el
ancho de banda y proporcionando redundancia. FortiOS admite
Aggregate
la agregación de enlaces (LAG) mediante el protocolo LACP
(IEEE 802.3ad/802.1ax). Ver más sobre Aggregation y
Redundancy

Una interfaz redundante combina múltiples interfaces físicas,

pero el tráfico solo usa una a la vez, con el objetivo principal
Redundant de proporcionar redundancia. Se usa comúnmente en
configuraciones de Alta Disponibilidad (HA) completamente
malladas. Ver más sobre Aggregation y Redundancy

Loopback Una interfaz loopback es una interfaz lógica que siempre está
activa porque no depende de un enlace físico. La subred
asociada siempre está presente en la tabla de enrutamiento y
Interface
Descripción
Type

puede ser accesible a través de múltiples interfaces físicas o

VLAN. Ver más sobre Loopback

Un switch de software es una interfaz de switch virtual

implementada en firmware que permite agregar interfaces
miembro. Los dispositivos conectados a estas interfaces
Software
pueden comunicarse en la misma subred, y los paquetes son
switch
procesados por la CPU del FortiGate. También admite la adición
de un SSID inalámbrico como interfaz miembro. Ver más sobre
Software switch

Un switch de hardware es una interfaz de switch virtual

implementada a nivel de hardware que permite agregar
Hardware interfaces miembro. Los dispositivos conectados pueden
switch comunicarse en la misma subred, y el procesamiento se
optimiza mediante hardware. También admite el protocolo
Spanning Tree (STP). Ver más sobre Hardware switch

Una zona es un grupo lógico que contiene una o más

interfaces físicas o virtuales. Agrupar interfaces en zonas
Zone
puede simplificar la configuración de políticas de firewall. Ver
más sobre Zone

Un par de cables virtuales actúa como un cable virtual

compuesto por dos interfaces, una en cada extremo. No se
Virtual wire
configura direccionamiento IP en un VWP, y la comunicación
pair (VWP)
entre ambas interfaces se restringe mediante políticas de
firewall. Ver más sobre Virtual wire pair

FortiExtender Una interfaz administrada que permite a un FortiExtender

WAN conectado proporcionar conectividad WAN a FortiGate. Ver
extension más sobre FortiExtender

FortiExtender Una interfaz administrada que permite a un FortiExtender

LAN conectado proporcionar conectividad LAN a FortiGate. Ver más
extension sobre FortiExtender

Una interfaz Enhanced MAC VLAN (EMAC VLAN) permite

Enhanced subdividir virtualmente una interfaz física en múltiples
MAC VLAN interfaces virtuales con direcciones MAC diferentes. En
(EMAC VLAN) FortiOS, esta funcionalidad actúa como un puente. Ver más
sobre EMAC VLAN

VXLAN Una interfaz Virtual Extensible LAN (VXLAN) encapsula tramas

Ethernet de capa 2 dentro de paquetes IP de capa 3, siendo
útil para redes en la nube y centros de datos. Ver más sobre
Interface
Descripción
Type

VXLAN

Una interfaz de túnel virtual se usa para túneles basados en

interfaz de IPsec o GRE y se crea al configurar estos tipos de
túneles VPN. Puede configurarse con direcciones IP en ambos
Tunnel
extremos cuando se usa con protocolos de enrutamiento
dinámico. Ver más sobre OSPF con IPsec VPN, GRE sobre IPsec
y Cisco GRE-over-IPsec VPN

Una interfaz SSID WiFi se usa para controlar el acceso de los

usuarios a una red inalámbrica en un FortiWiFi o en un punto
de acceso FortiAP. El SSID se crea en la sección WiFi & Switch
WiFi SSID
Controller > SSIDs, y aparece en la página Network >
Interfaces tras su creación. Ver más sobre Configuración de
SSID en FortiWiFi y FortiAP

Un enlace VDOM permite la comunicación interna entre

VDOM link VDOMs sin necesidad de usar interfaces físicas adicionales. Ver
más sobre Inter-VDOM routing

Configuración de Interfaces
Los administradores pueden configurar tanto interfaces físicas como virtuales
en Red > Interfaces. Las opciones de configuración varían según si FortiGate
está en modo NAT o modo transparente.
Las opciones disponibles dependen de la visibilidad de funciones,
licencias, modelo del dispositivo, entre otros factores. La siguiente lista no
es exhaustiva.

Para configurar una interfaz en la GUI:

1. Ir a Red > Interfaces.
2. Hacer clic en Crear nuevo > Interfaz.
3. Configurar los siguientes campos de la interfaz:
Interface Name
 Los nombres de las interfaces físicas no pueden cambiarse.
Alias
  Se puede asignar un nombre alternativo a una interfaz física en
FortiGate.
 No aparece en los registros.
 Máximo 25 caracteres.
Type
 Determina la configuración de la interfaz, como VLAN, Software
Switch, Agregación 802.3ad, entre otros.
Interfaz (para VLANs)
 Permite seleccionar la interfaz física a la que se agregará la VLAN.
 Una vez creada, la VLAN aparece bajo su interfaz física.
 No se puede cambiar la interfaz física de una VLAN.
VLAN ID
 Debe coincidir con el ID de VLAN configurado en el switch o router IEEE
802.1Q.
 Valores entre 1 y 4094.
VRF ID
 Permite instancias múltiples de tablas de enrutamiento en el mismo
router.
 Los paquetes solo se reenvían entre interfaces con el mismo VRF.
Virtual Domain (VDOM)
 Permite asignar la interfaz a un VDOM.
 Solo administradores con el perfil super_admin pueden cambiar el
VDOM.
Interface Members
Depende del tipo de interfaz:
 Software Switch / Hardware Switch → Se pueden agregar interfaces
físicas y WiFi.
 Agregación 802.3ad o Interfaz Redundante → Se muestra la lista de
interfaces disponibles.
Role
Define su función en la red:
 LAN → Red local. (Opción predeterminada).
  WAN → Conexión a internet. Habilita la opción de Ancho de banda
estimado.
 DMZ → Zona desmilitarizada.
 Indefinido → No tiene un rol específico.
Estimated bandwidth (solo en WAN)
 Puede ingresarse manualmente o guardarse a partir de un test de
velocidad.
 Se usa en reglas SD-WAN.
Traffic Mode (solo WiFi SSID)
 Túnel → Conexión con el controlador WiFi.
 Puente → Conexión directa con FortiAP.
 Malla → Conexión a redes mesh.

Dirección y Configuración IP
Modo de direccionamiento
 Manual → Se define manualmente una IP y máscara de red.
 DHCP → Obtiene IP automáticamente de un servidor DHCP.
 Gestionado por IPAM → Evita direcciones duplicadas dentro del
Security Fabric.
 PPPoE → Obtiene IP de un servidor PPPoE. Solo disponible en modelos
básicos.
 One-Arm Sniffer → Usa la interfaz como puerto de monitoreo de
tráfico.
Dirección IP / Máscara
 Solo se permite una IP por subred en una interfaz FortiGate.
Modo de direccionamiento IPv6
 Manual → Se ingresa una dirección IPv6 y prefijo.
 DHCP → Obtiene configuración IPv6 de un servidor DHCPv6.
 Delegado → Usa delegación de prefijo IPv6.
Configuración automática de IPv6
 Usa SLAAC para asignar una dirección IPv6 automáticamente.
Delegación de prefijo DHCPv6
  Permite delegar prefijos IPv6 desde un servidor DHCPv6 ascendente.
Crear objeto de dirección según la subred
 Se habilita automáticamente en interfaces LAN o DMZ.
Dirección IP secundaria
 Permite agregar direcciones IPv4 adicionales a la interfaz.

Acceso Administrativo
 Configura los tipos de acceso remoto permitidos (HTTPS, SSH, Telnet,
SNMP, etc.) para IPv4 e IPv6.
Servidor DHCP
 Habilita un servidor DHCP en la interfaz.
SLAAC (Stateless Address Auto-configuration)
 Asigna direcciones IPv6 a dispositivos conectados sin necesidad de un
servidor DHCP.
Servidor DHCPv6
 Puede delegar DNS o usar el mismo DNS del sistema.

Configuraciones de Red y Seguridad

Detección de Dispositivos
 Permite recopilar información de los dispositivos conectados a la
interfaz.
Modo de Seguridad
 Habilita la autenticación por portal cautivo.

Configuraciones DSL
 Configura el modo físico ADSL o VDSL y el tipo de transferencia (PTM o
ATM).

Shaping de Tráfico
 Permite limitar el ancho de banda en la interfaz.
Opciones Misceláneas
Comentarios
 Permite agregar una descripción de hasta 255 caracteres.
Estado de la interfaz
 Habilitado → La interfaz está activa y acepta tráfico.
 Deshabilitado → La interfaz está inactiva y no acepta tráfico.

Configurar IPAM localmente en el FortiGate

IPAM (gestión de direcciones IP) está disponible localmente en el FortiGate. Un
FortiGate independiente o un nodo raíz del Security Fabric puede actuar
como servidor IPAM. Las interfaces configuradas para ser gestionadas
automáticamente por IPAM recibirán una dirección del pool de
direcciones/subredes del servidor IPAM. El servidor DHCP se habilita
automáticamente en la interfaz gráfica de usuario (GUI), y el rango de
direcciones es completado por IPAM. Los usuarios pueden personalizar la
subred del pool de direcciones y el tamaño de una subred que una interfaz
puede solicitar.
Las interfaces con rol LAN, interfaces de red inalámbrica (tipo vap-switch) e
interfaces de extensión LAN de FortiExtender (tipo lan-extension) pueden
recibir una dirección IP del servidor IPAM sin necesidad de configuraciones
adicionales a nivel de interfaz (ver Interfaces para más información).
IPAM detecta y resuelve cualquier conflicto de IP que pueda ocurrir en las
interfaces que gestiona. Los usuarios tienen la opción de editar manualmente
la interfaz o reasignar la IP.
IPAM se puede configurar en la página Network > IPAM utilizando las
pestañas IPAM Settings, IPAM Rules, IPAM Interfaces y IPAM Subnets.

VLAN
Las Redes de Área Local Virtuales (VLAN) multiplican las capacidades de
tu FortiGate y también pueden proporcionar mayor seguridad en la red. Las
VLAN utilizan etiquetas de ID para separar lógicamente los dispositivos en una
red en dominios de difusión más pequeños. Estos dominios más pequeños
envían paquetes solo a los dispositivos que son parte de ese dominio VLAN.
Esto reduce el tráfico y aumenta la seguridad de la red.
VLAN en modo NAT
En modo NAT, la unidad FortiGate funciona como un dispositivo de capa 3. En
este modo, la unidad FortiGate controla el flujo de paquetes entre VLANs y
también puede eliminar las etiquetas VLAN de los paquetes VLAN entrantes. La
unidad FortiGate también puede reenviar paquetes sin etiquetar a otras redes,
como Internet.
En el modo NAT, la unidad FortiGate admite enlaces trunk VLAN con switches
o enrutadores compatibles con IEEE 802.1Q. El enlace trunk transporta
paquetes etiquetados con VLAN entre subredes o redes físicas. Cuando agregas
subinterfaces VLAN a las interfaces físicas de FortiGate, las VLAN tienen ID que
coinciden con los ID de VLAN de los paquetes en el enlace trunk. La unidad
FortiGate dirige los paquetes con ID de VLAN a subinterfaces con ID
coincidentes.
Puedes definir subinterfaces VLAN en todas las interfaces físicas de FortiGate.
Sin embargo, si se configuran múltiples dominios virtuales en la unidad
FortiGate, solo tendrás acceso a las interfaces físicas en tu dominio virtual. La
unidad FortiGate puede etiquetar paquetes que salen de una subinterfaz VLAN.
También puede eliminar etiquetas VLAN de los paquetes entrantes y agregar
una etiqueta VLAN diferente a los paquetes salientes.
Normalmente, en configuraciones VLAN, la interfaz interna de la unidad
FortiGate está conectada a un trunk VLAN, y la interfaz externa se conecta a un
enrutador de Internet que no está configurado para VLANs. En esta
configuración, la unidad FortiGate puede aplicar diferentes políticas para el
tráfico en cada interfaz VLAN conectada a la interfaz interna, lo que resulta en
menos tráfico de red y mejor seguridad.
Topología de ejemplo
En este ejemplo, dos redes VLAN internas diferentes comparten una interfaz en
la unidad FortiGate y comparten la conexión a Internet. Este ejemplo muestra
que dos redes pueden tener flujos de tráfico separados mientras comparten
una única interfaz. Esta configuración puede aplicarse a dos departamentos de
una sola empresa o a diferentes empresas.
En este ejemplo, hay dos VLANs de red interna diferentes. VLAN_100 está en
la subred [Link]/[Link], y VLAN_200 está en la subred
[Link]/[Link]. Estas VLANs están conectadas al switch VLAN.
La interfaz interna de FortiGate se conecta al switch VLAN a través de un trunk
802.1Q. La interfaz interna tiene una dirección IP de [Link] y está
configurada con dos subinterfaces VLAN (VLAN_100 y VLAN_200). La interfaz
externa tiene una dirección IP de [Link] y se conecta a Internet. La
interfaz externa no tiene subinterfaces VLAN.
Cuando el switch VLAN recibe paquetes de VLAN_100 y VLAN_200, aplica
etiquetas de ID de VLAN y reenvía los paquetes de cada VLAN tanto a los
puertos locales como a la unidad FortiGate a través del enlace trunk. La unidad
FortiGate tiene políticas que permiten que el tráfico fluya entre las VLANs y
desde las VLANs hacia la red externa.

VLANs en modo transparente

En modo transparente, la unidad FortiGate se comporta como un puente de
capa 2, pero aún puede proporcionar servicios como escaneo antivirus, filtrado
web, filtrado de spam y protección contra intrusiones al tráfico. Algunas
limitaciones del modo transparente incluyen que no se pueden usar VPN SSL,
VPN PPTP/L2TP, servidor DHCP ni realizar NAT fácilmente en el tráfico. Las
limitaciones en modo transparente se aplican a los enlaces trunk VLAN IEEE
802.1Q que pasan a través de la unidad.
Puedes insertar la unidad FortiGate operando en modo transparente en el trunk
VLAN sin realizar cambios en tu red. En una configuración típica, la interfaz
interna de la unidad FortiGate acepta paquetes VLAN de un trunk VLAN de un
switch o router VLAN conectado a las VLANs de la red interna. La interfaz
externa de la unidad FortiGate reenvía los paquetes etiquetados con VLAN a
través de otro trunk VLAN hacia un switch o router VLAN externo y luego a
redes externas como Internet. Puedes configurar la unidad para aplicar
diferentes políticas para el tráfico en cada VLAN del trunk.
Para permitir el paso de tráfico VLAN a través de la unidad FortiGate, agregas
dos subinterfaces VLAN con el mismo ID de VLAN, una en la interfaz interna y
otra en la interfaz externa. Luego, creas una política de seguridad para permitir
que los paquetes fluyan desde la interfaz VLAN interna a la interfaz VLAN
externa. Si es necesario, crea otra política de seguridad para permitir que los
paquetes fluyan desde la interfaz VLAN externa a la interfaz VLAN interna.
Normalmente, en modo transparente, no se permite que los paquetes se
muevan entre diferentes VLANs. Las funciones de protección de la red, como el
filtrado de spam, el filtrado web y el escaneo antivirus, se aplican a través de
los perfiles UTM especificados en cada política de seguridad, lo que permite un
control detallado sobre el tráfico.
Cuando la unidad FortiGate recibe un paquete etiquetado con VLAN en una
interfaz física, lo dirige a la subinterfaz VLAN con el ID de VLAN coincidente. La
etiqueta VLAN se elimina del paquete y la unidad FortiGate aplica las políticas
de seguridad utilizando el mismo método que utiliza para los paquetes no
VLAN. Si el paquete sale de la unidad FortiGate a través de una subinterfaz
VLAN, se agrega el ID de VLAN correspondiente a la subinterfaz al paquete y el
paquete se envía a la interfaz física correspondiente.
Topología de ejemplo
En este ejemplo, la unidad FortiGate está operando en modo transparente y
está configurada con dos VLANs: una con ID 100 y otra con ID 200. Las
interfaces físicas interna y externa tienen dos subinterfaces VLAN, una para
VLAN_100 y otra para VLAN_200.
El rango de IP para la red interna de VLAN_100 es [Link]/[Link], y
para la red interna de VLAN_200 es [Link]/[Link].
Las redes internas están conectadas a un switch VLAN Cisco 2950, que
combina el tráfico de las dos VLANs en una sola interfaz interna de la unidad
FortiGate. El tráfico VLAN sale de la unidad FortiGate a través de la interfaz de
red externa, llega al switch VLAN y luego a Internet. Cuando la unidad
FortiGate recibe un paquete etiquetado, lo dirige desde la subinterfaz VLAN
entrante a la subinterfaz VLAN saliente para esa VLAN.
En este ejemplo, creamos una subinterfaz VLAN en la interfaz interna y otra en
la interfaz externa, ambas con el mismo ID de VLAN. Luego, creamos políticas
de seguridad que permiten que los paquetes viajen entre la interfaz
VLAN_100_int y la interfaz VLAN_100_ext. Se requieren dos políticas: una
para cada dirección del tráfico. Lo mismo se requiere entre las interfaces
VLAN_200_int y VLAN_200_ext, para un total de cuatro políticas de
seguridad.

Switch VLAN Virtual

Los puertos de conmutación de hardware en los modelos FortiGate que
admiten conmutadores VLAN virtuales pueden usarse como un conmutador de
capa 2. El modo VLAN switch virtual permite asignar VLANs 802.1Q a
puertos y configurar una interfaz como puerto de trunk.
Los siguientes modelos de FortiGate son compatibles con FortiOS 7.6: 40F, 60F,
70F, 80F, 90G, 100F, 120G, 200F, 300E, 400E, 400F, 600F, 900G, 1100E,
1800F, 2600F, 3000F, 3200F, 3500F, 3700F, 4200F, 4400F y 4800F. Los
modelos FortiWiFi 60F no son compatibles.
La opción virtual-switch-vlan debe estar habilitada en la CLI para configurar
el modo VLAN switch desde la GUI o la CLI.
Para habilitar los conmutadores VLAN:
bash

config system global

set virtual-switch-vlan enable
end
Después de habilitar esta configuración, cualquier conmutador de hardware
previamente configurado aparecerá en la página Network > Interfaces bajo
VLAN Switch.
Para habilitar el modo VLAN switch en la GUI:
1. Ve a System > Settings.
2. En la sección View Settings, habilita VLAN switch mode.
3. Haz clic en Apply.
Configuraciones básicas
Los puertos de conmutación de hardware pueden configurarse como un puerto
de conmutador VLAN o un puerto de trunk. Las interfaces disponibles y los ID
de VLAN permitidos dependen del modelo de FortiGate. Se recomienda quitar
los puertos del conmutador VLAN predeterminado antes de comenzar las
configuraciones.
Para crear una nueva VLAN y asignar puertos en la GUI:
1. Ve a Network > Interfaces y haz clic en Create New > Interface.
2. Ingresa un nombre y configura lo siguiente:
o Establece el Type a VLAN Switch.

o Ingresa un VLAN ID.

o Haz clic en el botón + y agrega los Interface Members.

 o Configura las opciones de Address y Administrative Access
según sea necesario.
3. Haz clic en OK.

QinQ 802.1Q en 802.1ad

QinQ (802.1ad) permite insertar múltiples etiquetas VLAN en un solo marco y
se puede configurar en dispositivos FortiGate compatibles.
En este ejemplo, el cliente se conecta a un proveedor que utiliza el etiquetado
doble 802.1ad para separar las VLANs de sus clientes. El FortiGate que conecta
con el proveedor etiqueta doblemente sus tramas con una etiqueta externa de
proveedor (S-Tag) y una etiqueta interna de cliente (C-Tag).
El cliente se identifica con la etiqueta del proveedor (S-Tag) 232 y usa la
etiqueta del cliente (C-Tag) 444 para el tráfico hacia su VLAN.

QinQ 802.1Q en 802.1Q

QinQ (802.1Q en 802.1Q) es compatible con los modelos FortiGate VM, donde
se pueden insertar múltiples etiquetas VLAN en un solo marco.

En este ejemplo, el FortiGate VM está conectado a un vSwitch del proveedor y

luego a un switch del cliente. El FortiGate encapsula el marco con una etiqueta
externa 802.1Q de VLAN 100 y una etiqueta interna 802.1Q de VLAN 200; se
utiliza el puerto físico port5. El vSwitch del proveedor elimina la etiqueta
externa y reenvía el tráfico al cliente correspondiente. Luego, el switch del
cliente elimina la etiqueta interna y reenvía el paquete a la VLAN del cliente
correspondiente.
Servidores y retransmisores DHCP
Un servidor DHCP asigna dinámicamente direcciones IP a los hosts en la red
conectados a la interfaz. Las computadoras host deben estar configuradas para
obtener sus direcciones IP usando DHCP. Puedes configurar uno o más
servidores DHCP en cualquier interfaz de FortiGate.
Un servidor DHCP puede estar en modo servidor o en modo retransmisor. En el
modo servidor, puedes definir hasta diez rangos de direcciones desde los
cuales asignar direcciones, y opciones como la puerta de enlace
predeterminada, el servidor DNS, el tiempo de arrendamiento y otras
configuraciones avanzadas. En el modo retransmisor, la interfaz reenvía
solicitudes DHCP de los clientes DHCP a un servidor DHCP externo y devuelve
las respuestas a los clientes DHCP. El servidor DHCP debe tener el
enrutamiento adecuado para que sus paquetes de respuesta a los clientes
DHCP lleguen a la unidad.
Si una interfaz está conectada a varias redes a través de routers, puedes
agregar un servidor DHCP para cada red. El rango de IP de cada servidor DHCP
debe coincidir con el rango de direcciones de la red. Los routers deben estar
configurados para retransmitir DHCP.
Servidor DHCP predeterminado para FortiGates de nivel básico
En los FortiGate de nivel básico, un servidor DHCP está configurado por defecto
en la interfaz interna con los siguientes valores:

Campo Valor

[Link] a
Rango de Dirección
[Link]

Máscara de Subred [Link]

Puerta de Enlace
[Link]
Predeterminada

Tiempo de Arrendamiento 7 días

Servidor DNS 1 [Link]

Opciones DHCP
Al agregar un servidor DHCP, puedes incluir opciones DHCP. Las opciones DHCP
son campos de información del proveedor BOOTP que proporcionan parámetros
de configuración adicionales, independientes del proveedor, para gestionar el
servidor DHCP. Por ejemplo, es posible que necesites configurar un servidor
DHCP en FortiGate que entregue una opción separada junto con una dirección
IP, como en un entorno que necesita soportar arranque PXE con imágenes de
Windows. El código de opción es específico para la aplicación, y la
documentación de la aplicación indica los valores a utilizar. El código de opción
es un valor entre 1 y 255.
Para obtener información detallada sobre las opciones DHCP, consulta el RFC
2132, Opciones DHCP y Extensiones de Proveedor BOOTP.
El servidor DHCP de FortiOS soporta hasta un máximo de 30 opciones por
servidor DHCP. Estos campos opcionales pueden configurarse tanto en la GUI
como en la CLI.
Opciones DHCP comunes
Todos los modelos FortiGate incluyen opciones DHCP predefinidas. Estas
opciones DHCP son ampliamente utilizadas y requeridas en la mayoría de los
escenarios. Las siguientes opciones DHCP pueden configurarse directamente
desde la sección del servidor DHCP en el diálogo Editar Interfaz:

Código de Nombre de la
Propósito
Opción Opción

Asignar la máscara de subred al cliente

*1 Máscara de Subred
DHCP.

Puerta de Enlace Asignar la puerta de enlace

*3
Predeterminada predeterminada al cliente DHCP.

6 Servidor DNS Asignar el servidor DNS al cliente DHCP.

42 Servidor NTP Asignar el servidor NTP al cliente DHCP.

Tiempo de Tiempo de arrendamiento para el cliente

*51
Arrendamiento DHCP.

Controladores Asignar direcciones de Controlador de

138
Inalámbricos Acceso CAPWAP al cliente DHCP.

150 Servidor(s) TFTP Asignar servidor TFTP al cliente DHCP.

Los parámetros marcados con un asterisco (*) son obligatorios y deben

completarse.
Configuración del tiempo de arrendamiento
Esta configuración implementa el código de opción DHCP 51. El tiempo global
de arrendamiento (medido en segundos, entre 300 y 864000) determina el
período de tiempo durante el cual una dirección IP permanece asignada a un
cliente. Una vez que el arrendamiento expira, la dirección se libera para ser
asignada al siguiente cliente que solicite una dirección IP.
Asignación de Direcciones IP con la Opción de Información del Agente
de Relevo (Opción 82)
La Opción 82 (Opción de Información del Agente de Relevo DHCP) ayuda a
proteger el FortiGate contra ataques como el spoofing (suplantación) de
direcciones IP y MAC, así como la escasez de direcciones IP DHCP.
Variables CLI en el comando config system dhcp server > config
reserved-address:
1. circuit-id-type {hex | string}
Tipo de opción DHCP; puede ser en formato hexadecimal o string
(predeterminado es string).
2. circuit-id <value>
ID de circuito de la Opción 82 del cliente que recibirá la dirección IP
reservada.
Formato: vlan-mod-port
o vlan: ID de VLAN (2 bytes)

o mod: 1 = snoop, 0 = relay (1 byte)

o port: número de puerto (1 byte)

3. remote-id-type {hex | string}

Tipo de opción DHCP; hex o string (predeterminado es string).
4. remote-id <value>
ID remoto de la Opción 82 del cliente que recibirá la dirección IP
reservada.
Formato: dirección MAC del cliente.
5. type {mac | option82}
Tipo de dirección IP reservada DHCP; puede ser mac (predeterminado) o
option82.
Para crear una regla de asignación de dirección IP utilizando la Opción
82 en la GUI:
1. Ve a Network > Interfaces.
2. Edita un puerto existente o crea uno nuevo.
Con esta configuración, el FortiGate podrá asignar direcciones IP reservadas a
los clientes basándose en la información proporcionada por la Opción 82,
mejorando así la seguridad y administración del DHCP.
Modo de Dirección DHCP en una Interfaz
Cualquier interfaz de FortiGate puede configurarse para obtener una dirección
IP dinámicamente utilizando DHCP. Si configuras DHCP en una interfaz del
FortiGate, este automáticamente envía una solicitud DHCP desde la interfaz. La
interfaz se configura con la dirección IP, las direcciones del servidor DNS y la
dirección de la puerta de enlace predeterminada proporcionadas por el servidor
DHCP.
Configurar una Interfaz como Cliente DHCP:
Para configurar una interfaz como cliente DHCP en la GUI:
1. Ve a Network > Interfaces.
2. Edita una interfaz.
3. Selecciona la opción DHCP en Addressing mode.
4. Configura el resto de los ajustes según sea necesario.
5. Haz clic en OK.
Información sobre el Estado de DHCP para una Interfaz:

Campo Descripción

Muestra los mensajes de estado de DHCP mientras la interfaz

Status se conecta al servidor DHCP y recibe la información de
dirección. Los posibles valores son:

- Initializing: Sin actividad.

- Connecting: La interfaz intenta conectarse al servidor DHCP.

- Connected: La interfaz obtiene una dirección IP, máscara de

subred y otros ajustes del servidor DHCP.

- Failed: La interfaz no pudo obtener una dirección IP ni otros

ajustes del servidor DHCP.

Obtained La dirección IP y la máscara de subred asignadas por el servidor

IP/Netmask DHCP. Solo se muestra si el Status es Connected.

Selecciona esto para renovar la dirección DHCP de esta

Renew
interfaz. Solo se muestra si el Status es Connected.

La fecha y hora en que la dirección IP y la máscara de subred

ya no serán válidas para la interfaz. La IP se devuelve al pool
Expiry Date
para ser asignada a la siguiente solicitud. Solo se muestra si el
Status es Connected.

La dirección IP de la puerta de enlace definida por el servidor

Default
DHCP. Solo se muestra si el Status es Connected y si está
Gateway
habilitada la opción Retrieve default gateway from server.

Acquired La dirección IP del servidor DNS definida por el servidor DHCP.

DNS Solo se muestra si el Status es Connected.

Retrieve Habilita esto para recuperar una dirección de puerta de enlace

default predeterminada desde el servidor DHCP. La puerta de enlace se
gateway agrega a la tabla de enrutamiento estático.
Campo Descripción

from server

Introduce la distancia administrativa para la puerta de enlace

predeterminada recuperada del servidor DHCP. La distancia
administrativa es un número entero entre 1 y 255, y especifica
Distance
la prioridad relativa de una ruta cuando hay varias rutas hacia
el mismo destino. Una distancia administrativa más baja indica
una ruta más preferida.

Habilita esto para usar las direcciones DNS recuperadas del

servidor DHCP en lugar de las direcciones IP de servidor DNS
Override
configuradas en la página DNS. Cuando los VDOM están
internal DNS
habilitados, solo puedes anular el DNS interno en el VDOM de
administración.

Esta configuración permite gestionar eficazmente las direcciones IP y otros

parámetros de red que se asignan a las interfaces de FortiGate a través de
DHCP.

Enrutamiento Estático
El enrutamiento estático es uno de los pilares fundamentales en la
configuración de un firewall. Es un tipo de enrutamiento en el que un
dispositivo utiliza rutas configuradas manualmente. En la configuración más
básica, un firewall tendrá una ruta predeterminada hacia su puerta de enlace
para proporcionar acceso a la red. Sin embargo, incluso en configuraciones
más complejas con enrutamiento dinámico, ADVPN o SD-WAN involucrados, es
probable que aún se utilicen rutas estáticas.
Conceptos de Enrutamiento Estático:
1. Rutas de Política (Policy Routes):
o Las rutas de política son configuraciones de enrutamiento que
permiten dirigir el tráfico hacia diferentes destinos basados en
criterios específicos, como el origen del tráfico o el tipo de
servicio. Son útiles cuando se necesitan políticas de enrutamiento
más detalladas que las rutas estáticas tradicionales.
2. Enrutamiento con Multiples Rutas de Costo Igual (Equal Cost
Multi-Path - ECMP):
o ECMP permite que se definan múltiples rutas hacia el mismo
destino, con el mismo costo. Esto mejora la redundancia y
balanceo de carga, ya que el tráfico puede ser distribuido a través
 de varias rutas simultáneamente, mejorando el rendimiento y la
resiliencia de la red.
3. Conexiones de Internet Dual (Dual Internet Connections):
o En escenarios con múltiples conexiones a Internet, el
enrutamiento estático se utiliza para definir rutas específicas
hacia diferentes enlaces. Esto puede incluir configuraciones de
failover, donde el tráfico se redirige automáticamente a un enlace
de respaldo si el enlace primario falla.
Ejemplo de Configuración de Rutas Estáticas:
 En una red simple, la ruta estática hacia la puerta de enlace
predeterminada podría verse como:
o Destino: [Link]/0

o Puerta de Enlace: [Link]

 Para una red con múltiples enlaces a Internet, se podrían crear rutas
estáticas con balanceo de carga utilizando ECMP:
o Ruta 1:

 Destino: [Link]/0
 Puerta de Enlace: [Link] (Proveedor de Internet A)
o Ruta 2:

 Destino: [Link]/0
 Puerta de Enlace: [Link] (Proveedor de Internet B)
El enrutamiento estático ofrece un control total sobre el flujo del tráfico en la
red, siendo útil en situaciones donde el tráfico debe seguir una ruta predecible
y confiable.

2. Ruta predeterminada
La ruta predeterminada tiene una dirección de destino
[Link]/[Link], lo que representa la ruta menos específica en la
tabla de enrutamiento. Es una ruta de captura en la tabla de
enrutamiento cuando el tráfico no puede coincidir con una ruta
más específica. Típicamente, se configura con una ruta estática
con una distancia administrativa de 10. En la mayoría de los
casos, configurarás la interfaz del siguiente salto y la dirección
de puerta de enlace que apunta a tu siguiente salto. Si tu
FortiGate está ubicado en el borde de la red, tu siguiente salto
será la puerta de enlace de tu ISP. Esto proporciona acceso a
Internet para tu red.
 A veces, la ruta predeterminada se configura a través de DHCP.
En algunos modelos de gama baja, la interfaz WAN está
preconfigurada en modo DHCP. Una vez que la interfaz WAN se
conecta al módem de la red, recibirá una dirección IP, puerta de
enlace predeterminada y servidor DNS. FortiGate agregará esta
ruta predeterminada a la tabla de enrutamiento con una
distancia de 5, por defecto. Esto prevalecerá sobre cualquier
ruta estática predeterminada con una distancia de 10. Por lo
tanto, ten cuidado al configurar una interfaz en modo DHCP,
donde se habilita "Recuperar puerta de enlace predeterminada
del servidor". Puedes desactivarlo y/o cambiar la distancia desde
la página de Red > Interfaces cuando edites una interfaz.
3. Agregar o editar una ruta estática
Para agregar una ruta estática usando la GUI:
4. Ve a Red > Rutas estáticas y haz clic en Crear nuevo.
5. Ingresa la siguiente información:
6.

Destination  Subnet
Enter the destination IP address and
netmask. A value of [Link]/[Link] creates
a default route.
 Named Address
Select an address or address group object.
Only addresses with static route
configuration enabled will appear on the
list. This means a geography type address
cannot be used.
 Internet Service
Select an Internet Service. These are known
IP addresses of popular services across the
Internet.

Interface Select the name of the interface that the

static route will connect through.

Gateway Enter the gateway IP address.

Address
If a DHCP/PPPoE interface is selected,
select Dynamic to automatically retrieve
the interface's dynamic gateway, or
 select Specify to manually enter the
gateway IP address.
If an IPsec VPN interface or SD-WAN
creating a blackhole route is selected, the
gateway cannot be specified.

Administrati Enter the distance value, which will affect

ve Distance which routes are selected first by different
protocols for route management or load
balancing. The default is 10.

Advanced Optionally, expand Advanced Options and

Options enter a Priority. When two routes have an
equal distance, the route with a lower
priority number will take precedence. The
default is 1.

3. Click OK.
4.
Configurar FQDN como dirección de destino en rutas estáticas
Puedes configurar direcciones FQDN (Nombre de Dominio Completo)
como direcciones de destino en una ruta estática, utilizando ya sea la
GUI o la CLI.
En la GUI, para agregar una dirección FQDN a una ruta estática en la
configuración de direcciones del firewall, habilita la opción de
Configuración de Ruta Estática. Luego, cuando configures la ruta
estática, establece el Destino como Dirección Nombrada.
To configure an FQDN as a destination address in a static route using
the CLI:
config firewall address
edit 'Fortinet-Documentation-Website'
set type fqdn
set fqdn [Link]
set allow-routing enable
next
end
config router static
edit 0
 set dstaddr Fortinet-Documentation-Website
...
next
end
Tabla de enrutamiento
Una tabla de enrutamiento consta únicamente de las mejores rutas
aprendidas de los diferentes protocolos de enrutamiento. La ruta más
específica siempre tiene prioridad. Si hay un empate, la ruta con una
distancia administrativa más baja se inyectará en la tabla de
enrutamiento. Si las distancias administrativas también son iguales,
todas las rutas se inyectan en la tabla de enrutamiento, y el Costo y la
Prioridad se convierten en los factores determinantes para preferir
una ruta sobre otra. Si estos también son iguales, FortiGate utilizará
Multi-ruta de igual costo (ECMP) para distribuir el tráfico entre estas
rutas.
Ver la tabla de enrutamiento en la GUI
Puedes ver las tablas de enrutamiento en la GUI de FortiGate en
Dashboard > Network > Static & Dynamic Routing por defecto.
Expande el widget para ver la página completa. Además, si deseas
convertir el widget en un panel, haz clic en el ícono Guardar como
Monitor en la parte superior derecha de la página.
También puedes monitorear rutas de políticas cambiando de Static &
Dynamic a Policy en la parte superior derecha de la página. Las rutas
de políticas activas incluyen rutas de políticas que has creado, reglas
SD-WAN y rutas estáticas de Servicio de Internet. También es
compatible con dispositivos descendentes en el Security Fabric.
La siguiente figura muestra un ejemplo de las rutas estáticas y
dinámicas en el Routing Monitor:
Camp Descripci
o ón

IP Muestra si la ruta es IPv4 o

Version IPv6.

Netwo Las direcciones IP y las máscaras de red de las redes de destino que el
rk FortiGate puede alcanzar.

Gateway Las direcciones IP de las puertas de enlace hacia las redes

IP de destino.

Interfac La interfaz a través de la cual se reenvían los paquetes hacia la

es puerta de enlace de la red de destino.

La distancia administrativa asociada con la ruta. Un valor más bajo

Distanc
significa que la ruta es preferible en comparación con otras rutas
e
hacia el mismo destino.

Typ Los valores de tipo asignados a las rutas de FortiGate (Estática,

e Conectada, RIP, OSPF o BGP):

• Conectada: Todas las rutas asociadas con conexiones directas a las

interfaces de FortiGate

• Estática: Las rutas estáticas que se han agregado manualmente a la tabla

de enrutamiento

• RIP: Todas las rutas aprendidas a

través de RIP

• RIPNG: Todas las rutas aprendidas a través de RIP versión 6 (que habilita el
intercambio de rutas a través de redes IPv6)

• BGP: Todas las rutas aprendidas a través

de BGP

• OSPF: Todas las rutas aprendidas a través

de OSPF

• OSPF6: Todas las rutas aprendidas a través de OSPF versión 6 (que habilita
el intercambio de rutas a través de redes IPv6)

• IS-IS: Todas las rutas aprendidas a través

de IS-IS

• HA: Rutas RIP, OSPF y BGP sincronizadas entre la unidad primaria y las
unidades subordinadas de un clúster de alta disponibilidad (HA). Las rutas HA
se mantienen en las unidades subordinadas y solo son visibles si se está
viendo el monitor de enrutador desde un dominio virtual configurado como un
dominio virtual subordinado en un clúster virtual.

La métrica asociada con el tipo de ruta. La métrica de una ruta influye

Metri en cómo FortiGate la agrega dinámicamente a la tabla de enrutamiento.
c Los siguientes son tipos de métricas y los protocolos a los que se
aplican:

• Cuenta de saltos: Rutas aprendidas a

través de RIP

• Costo relativo: Rutas aprendidas a través

de OSPF

• Discriminador de salida múltiple (MED): Rutas aprendidas a través de

BGP. Por defecto, el valor MED asociado con una ruta BGP es cero. Sin
embargo, el valor MED puede modificarse dinámicamente. Si el valor se
cambió del valor predeterminado, la columna de Métrica muestra un valor
distinto de cero.

En rutas estáticas, la prioridad es 1 por defecto. Cuando dos rutas

Priori
tienen una distancia igual, la ruta con el número de prioridad más bajo
ty
tendrá prioridad.

El enrutamiento y reenvío virtual (VRF) permite que coexistan múltiples

VR
instancias de tablas de enrutamiento. VRF se puede asignar a una interfaz.
F
Los paquetes solo se reenvían entre interfaces con el mismo VRF.
Ver la tabla de enrutamiento en la CLI
Ver la tabla de enrutamiento utilizando la CLI muestra las mismas
rutas que verías en la GUI.
Si los VDOM están habilitados en el FortiGate, todos los comandos de
la CLI relacionados con el enrutamiento deben ejecutarse dentro de un
VDOM y no en el contexto global.
Para ver la tabla de enrutamiento utilizando la CLI:

# get router info routing-table all

Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
Routing table for VRF=0
S* [Link]/0 [1/0] via [Link], MPLS [1/0]via [Link], port1 [1/0] via
[Link], port2
S [Link]/32 [10/0] via [Link], VLAN100
C [Link]/24 is directly connected, hub
C [Link]/32 is directly connected, hub
O [Link]/24 [110/101] via [Link], port1, [Link]
C [Link]/20 is directly connected, [Link]
S [Link]/32 [22/0] via [Link], port2, [3/3]
C [Link]/24 is directly connected, WAN1-VLAN50
C [Link]/24 is directly connected, WAN2-VLAN60
C [Link]/24 is directly connected, VLAN100
C [Link]/30 is directly connected, MPLS
C [Link]/32 is directly connected, MPLS
B [Link]/24 [20/0] via [Link], MPLS, [Link]
C [Link]/24 is directly connected, port1
C [Link]/24 is directly connected, port3
C [Link]/24 is directly connected, Port1-VLAN99
C [Link]/24 is directly connected, port2
Routing table for VRF=10
C [Link]/24 is directly connected, VLAN101
Examining an entry:
B [Link]/24 [20/0] via [Link], MPLS, [Link]

Value Description

B BGP. The routing protocol used.

[Link]/ The destination of this route, including netmask.

24

[20/0] 20 indicates an administrative distance of 20 out of a range of 0 to 255. 0 is an

additional metric associated with this route, such as in OSPF.

[Link] The gateway or next hop.

MPLS The interface that the route uses.

[Link] The age of the route in HH:MM:SS.

Ver la base de datos de enrutamiento

La base de datos de enrutamiento consta de todas las rutas
aprendidas de todos los protocolos de enrutamiento antes de ser
inyectadas en la tabla de enrutamiento. Esto probablemente muestre
más rutas que la tabla de enrutamiento, ya que incluye rutas hacia los
mismos destinos pero con diferentes distancias. Solo las mejores
rutas se inyectan en la tabla de enrutamiento. Sin embargo, es útil ver
todas las rutas aprendidas para fines de solución de problemas.
Para ver la base de datos de enrutamiento utilizando la CLI:
# get router info routing-table database
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
> - selected route, * - FIB route, p - stale info
Routing table for VRF=0
S *> [Link]/0 [1/0] via [Link], MPLS
*> [1/0] via [Link], port1
*> [1/0] via [Link], port2
S *> [Link]/32 [10/0] via [Link], VLAN100
C *> [Link]/24 is directly connected, hub
C *> [Link]/32 is directly connected, hub
O *> [Link]/24 [110/101] via [Link], port1, [Link]
C *> [Link]/20 is directly connected, [Link]
S *> [Link]/32 [22/0] via [Link], port2, [3/3]
C *> [Link]/24 is directly connected, WAN1-VLAN50
C *> [Link]/24 is directly connected, WAN2-VLAN60
C *> [Link]/24 is directly connected, VLAN100
O [Link]/30 [110/201] via [Link], port1, [Link]
C *> [Link]/30 is directly connected, MPLS
Las rutas seleccionadas están marcadas por el símbolo ">". En el ejemplo
anterior, la ruta OSPF al destino [Link]/30 no está seleccionada.
Tabla de enrutamiento del kernel
La tabla de enrutamiento del kernel constituye la Base de Información de
Reenvío (FIB, por sus siglas en inglés) real que se utiliza para tomar decisiones
de reenvío para cada paquete. Las rutas aquí se conocen comúnmente como
rutas del kernel. Partes de esta tabla se derivan de la tabla de enrutamiento
generada por el demonio de enrutamiento.
Para ver la tabla de enrutamiento del kernel utilizando la CLI:
# get router info kernel
tab=254 vf=0 scope=0 type=1 proto=11 prio=0 [Link]/[Link]/0->[Link]/0
pref=[Link]
gwy=[Link] flag=04 hops=0 oif=31(MPLS)
gwy=[Link] flag=04 hops=0 oif=3(port1)
gwy=[Link] flag=04 hops=0 oif=4(port2)
tab=254 vf=0 scope=0 type=1 proto=17 prio=0
[Link]/[Link]/0->[Link]/32 pref=[Link]
gwy=[Link] dev=4(port2)
tab=254 vf=0 scope=0 type=1 proto=17 prio=0
[Link]/[Link]/0->[Link]/32 pref=[Link] gwy=[Link]
dev=31(MPLS)
tab=254 vf=0 scope=0 type=1 proto=17 prio=0
[Link]/[Link]/0->[Link]/32 pref=[Link] gwy=[Link]
dev=3(port1)
tab=254 vf=0 scope=0 type=1 proto=11 prio=0 [Link]/[Link]/0->[Link]/32
pref=[Link] gwy=[Link] dev=20(VLAN100)
tab=254 vf=0 scope=0 type=1 proto=17 prio=0
[Link]/[Link]/0->[Link]/32 pref=[Link]
gwy=[Link] dev=4(port2)
The kernel routing table entries are:

Value Description

tab Table number: It will either be 254 (unicast) or 255 (multicast).

vf Virtual domain of the firewall: It is the VDOM index number. If VDOMs are not ena
this number is 0.

type Type of routing connection. Valid values include:

 0 - unspecific
 1 - unicast
 2 - local
 3 - broadcast
Value Description

 4 - anycast
 5 - multicast
 6 - blackhole
 7 - unreachable
 8 - prohibited

proto Type of installation that indicates where the route came from. Valid values includ
 0 - unspecific
 2 - kernel
 11 - ZebOS routing module
 14 - FortiOS
 15 - HA
 16 - authentication based
 17 - HA1

prio Priority of the route. Lower priorities are preferred.

->[Link]/0 The IP address and subnet mask of the destination.

(->x.x.x.x/
mask)

pref Preferred next hop along this route.

gwy Gateway: The address of the gateway this route will use.

dev Outgoing interface index: This number is associated with the interface for this ro
VDOMs are enabled, the VDOM is also included here. If an interface alias is set fo
interface, it is also displayed here.

Búsqueda de rutas
La búsqueda de rutas generalmente ocurre dos veces en la vida de
una sesión: una cuando el primer paquete es enviado por el originador
y otra cuando el primer paquete de respuesta es enviado por el
receptor. Cuando se realiza una búsqueda de ruta, la información de
enrutamiento se escribe en la tabla de sesiones. Si ocurren cambios
en el enrutamiento durante la vida de una sesión, se pueden realizar
búsquedas de rutas adicionales.
FortiGate realiza una búsqueda de ruta en el siguiente orden:
1. Rutas basadas en políticas: Si ocurre una coincidencia y la
acción es reenviar, el tráfico se reenvía según la ruta de política.
2. Base de Información de Reenvío, también conocida como la tabla
de enrutamiento del kernel.
3. Si no se encuentra una coincidencia, el paquete se descarta.
Buscar en la tabla de enrutamiento
Cuando hay muchas rutas en tu tabla de enrutamiento, puedes
realizar una búsqueda rápida utilizando la barra de búsqueda para
especificar tus criterios, o aplicar filtros en el encabezado de la
columna para mostrar solo ciertas rutas. Por ejemplo, si solo deseas
mostrar rutas estáticas, puedes usar "static" como término de
búsqueda, o filtrar por el campo Type con el valor Static.
La búsqueda de ruta, por otro lado, proporciona una herramienta para
ingresar criterios como Destino, Puerto de destino, Origen, Protocolo
y/o Interfaz de origen, con el fin de determinar la ruta que tomará un
paquete. Una vez que hagas clic en Buscar, la ruta correspondiente
será resaltada.
También puedes utilizar la CLI para realizar una búsqueda de ruta. La
CLI proporciona una herramienta básica de búsqueda de rutas.
Para buscar una ruta en la CLI:
# get router info routing-table details [Link]
Routing table for VRF=0
Routing entry for [Link]/0
Known via "static", distance 1, metric 0, best
* [Link], via MPLS distance 0
* [Link], via port1 distance 0
* [Link], via port2 distance 0

1. Rutas Blackhole
A veces, cuando hay cambios en la tabla de enrutamiento, no es deseable que el
tráfico se enrute a un gateway diferente. Por ejemplo, puedes tener tráfico destinado
a una oficina remota enrutado a través de tu interfaz VPN IPsec. Cuando la VPN
está caída, el tráfico intentará re-enrutar a otra interfaz. Sin embargo, esto puede no
ser viable y el tráfico será enrutado a tu ruta predeterminada a través de tu WAN, lo
que no es deseable. El tráfico también puede ser enrutado a otra VPN, lo cual no
quieres. Para tales escenarios, es conveniente definir una ruta blackhole para que el
 tráfico se descarta cuando la ruta deseada esté caída. Al reconectarse, tu ruta
deseada se agregará nuevamente a la tabla de enrutamiento y el tráfico continuará
enrutándose a la interfaz deseada. Por esta razón, las rutas blackhole se crean
cuando configuras una VPN IPsec utilizando el asistente de IPsec.
Para crear una ruta blackhole en la GUI:

Go to Network > Static Routes.

2. Click Create New. The New Static Route screen appears.
3. Specify a Destination type.
4. Select Blackhole from the Interface field.
5. Type the desired Administrative Distance.
6. Click OK.

Verificación de ruta inversa (Reverse Path Look-up)

Siempre que un paquete llegue a una de las interfaces en un FortiGate, este determina si el
paquete fue recibido en una interfaz legítima realizando una búsqueda inversa utilizando la
dirección IP de origen en el encabezado del paquete. Esto protege contra ataques de
falsificación de IP (IP spoofing). Si el FortiGate no tiene una ruta hacia la dirección IP de
origen a través de la interfaz por la cual se recibió el paquete, el FortiGate descarta el
paquete según la verificación Reverse Path Forwarding (RPF). Hay dos modos de RPF:
camino factible y estricto. El modo factible por defecto solo verifica la existencia de al
menos una ruta activa de vuelta hacia el origen utilizando la interfaz entrante. La
verificación estricta de RPF asegura que se utilice la mejor ruta de vuelta al origen como la
interfaz entrante.
Para configurar una verificación estricta de Reverse Path Forwarding en la CLI:

config system settings

set strict-src-check enable
end
Puedes eliminar las verificaciones de estado RPF sin necesidad de habilitar el
enrutamiento asimétrico desactivando las verificaciones de estado para el
tráfico recibido en interfaces específicas. Deshabilitar las verificaciones de
estado hace que un FortiGate sea menos seguro y solo debe hacerse con
precaución para fines de solución de problemas.
Para eliminar las verificaciones de Reverse Path Forwarding del proceso de
evaluación de estado en la CLI:
config system interface
edit <interface_name>
 set src-check disable
next
end
Enrutamiento asimétrico
El enrutamiento asimétrico ocurre cuando los paquetes de solicitud y
respuesta siguen diferentes rutas que no cruzan el mismo firewall.
En la siguiente topología, el tráfico entre PC1 y PC2 toma dos rutas
diferentes.
 El tráfico de PC1 a PC2 pasa a través del FortiGate, mientras que
el tráfico de PC2 a PC1 no lo hace.
En TCP, si los paquetes en las direcciones de solicitud y respuesta
siguen diferentes rutas, el FortiGate bloqueará los paquetes, ya que el
"handshake" de tres vías de TCP no se establece a través del
FortiGate.
4o mini

Enrutamiento Asimétrico
En el enrutamiento asimétrico, las conexiones TCP, ICMP y UDP
pueden verse afectadas dependiendo de si el tráfico sigue diferentes
rutas para la solicitud y la respuesta.
Escenario TCP - Conexión entre PC1 y PC2
Escenario 1: PC1 inicia la conexión TCP con PC2
1. El TCP SYN es permitido por el FortiGate.
2. El TCP SYN/ACK elude el FortiGate.
3. El TCP ACK es bloqueado por el FortiGate.
4. Los paquetes TCP posteriores son bloqueados por el FortiGate.
Escenario 2: PC2 inicia la conexión TCP con PC1
1. El TCP SYN elude el FortiGate.
2. El TCP SYN/ACK es bloqueado por el FortiGate.
3. Los paquetes TCP posteriores son bloqueados por el FortiGate.
Escenario ICMP - Ping entre PC1 y PC2
Escenario 1: PC1 hace ping a PC2
 1. La solicitud ICMP pasa por el FortiGate. Se crea una sesión.
2. La respuesta ICMP elude el FortiGate, pero llega a PC1. El ping
es exitoso.
3. La solicitud ICMP pasa nuevamente por el FortiGate, y coincide
con la sesión anterior.
4. La respuesta ICMP elude el FortiGate, pero llega a PC1. El ping
es exitoso.
5. Las solicitudes ICMP posteriores son permitidas por el FortiGate.
Escenario 2: PC2 hace ping a PC1
1. La solicitud ICMP elude el FortiGate, pero llega a PC1.
2. La respuesta ICMP pasa por el FortiGate. No se encuentra
sesión, y el paquete es bloqueado.
3. Las respuestas ICMP posteriores son bloqueadas por el
FortiGate.
Enrutamiento Asimétrico Permitido
Para permitir el enrutamiento asimétrico, se configura el FortiGate de
la siguiente manera:
bash

config system settings

set asymroute enable
end
Esto permite que el tráfico con rutas asimétricas pase, pero debe
usarse con precaución debido a los riesgos de seguridad.
Comportamiento de los paquetes TCP cuando se permite el
enrutamiento asimétrico:
Escenario 1: PC1 inicia la conexión TCP con PC2
1. El TCP SYN es permitido por el FortiGate. Se crea una sesión y se
aplica la política correspondiente (inspección de UTM, NAT,
control de tráfico, etc.).
2. El TCP SYN/ACK elude el FortiGate.
3. El TCP ACK es permitido por el FortiGate. El paquete coincide
con la sesión creada.
4. Los paquetes TCP posteriores son permitidos por el FortiGate.
Escenario 2: PC2 inicia la conexión TCP con PC1
1. El TCP SYN elude el FortiGate.
2. El TCP SYN/ACK es permitido por el FortiGate. No se encuentra
sesión, el paquete pasa al CPU y se enruta según la tabla de
enrutamiento.
3. El TCP ACK elude el FortiGate.
4. Los paquetes TCP posteriores son permitidos por el FortiGate.
Comportamiento de los paquetes ICMP cuando se permite el
enrutamiento asimétrico:
Escenario 1: PC1 hace ping a PC2
1. No hay diferencia con el enrutamiento asimétrico deshabilitado.
Escenario 2: PC2 hace ping a PC1
1. La solicitud ICMP elude el FortiGate, pero llega a PC1.
2. La respuesta ICMP pasa por el FortiGate. No se encuentra
sesión, el paquete pasa al CPU y se enruta según la tabla de
enrutamiento.
3. Las respuestas ICMP posteriores son permitidas por el FortiGate.
Paquetes UDP y Enrutamiento Asimétrico
El enrutamiento asimétrico no afecta los paquetes UDP, ya que los
paquetes UDP siempre son verificados por la tabla de sesiones,
independientemente de la ruta asimétrica. Se requiere una política
para permitir los paquetes UDP.
Cambios en el Enrutamiento
Cuando ocurren cambios en el enrutamiento, puede ser necesario
realizar nuevas búsquedas en las sesiones existentes. Sin SNAT
(Source Network Address Translation), el comportamiento
predeterminado de FortiGate es limpiar la tabla de sesiones y realizar
una nueva búsqueda en la tabla de enrutamiento para todos los
nuevos paquetes. Sin embargo, este comportamiento puede ser
modificado utilizando los siguientes comandos en la CLI.
config system interface
edit <interface>
set preserve-session-route enable
next
end
Preservación de la Información de Enrutamiento de la Sesión
Cuando se habilita la opción preserve-session-route en un dispositivo FortiGate,
asegura que la información de enrutamiento para las sesiones existentes
permanezca persistente. Esto significa que solo las nuevas sesiones activarán
una búsqueda de enrutamiento, mientras que las sesiones existentes seguirán
utilizando la misma ruta que antes, incluso si hay cambios en el enrutamiento
de la red.
Cambios en el Enrutamiento con SNAT (Traducción de Direcciones de
Red de Origen)
De forma predeterminada, cuando SNAT está habilitado, las sesiones
continuarán utilizando la misma interfaz de salida después de un cambio en el
enrutamiento, siempre que la ruta anterior siga activa. Esto es útil cuando se
cambia la prioridad de las rutas estáticas pero no se quiere que la sesión
cambie inmediatamente a una nueva ruta.
Para modificar este comportamiento y requerir una nueva búsqueda de
enrutamiento después de un cambio en la ruta, se puede usar el siguiente
comando:
bash

config system global

set snat-route-change enable
end
Al habilitar snat-route-change, FortiGate volverá a evaluar la tabla de
enrutamiento y aplicará un nuevo SNAT si es necesario siempre que haya un
cambio en la ruta. Esto asegura que la sesión utilice la ruta más apropiada
después de un cambio de enrutamiento.
Etiquetas de Rutas Estáticas
Cuando se configuran rutas estáticas, puedes asignar una etiqueta de ruta a
la ruta. Esta etiqueta se puede utilizar en escenarios avanzados de
enrutamiento, como el filtrado o la manipulación de rutas. La etiqueta de ruta
generalmente se utiliza en el mapa de rutas y se usa para configurar el métrico
de la ruta o para anunciarla a otros protocolos de enrutamiento, como BGP
(Protocolo de Puerta de Enlace Fronteriza).
Ejemplo de Ruta Estática con una Etiqueta:
Por ejemplo, si configuras una ruta estática con la etiqueta de ruta 565, esta se
usará en los anuncios BGP hacia el vecino de enrutamiento. Cuando el
enrutador R1 reciba la ruta anunciada desde el enrutador FortiGate R5,
reconocerá la ruta y tomará las acciones apropiadas basadas en la etiqueta y
su métrico configurado.
Esta configuración ayuda con la manipulación de rutas en redes más
complejas, permitiendo un mejor control sobre los anuncios de rutas y la
selección de rutas preferidas.

2. set primary [Link]

end
\

Las VDOMs (Virtual Domains) en FortiGate son una funcionalidad clave

dentro del Fortinet Certified Professional (FCP), especialmente en los
exámenes de FortiGate Security y FortiGate Infrastructure. Aquí te
explico lo que necesitas saber sobre VDOMs para la certificación:

1. ¿Qué son las VDOMs en FortiGate?

Las VDOMs (Dominios Virtuales) permiten dividir un firewall FortiGate en
múltiples instancias virtuales, cada una con su propia configuración de red,
reglas de seguridad y políticas. Es una solución ideal para multi-tenancy o
segmentación de redes.

2. Tipos de VDOMs
FortiGate maneja dos tipos de VDOMs:
1. NAT/Route VDOM: Se comporta como un firewall normal con funciones
de enrutamiento y NAT.
2. Transparent VDOM: Actúa como un switch de capa 2 sin modificar el
tráfico IP.
Un FortiGate puede tener una combinación de ambos tipos en una misma
configuración.

3. Casos de Uso
Las VDOMs son útiles en diferentes escenarios, como:
✅ Proveedores de Servicios (ISP): Permiten a un ISP dar acceso a múltiples
clientes sin que se afecten entre sí.
✅ Segmentación de Redes: Empresas pueden separar diferentes
departamentos (Ej. Finanzas, TI, Recursos Humanos).
✅ Pruebas y Desarrollo: Se pueden usar VDOMs para ambientes de prueba
sin afectar la red de producción.

4. Activación y Configuración de VDOMs

4.1 Habilitar VDOMs en FortiGate
Por defecto, FortiGate no tiene activadas las VDOMs. Para activarlas:
1. Ingresar a CLI y ejecutar:
bash

config system global

set vdom-mode multi-vdom
end
2. Reiniciar el equipo para aplicar cambios.

4.2 Crear una VDOM

Después de habilitar el modo multi-VDOM, se pueden crear nuevas instancias:
1. Ir a System > VDOM en la GUI.
2. Click en Create New y definir un nombre.
3. Seleccionar si será NAT/Route o Transparent.
Desde CLI:
bash

config vdom
edit <nombre_vdom>
next
end
4.3 Asignar Interfaces a una VDOM
Cada VDOM necesita interfaces dedicadas. Para asignarlas:
bash

config system interface

edit <nombre_interfaz>
set vdom <nombre_vdom>
end

5. Administración de VDOMs
Se pueden asignar diferentes administradores con permisos específicos a
cada VDOM, lo que es útil para delegar control a diferentes equipos dentro de
una organización.
Desde CLI:
bash

config system admin

edit <nombre_admin>
set vdom <nombre_vdom>
end
También se pueden definir perfiles de administrador con permisos
específicos.

6. Enrutamiento entre VDOMs

Para permitir que dos VDOMs se comuniquen entre sí, se usa inter-VDOM
links.
1. Crear un enlace VDOM:
bash

config system vdom-link

edit link1
set vdom1 vdom-A
set vdom2 vdom-B
end
2. Configurar rutas entre los VDOMs con políticas de firewall.

7. Monitoreo y Troubleshooting
7.1 Ver el uso de CPU y memoria por VDOM
bash

diagnose sys top

bash

get system performance status

7.2 Revisar sesiones activas en un VDOM específico
bash

diagnose sys session list | grep <nombre_vdom>

7.3 Ver logs por VDOM
bash

execute log filter category 0-14

execute log display

8. Licenciamiento y Limitaciones
 Algunos modelos de FortiGate tienen límites en la cantidad de VDOMs
soportadas.
 Se pueden comprar licencias adicionales para expandir el número de
VDOMs disponibles.

9. Buenas Prácticas
🔹 Usa nombres claros para cada VDOM (Ej. VDOM-Finanzas, VDOM-TI).
🔹 Configura backups regulares para cada VDOM.
🔹 Usa inter-VDOM links con políticas claras para evitar accesos no deseados.
🔹 Monitorea el uso de recursos para evitar sobrecargas en un solo VDOM.

¿Cuál es la diferencia entre NAT/Route VDOM y Transparent VDOM?

✅ NAT/Route VDOM:
 Funciona como un firewall tradicional.
 Puede hacer NAT (Network Address Translation) y enrutamiento
entre redes.
 Ideal para conexiones a internet o redes con múltiples subredes.
✅ Transparent VDOM:
 Actúa como un switch de capa 2.
 No cambia las direcciones IP del tráfico que pasa por él.
 Ideal para agregar seguridad sin modificar la red existente.
Métodos de Autenticación en FortiGate
1. Autenticación Local (Local Users & Groups)
FortiGate permite crear usuarios y grupos localmente en el
firewall. Se utiliza en entornos pequeños o cuando no hay un
servidor externo de autenticación. Los usuarios pueden
autenticarse mediante credenciales almacenadas en el
FortiGate.
Comandos CLI para crear un usuario local:
bash

config user local

edit usuario1
set type password
set passwd fortinet123
next
end
2. Autenticación con Servidores Externos
FortiGate puede integrarse con varios servidores externos para
autenticación centralizada.
Autenticación RADIUS
Se usa con servidores RADIUS como Windows NPS, FreeRADIUS, etc.
Permite autenticación centralizada para múltiples dispositivos.
Configuración CLI:
bash

config user radius

edit "Servidor-RADIUS"
set server "[Link]"
set secret "clave_secreta"
next
end
Autenticación LDAP
Se usa con Active Directory (AD) u otros servidores LDAP. Permite
autenticación de usuarios basada en grupos de AD.
Configuración CLI:
bash

config user ldap

edit "LDAP-AD"
set server "[Link]"
set cnid "sAMAccountName"
set dn "DC=empresa,DC=com"
set type regular
next
end
Autenticación TACACS+
Se usa para la autenticación de administradores y usuarios en
entornos empresariales. Similar a RADIUS, pero con más control sobre
comandos administrativos.
Configuración CLI:
bash
config user tacacs+
edit "Servidor-TACACS"
set server "[Link]"
set key "clave_secreta"
next
end
3. Autenticación con Certificados Digitales
FortiGate admite autenticación basada en PKI (Public Key
Infrastructure). Se usa con certificados emitidos por una
Autoridad Certificadora (CA). Requiere que los clientes tengan
certificados válidos instalados.
Configuración CLI para una CA externa:
bash

config vpn certificate ca

edit "CA-Empresa"
set ca "certificado_CA.pem"
next
end
4. Autenticación de Dos Factores (2FA/MFA)
FortiGate permite el uso de FortiToken o autenticadores TOTP.
Se puede combinar con LDAP, RADIUS o cuentas locales.
Configuración CLI para FortiToken:
bash

config user local

edit "usuario2"
set two-factor fortitoken
set fortitoken "FTK12345678"
next
end
 5. Autenticación con SAML (Single Sign-On - SSO)
Se usa para autenticación basada en la nube con Azure AD,
Google Workspace, Okta, etc. Permite SSO para acceso web y
VPN.
Configuración CLI:
bash

config user saml

edit "Azure-SAML"
set entity-id "[Link]
set single-sign-on-url "[Link]
set single-logout-url "[Link]
set idp-cert "[Link]"
next
end
6. Autenticación con Captive Portal
Se usa en redes Wi-Fi o LAN para forzar autenticación de
usuarios antes de permitir acceso a internet. Compatible con
métodos locales, LDAP, RADIUS y SAML.
Configuración CLI para Captive Portal:
bash

config firewall policy

edit 1
set srcintf "port2"
set dstintf "wan1"
set action accept
set schedule "always"
set service "ALL"
set captive-portal enable
next
end
 7. Autenticación por MAC Address (MAC Authentication Bypass -
MAB)
Se usa para autenticar dispositivos sin credenciales (ejemplo:
cámaras IP, impresoras). Se puede integrar con RADIUS o listas
locales de MAC.
Configuración CLI para agregar una MAC en lista blanca:
bash

config user device

edit "PC-Oficina"
set mac "[Link]"
next
end
Comparación de Métodos de Autenticación

Método Integración Uso Común

Solo
Local Pequeñas redes
FortiGate

RADIUS Sí Empresas y VPN

Integración con
LDAP Sí
AD

TACACS+ Sí Administración TI

Certificados Sí Alta seguridad

2FA Protección
Sí
(FortiToken) avanzada

SSO con Azure,

SAML Sí
Google

Captive
Sí Hotspots y Wi-Fi
Portal

MAC IoT y dispositivos

Opcional
Address fijos

Métodos de Administración en FortiGate

FortiGate permite administrar el firewall a través de varios métodos,
tanto locales como remotos, con diferentes niveles de control y
seguridad.
1. Administración a través de la GUI (Interfaz Web)
 Se accede mediante un navegador web en la IP de gestión del
firewall.
 Soporta acceso HTTPS y autenticación de usuarios
administrativos.
 Permite configuración completa del sistema, monitoreo de
tráfico y gestión de políticas.
Ejemplo de acceso:
 URL: [Link]
 Usuario: admin
 Contraseña: ********
Comando CLI para habilitar la GUI en una interfaz:
bash

config system interface

edit "port1"
set allowaccess ping https ssh
next
end

2. Administración a través de la CLI (Línea de Comandos)

 Se puede acceder de forma local (consola) o remota (SSH,
Telnet).
 Ofrece control total sobre la configuración.
 Ideal para automatización y scripting.
Métodos de acceso CLI:
1. Acceso por consola serial (requiere cable RJ45 a USB o DB9).
2. Acceso por SSH (recomendado para acceso remoto seguro).
3. Acceso por Telnet (no recomendado por seguridad).
Comando CLI para habilitar SSH en una interfaz:
bash

config system interface

edit "port1"
set allowaccess ping ssh
next
end

3. Administración mediante FortiManager

 Centraliza la administración de múltiples dispositivos FortiGate.
 Permite gestión de políticas, actualizaciones y monitoreo.
 Soporta programación de cambios y despliegue masivo.
Comando CLI para conectar FortiGate a FortiManager:
bash

config system central-management

set type fortimanager
set fmg "[Link]"
next
end

4. Administración mediante SNMP (Simple Network Management

Protocol)
 Permite monitoreo remoto con herramientas como PRTG, Zabbix
o SolarWinds.
 Usa SNMPv2 o SNMPv3 para consultas y alertas.
Comando CLI para habilitar SNMP en FortiGate:
bash
config system snmp sysinfo
set description "FortiGate-Monitoreo"
set contact-info "admin@[Link]"
next
end

5. Administración mediante API REST

 Se usa para automatización e integración con sistemas externos.
 Permite programar cambios en configuración y monitoreo.
Comando CLI para generar un token de API:
bash

config system api-user

edit "admin-api"
set api-key enable
set role admin
next
end

6. Administración con FortiCloud

 Proporciona acceso remoto seguro a través de la nube de
Fortinet.
 Permite gestionar configuraciones, respaldos y licencias.
 Ideal para MSPs y empresas con múltiples sitios.
Comando CLI para habilitar FortiCloud:
bash

config system fortiguard

set forticloud enable
next
end

7. Administración mediante Syslog

 Se usa para exportar logs a servidores externos como SIEMs.
 Útil para auditoría y cumplimiento de normativas.
Comando CLI para configurar un servidor Syslog:
bash

config log syslogd setting

set status enable
set server "[Link]"
set port 514
next
end

Comparación de Métodos de Administración

Segurida
Método Uso Principal
d

Alta
GUI Web Configuración visual
(HTTPS)

CLI (SSH, Administración Alta

Consola) avanzada (SSH)

Gestión
FortiManager Alta
centralizada

SNMP Monitoreo remoto Media

API REST Automatización Alta

FortiCloud Gestión remota Alta

Syslog Auditoría y logs Alta

Asignación de un Perfil a un Administrador

Después de crear un perfil, puedes asignarlo a un usuario
administrador.
Método GUI
1. Ve a System > Administrators
2. Clic en Create New
3. Define el nombre de usuario y la contraseña.
4. Asigna el Admin Profile creado.
5. Guarda los cambios.
Método CLI
Ejemplo: Crear un usuario llamado admin2 con el perfil Admin-
Firewall.
bash

config system admin

edit "admin2"
set password "FortiPass123"
set accprofile "Admin-Firewall"
set vdom "root"
next
end

Permisos Disponibles en Admin Profiles

Configuraci
Descripción
ón

sysgrp Permisos para configuración del sistema.

netgrp Control sobre interfaces de red y rutas.

fwgrp Acceso a políticas de firewall.

vpngrp Configuración de VPNs.

Control sobre funciones de seguridad

utmgrp
(antivirus, IPS, etc.).

loggrp Permisos sobre logs y eventos.

Configuraci
Descripción
ón

authgrp Gestión de usuarios y autenticación.

secfabgrp Configuración de FortiFabric y FortiManager.

Cada uno de estos parámetros puede configurarse como:

 read-write → Permite modificar y ver la configuración.
 read-only → Solo permite ver la configuración.
 none → No permite acceso a esa configuración.

Buenas Prácticas en la Gestión de Perfiles de Administrador

 Usar el principio de privilegios mínimos: No dar acceso
innecesario.
 Habilitar autenticación multifactor (2FA): Para mayor seguridad.
 No usar super_admin para tareas diarias: Solo para
emergencias.
 Crear perfiles separados para auditoría: Como read-only para
revisores.
 Acceso Administrativo en FortiGate
 FortiGate ofrece varias opciones y métodos de acceso
administrativo, y también incluye configuraciones para
restringir dicho acceso a través de puertos, interfaces y sitios
seguros. Esto es esencial para garantizar que solo los
administradores autorizados puedan realizar cambios en el
dispositivo, protegiendo la red contra accesos no autorizados.


 1. Puertos de Administración en FortiGate

 FortiGate utiliza diferentes puertos para diversos tipos de
acceso administrativo:

 Protocolo  Puerto  Descripción

 Acceso administrativo a la
 HTTPS  443 GUI a través de HTTPS
(recomendado).
 Protocolo  Puerto  Descripción

 Acceso administrativo a la
GUI sin cifrado (NO
 HTTP  80
recomendado, solo en redes
protegidas).

 Acceso a la CLI de FortiGate

 SSH  22 de manera remota de forma
segura mediante SSH.

 Acceso a la CLI de FortiGate

de manera remota sin
 Telnet  23
cifrado (NO recomendado,
inseguro).

 Usado por FortiManager

 FGFM
para gestionar múltiples
(FortiGate
 541 dispositivos FortiGate (solo
Fabric
para administración
Management)
centralizada).

 514
 FortiAnalyzer  Puertos para logs y gestión
(por
(para logs) de eventos.
defecto)


 2. Configuración de Interfaces y Restricción de Acceso
 Puedes configurar FortiGate para permitir acceso administrativo
solo desde ciertas interfaces o direcciones IP. Esto ayuda a
limitar el acceso solo a ubicaciones o redes específicas.
 Configuración GUI:
 Ve a System > Network > Interfaces.
 Selecciona la interfaz donde deseas permitir el acceso
administrativo (por ejemplo, la interfaz interna o la de
administración).
 En la opción Allow Access, selecciona los servicios que deseas
habilitar (HTTPS, SSH, etc.).
 Puedes habilitar el acceso solo desde redes específicas,
estableciendo las Direcciones de Origen Permitidas.
 Comando CLI para permitir acceso administrativo solo desde una
interfaz específica:
 bash


 config system interface

 edit "port1"
 set allowaccess ping https ssh
 set ip [Link] [Link]
 next
 end
 En este ejemplo, se habilita el acceso administrativo en port1
solo para el acceso HTTPS y SSH, y se configura la IP de la
interfaz.


 3. Restricción de Acceso por Dirección IP (Listas de Control de

Acceso - ACLs)
 Las ACLs pueden ser configuradas para restringir el acceso a
FortiGate basándose en la IP de origen o la IP de destino.
 Configuración de acceso por IP en la GUI:
 Ve a System > Admin > Administrators.
 Selecciona el administrador o crea uno nuevo.
 En la opción Source Address, configura una lista de direcciones
IP o redes que pueden acceder.
 Comando CLI para crear una ACL con acceso restringido por IP:
 bash


 config system admin

 edit "admin2"
 set password "FortiPass123"
 set srcaddr "[Link]/24"
 next
 end
 En este ejemplo, el administrador admin2 solo puede acceder
desde la red [Link]/24.


 4. Filtrado de Servicios de Administración

 Puedes habilitar o deshabilitar los servicios de administración
para asegurarte de que solo los protocolos seguros sean
utilizados (como HTTPS o SSH), y deshabilitar HTTP y Telnet que
no son seguros.
 Configuración en la GUI:
 Ve a System > Network > Interfaces.
 Selecciona la interfaz donde se permitirá el acceso
administrativo.
 En Allow Access, selecciona solo los servicios que quieres
habilitar (HTTPS, SSH).
 Comando CLI para habilitar solo HTTPS y SSH:
 bash


 config system interface

 edit "port1"
 set allowaccess ping https ssh
 next
 end
 Este comando habilita ping, HTTPS y SSH en la interfaz port1,
pero deshabilita otros servicios como HTTP y Telnet.


 5. Uso de VPN para Acceso Administrativo Remoto

 Una práctica recomendada es acceder a la interfaz
administrativa de FortiGate a través de una VPN (por ejemplo,
SSL VPN o IPsec VPN). Esto agrega una capa adicional de
seguridad, ya que los administradores deben autenticarse
primero a través de la VPN antes de acceder al firewall.
 Configuración básica de SSL VPN para acceso administrativo:
 Ve a VPN > SSL-VPN Settings.
 Configura los parámetros como Server Certificate, Listening
Interface y el VPN Gateway.
 Asocia las políticas necesarias para permitir acceso a la GUI y
CLI.
 Comando CLI para habilitar una VPN SSL:
 bash


 config vpn ssl settings

 set servercert "Fortinet_CA_SSL"
 set tunnel-ip-pools "SSLVPN_TUNNEL_ADDR1"
 set sslvpn-enable enable
 next
 end

 6. Autenticación Administrativa con Autenticación de Dos

Factores (2FA)
 FortiGate permite habilitar autenticación de dos factores (2FA)
para aumentar la seguridad en el acceso administrativo. Esto se
puede hacer utilizando FortiToken o un sistema de autenticación
basada en TOTP (por ejemplo, Google Authenticator).
 Configuración básica de 2FA con FortiToken:
 Ve a System > Admin > Administrators.
 Selecciona el administrador y en la opción Two-factor
Authentication, selecciona FortiToken.
 Ingresa el serial number de FortiToken asignado al usuario.
 Comando CLI para habilitar 2FA:
 bash


 config system admin

 edit "admin2"
 set two-factor fortitoken
 set fortitoken "FTK12345678"
 next
 end
  7. Monitoreo y Logs de Acceso Administrativo
 Es fundamental registrar y monitorear los intentos de acceso
administrativo para auditar acciones y detectar posibles
amenazas.
 Configuración para habilitar logs de acceso administrativo:
 Ve a Log & Report > Log Settings.
 Habilita la opción Local Log o configura un servidor Syslog para
almacenar los registros.
 Asegúrate de habilitar los eventos de acceso de administración.
 Comando CLI para habilitar logs de acceso administrativo:
 bash


 config log syslogd setting

 set status enable
 set server "[Link]"
 set port 514
 next
 end

 Resumen de Acceso Administrativo en FortiGate:

 Puertos: Utiliza HTTPS (443), SSH (22), o FGFM (541) para
administración segura. Evita HTTP y Telnet.
 Interfaces: Limita el acceso a interfaces específicas.
 Restricciones por IP: Configura accesos por dirección IP.
 VPN: Utiliza SSL VPN para un acceso seguro.
 Autenticación de dos factores (2FA): Añade una capa de
seguridad adicional mediante FortiToken o TOTP.
 Logs: Configura y monitorea accesos administrativos.

Puertos y Contraseñas Predeterminadas de FortiGate

A continuación, te detallo los puertos y la contraseña predeterminada
para acceder a los dispositivos FortiGate.

Puertos Predeterminados de FortiGate

Puert
Servicio Descripción
o

Acceso a la GUI de administración a través

HTTPS (GUI) 443
de HTTPS (recomendado).

Acceso a la GUI sin cifrado (NO

HTTP (GUI) 80
recomendado).

Acceso a la CLI de FortiGate de manera

SSH (CLI) 22
remota utilizando SSH (recomendado).

Acceso a la CLI sin cifrado (NO

Telnet (CLI) 23
recomendado).

FortiGate Fabric
Usado por FortiManager para gestionar
Management 541
múltiples dispositivos FortiGate.
(FGFM)

Puerto utilizado para el envío de logs y

FortiAnalyzer (logs) 514 eventos desde FortiGate a un servidor
FortiAnalyzer.

1044 Puerto por defecto para el acceso mediante

VPN SSL
3 SSL VPN.

Contraseña Predeterminada de FortiGate

Por razones de seguridad, FortiGate viene con una contraseña
predeterminada cuando se configura por primera vez. Sin embargo, es
importante cambiarla inmediatamente para evitar accesos no
autorizados.
 Usuario Predeterminado: admin
 Contraseña Predeterminada: (vacía, es decir, no tiene
contraseña por defecto)
Recomendación de Seguridad:
 Al acceder por primera vez, cambia la contraseña
predeterminada de la cuenta admin a una contraseña segura.
  Utiliza una combinación de letras mayúsculas, minúsculas,
números y caracteres especiales.
 Es recomendable activar la autenticación de dos factores (2FA)
para mejorar la seguridad.
Cambio de Contraseña a través de la GUI:
1. Inicia sesión en la GUI con el usuario admin y sin contraseña (si
es la primera vez).
2. Ve a System > Admin > Administrators.
3. Selecciona el usuario admin.
4. Cambia la contraseña en el campo Password.
5. Guarda los cambios.
Cambio de Contraseña a través de la CLI:
bash

config system admin

edit admin
set password new_password_here
next
end

Otros Detalles Importantes sobre el Acceso Administrativo:

 Usuarios y contraseñas adicionales: Puedes crear otros
administradores con distintos niveles de acceso mediante la
opción Admin Profiles en la GUI.
 Control de acceso: Es recomendable configurar ACLs y restringir
el acceso a la GUI y CLI a direcciones IP específicas para mayor
seguridad.
 Activación de la autenticación de dos factores (2FA): Para
proteger el acceso administrativo, puedes configurar FortiToken
o un sistema de autenticación basada en TOTP como Google
Authenticator.
Protocolos de Acceso Administrativo en FortiGate
FortiGate ofrece varios protocolos para gestionar el acceso
administrativo de manera remota o local, cada uno con diferentes
características de seguridad. A continuación te detallo los protocolos
de acceso más comunes, junto con sus puertos y recomendaciones de
uso:

1. HTTPS (Hypertext Transfer Protocol Secure)

 Puerto: 443
 Descripción: Protocolo seguro para acceder a la GUI (Interfaz
Gráfica de Usuario) de FortiGate de manera remota.
 Seguridad: Usa SSL/TLS para cifrar la comunicación entre el
navegador y el dispositivo FortiGate, lo que lo hace más seguro
que HTTP.
 Recomendación: Recomendado para acceder a la GUI de
administración debido a su cifrado.

2. HTTP (Hypertext Transfer Protocol)

 Puerto: 80
 Descripción: Acceso no cifrado a la GUI de FortiGate.
 Seguridad: No utiliza cifrado, por lo que es inseguro para
acceder a la administración, ya que puede exponer información
sensible a ataques.
 Recomendación: NO recomendado para acceso administrativo,
especialmente en redes no protegidas.

3. SSH (Secure Shell)

 Puerto: 22
 Descripción: Acceso a la CLI (Interfaz de Línea de Comandos) de
FortiGate de manera remota, utilizando el protocolo seguro SSH.
 Seguridad: SSH cifra la comunicación, por lo que es seguro para
acceder al sistema de forma remota.
 Recomendación: Recomendado para administración avanzada y
acceso remoto seguro a la CLI.
4. Telnet
 Puerto: 23
 Descripción: Protocolo para acceder a la CLI de FortiGate de
forma remota, sin cifrado.
 Seguridad: Inseguro, ya que las credenciales y los datos no
están cifrados, lo que facilita que un atacante pueda
interceptarlos.
 Recomendación: NO recomendado debido a los riesgos de
seguridad. Usar SSH en su lugar.

5. FGFM (FortiGate Fabric Management)

 Puerto: 541
 Descripción: Usado por FortiManager para gestionar múltiples
dispositivos FortiGate de manera centralizada.
 Seguridad: Usado dentro de redes seguras o a través de VPN.
 Recomendación: Recomendado para organizaciones que
gestionan múltiples dispositivos FortiGate con FortiManager.

6. FortiAnalyzer (para Logs y Eventos)

 Puerto: 514 (por defecto)
 Descripción: Utilizado para enviar logs de FortiGate a un
servidor FortiAnalyzer, donde se almacenan y analizan.
 Seguridad: Asegúrate de utilizar un canal seguro (VPN, por
ejemplo) si los logs se envían a través de redes no seguras.
 Recomendación: Recomendado para la gestión de logs y análisis
de eventos.

7. VPN SSL (para Acceso Administrativo Remoto Seguro)

 Puerto: 10443
 Descripción: Protocolo de acceso remoto seguro para la
administración mediante SSL VPN. Permite a los
administradores acceder a la red de FortiGate y a sus recursos
administrativos a través de una conexión segura.
 Seguridad: SSL/TLS asegura la conexión, proporcionando cifrado
robusto.
  Recomendación: Recomendado para un acceso remoto seguro,
sobre todo si el acceso es desde ubicaciones externas o no
confiables.

8. VPN IPsec (para Conexiones de Red Segura)

 Puerto: 500 (ISAKMP)
 Descripción: Utiliza IPsec para establecer una conexión de red
privada entre el cliente remoto y FortiGate, proporcionando
acceso a la administración a través de la red segura.
 Seguridad: Altamente seguro debido al cifrado IPsec, ideal para
conectar de manera segura redes de FortiGate a otras
ubicaciones.
 Recomendación: Utiliza IPsec para un acceso más seguro si los
administradores necesitan trabajar desde diferentes ubicaciones
a través de una red confiable.

Accesos Recomendados y Buenas Prácticas

1. Usar HTTPS y SSH: Siempre que sea posible, utiliza HTTPS para
acceder a la GUI y SSH para la CLI. Ambos protocolos son
seguros y proporcionan un cifrado robusto.
2. Evitar HTTP y Telnet: No utilices HTTP ni Telnet para acceder a la
administración de FortiGate. Ambos protocolos no cifran la
comunicación, lo que los hace vulnerables a ataques.
3. Limitar Accesos a Interfaces Específicas: Configura el acceso
administrativo solo desde interfaces específicas o redes
confiables (por ejemplo, tu red interna o a través de una VPN).
4. Habilitar Autenticación de Dos Factores (2FA): Considera usar
2FA (como FortiToken o TOTP) para proteger aún más el acceso
administrativo.
5. Monitoreo y Logs: Configura y monitorea los registros de acceso
administrativo para detectar y reaccionar ante posibles intentos
no autorizados.

LLDP (Link Layer Discovery Protocol) Support en FortiGate

LLDP es un protocolo de descubrimiento de capas de enlace (Capa 2
del modelo OSI) que permite a los dispositivos de red (como switches,
routers, y firewalls) intercambiar información sobre sus capacidades y
conexiones. Esta información puede incluir detalles como la identidad
del dispositivo, las interfaces de red disponibles, las VLAN, la
ubicación física, entre otros.
En el contexto de FortiGate, el LLDP Support se refiere a la capacidad
de los dispositivos FortiGate para utilizar el protocolo LLDP para
descubrir información acerca de dispositivos de red cercanos. Esto es
especialmente útil cuando se conecta un FortiGate a switches o
routers compatibles con LLDP, ya que proporciona una mejor
visibilidad y administración de la red.
Características de LLDP en FortiGate
1. Descubrimiento Automático de Red:
o FortiGate puede detectar dispositivos conectados
directamente a sus interfaces (como switches o routers)
mediante LLDP.
o Esto ayuda a identificar automáticamente el tipo de
dispositivos, las direcciones IP, la capacidad de los
enlaces, la topología de la red, etc.
2. Facilita la Administración de la Red:
o Con LLDP, un administrador puede obtener detalles clave
sobre la red sin tener que configurar manualmente cada
dispositivo.
o La información de LLDP puede ser útil para crear mapas de
red y ayudar en la resolución de problemas de
conectividad.
3. Compatible con Estándares de Industria:
o LLDP es un protocolo estándar que se puede utilizar en
equipos de diferentes fabricantes, lo que asegura la
interoperabilidad entre dispositivos de diversas marcas
(como Cisco, Juniper, etc.).
4. Detección de Dispositivos en Interfaces:
o FortiGate puede utilizar LLDP para detectar dispositivos en
interfaces de red específicas, proporcionando detalles
como el nombre del dispositivo y la dirección MAC.
5. Soporte de VLAN y Configuración de Puerto:
o LLDP también puede transmitir información sobre las
configuraciones de VLAN y los puertos asociados a los
dispositivos detectados, lo que es útil para realizar
 configuraciones dinámicas y asegurarse de que las
políticas de red sean correctas.
Habilitar LLDP en FortiGate
Para habilitar LLDP en un dispositivo FortiGate, sigue estos pasos:
1. Accede a la GUI:
o Ve a Network > Interfaces.

2. Configura la Interfaz para LLDP:

o Selecciona la interfaz de red que deseas configurar.

o Activa la opción LLDP en la configuración de la interfaz.

3. Configurar a través de la CLI: Si prefieres utilizar la CLI, puedes

habilitar LLDP con el siguiente comando:
bash

config system interface

edit <nombre_de_la_interfaz>
set lldp-reception enable
next
end
4. Verificar LLDP:
o Para ver la información de LLDP, puedes utilizar el
siguiente comando en la CLI:
bash
get system interface lldp
Esto te dará detalles sobre los dispositivos detectados a través de
LLDP en esa interfaz.
Beneficios del Soporte LLDP en FortiGate
 Monitoreo de la Red Mejorado: Permite conocer mejor la
infraestructura de red, identificando qué dispositivos están
conectados y cómo se interconectan.
 Diagnóstico de Problemas: Facilita la identificación de
problemas de conectividad o de configuración, ya que puedes
ver la información exacta sobre el estado de las conexiones y los
dispositivos conectados.
 Gestión de Red Simplificada: Te permite administrar tu red de
manera más eficiente, dado que puedes tener visibilidad en
tiempo real sobre cómo se conectan los dispositivos.
 FortiGate Configuration File Backup and Restore
 Realizar copias de seguridad y restaurar la configuración en
dispositivos FortiGate es una parte esencial de la gestión de la
red, ya que garantiza que puedas recuperar rápidamente la
configuración del dispositivo en caso de fallos o actualizaciones.
Aquí te dejo la información detallada sobre cómo hacer backup y
restore del archivo de configuración de FortiGate.


 Realizar Backup de la Configuración de FortiGate

 El backup de la configuración de FortiGate te permite guardar
una copia del archivo de configuración actual, que incluye todos
los ajustes y configuraciones del dispositivo, como interfaces de
red, políticas de seguridad, rutas, VPN, etc.
 Métodos para hacer un Backup
 A través de la GUI (Interfaz Gráfica de Usuario):
 Paso 1: Accede a la GUI de FortiGate.
 Paso 2: Ve a System > Dashboard > Status.
 Paso 3: En la sección de System Information, haz clic en el ícono
de Backup (generalmente un ícono de disco o flecha).
 Paso 4: Elige el tipo de backup que deseas hacer:
 Local: Guarda el archivo en tu computadora.
 FTP/SFTP: Envía el archivo a un servidor FTP o SFTP.
 TFTP: Utiliza un servidor TFTP para el backup.
 FortiCloud: Guarda la copia de seguridad en FortiCloud.
 Paso 5: Si seleccionas "Local", el sistema te pedirá que elijas una
ubicación para guardar el archivo de configuración.
 Paso 6: Haz clic en OK para iniciar el proceso.
 A través de la CLI (Interfaz de Línea de Comandos):
 Comando para Backup Local:
 bash
 CopiarEditar
 execute backup config flash
 Este comando guarda el archivo de configuración en la memoria
interna de FortiGate.
 Comando para Backup Remoto:
 bash
 CopiarEditar
 execute backup config ftp <server_ip> <filename>
 Este comando envía la configuración a un servidor FTP o SFTP.
Asegúrate de proporcionar las credenciales correctas y la
dirección del servidor.
 Comando para Backup a FortiCloud:
 bash
 CopiarEditar
 execute backup config forticloud
 Esto guarda la configuración en FortiCloud, si tienes configurado
un acceso a este servicio.
 Recomendaciones para Backup:
 Haz backups regulares de la configuración para garantizar que
siempre puedas restaurar el dispositivo a un estado funcional.
 Almacena copias en diferentes ubicaciones (localmente, en
servidores FTP/SFTP, o en la nube) para mayor seguridad.
 Etiqueta adecuadamente cada archivo de configuración** para
evitar confusiones y poder identificar fácilmente versiones
anteriores.


 Restaurar la Configuración en FortiGate

 En caso de que necesites restaurar un archivo de configuración
(por ejemplo, después de una actualización fallida o de un
restablecimiento), puedes hacerlo utilizando la GUI o la CLI.
 Métodos para Restaurar la Configuración
 A través de la GUI (Interfaz Gráfica de Usuario):
 Paso 1: Accede a la GUI de FortiGate.
 Paso 2: Ve a System > Dashboard > Status.
 Paso 3: En la sección de System Information, haz clic en el ícono
de Restore (generalmente un ícono de carpeta o flecha).
 Paso 4: Selecciona el archivo de configuración que deseas
restaurar desde tu dispositivo local o desde el servidor donde
esté almacenado.
 Paso 5: Haz clic en OK para iniciar la restauración. El dispositivo
se reiniciará automáticamente después de restaurar la
configuración.
 A través de la CLI (Interfaz de Línea de Comandos):
 Comando para Restaurar desde un Archivo Local:
 bash
 CopiarEditar
 execute restore config flash <filename>
 Este comando restaurará el archivo de configuración que esté
almacenado en la memoria interna de FortiGate.
 Comando para Restaurar desde un Servidor FTP:
 bash
 CopiarEditar
 execute restore config ftp <server_ip> <filename>
 Este comando restaurará la configuración desde un servidor
FTP/SFTP.
 Comando para Restaurar desde FortiCloud:
 bash
 CopiarEditar
 execute restore config forticloud
 Si tienes configurado FortiCloud, este comando restaurará la
configuración desde la nube.
 Consideraciones al Restaurar la Configuración:
 Revisión previa: Antes de restaurar una configuración,
asegúrate de que el archivo que vas a restaurar sea el correcto y
esté actualizado.
 Impacto en la Conectividad: Restaurar la configuración puede
afectar la conectividad del dispositivo (por ejemplo, cambiar
direcciones IP, reglas de firewall, etc.). Es recomendable realizar
esta operación durante un período de mantenimiento.
  Reinicios automáticos: Después de restaurar la configuración, el
dispositivo generalmente se reinicia para aplicar los cambios.
Asegúrate de que este proceso se haga cuando no afecte a los
usuarios.


 Verificación después de la Restauración

 Después de realizar una restauración, asegúrate de verificar que
todas las configuraciones, políticas, y servicios estén
funcionando correctamente:
 Comprobación de Interfaces: Revisa las interfaces de red en
Network > Interfaces.
 Comprobación de Políticas de Firewall: Asegúrate de que las
políticas de firewall y las reglas de acceso estén configuradas
correctamente.
 Comprobación de VPN y Conectividad: Verifica que las
conexiones VPN y la conectividad de la red estén operativas.
 Verificación de Logs: Revisa los registros de eventos para
asegurarte de que no haya errores o problemas post-
restauración.

Formato de Archivo de Configuración de FortiGate (.conf)

1. Extensión del archivo: .conf
o Este es el formato estándar utilizado por FortiGate para
almacenar y exportar la configuración de sus dispositivos.
2. Contenido del archivo:
o El archivo .conf contiene todas las configuraciones que se
aplican al dispositivo FortiGate. Esto incluye
configuraciones de interfaces de red, políticas de firewall,
rutas, VPN, ajustes de seguridad, y más. Es un archivo de
texto plano que puedes abrir con cualquier editor de texto
(por ejemplo, Notepad en Windows o Nano en Linux).
3. Estructura del archivo:
o El archivo .conf es legible por humanos, lo que significa
que puedes abrirlo y examinar su contenido. La estructura
es jerárquica, con secciones separadas por encabezados
que describen los diferentes elementos de configuración.
 o A continuación, te muestro un ejemplo de cómo puede
verse una porción de un archivo de configuración .conf:
bash
CopiarEditar
config system global
set hostname FGT-100D
set timezone 04
set admin-sport 443
end

config system interface

edit "port1"
set ip [Link]/24
set allowaccess ping https ssh
next
edit "port2"
set ip [Link]/24
set allowaccess ping https ssh
next
end

config firewall policy

edit 1
set name "Allow-HTTP"
set srcintf "port1"
set dstintf "port2"
set action accept
set service "HTTP"
set schedule "always"
next
end
o Configuración Global (config system global): Esta sección
contiene configuraciones globales como el nombre del
dispositivo, la zona horaria y los puertos de acceso
administrativo.
o Configuración de Interfaces (config system interface): Aquí
se configuran las interfaces de red, como la dirección IP de
cada interfaz y los servicios que están habilitados para
cada una (por ejemplo, HTTPS, SSH).
o Políticas de Firewall (config firewall policy): Define las
reglas de firewall, como las interfaces de origen y destino,
las acciones (permitir o bloquear) y los servicios asociados
(por ejemplo, HTTP).
4. Uso del archivo .conf:
o Backup: El archivo .conf se crea cuando haces un backup
de la configuración de un dispositivo FortiGate. Este
archivo se puede guardar localmente o en un servidor
remoto (FTP, SFTP, etc.).
o Restauración: Puedes restaurar un archivo .conf en el
dispositivo FortiGate en cualquier momento. Esto
sobrescribirá la configuración actual del dispositivo con la
configuración almacenada en el archivo de respaldo.
5. Consideraciones importantes:
o Compatibilidad de versión: Si estás restaurando un archivo
.conf en un dispositivo con una versión diferente del
firmware, es posible que algunos parámetros no sean
compatibles o que necesites hacer ajustes manuales
después de la restauración.
o Seguridad: Debido a que el archivo de configuración
contiene información sensible (como contraseñas y
claves), es importante proteger este archivo
adecuadamente y evitar su distribución sin cifrado.
Ejemplo de Restauración de un Archivo .conf
1. A través de la GUI:
o Accede a la interfaz de administración web de FortiGate.

o Ve a System > Dashboard > Status.

 o En la sección de System Information, haz clic en Restore y
selecciona el archivo .conf que deseas restaurar desde tu
sistema local.
o Confirma que deseas restaurar el archivo de configuración
y el dispositivo se reiniciará para aplicar los cambios.
2. A través de la CLI:
o Comando de Restauración:

bash
CopiarEditar
execute restore config flash <[Link]>
o Este comando restaurará el archivo .conf desde la
memoria interna (flash) de FortiGate
o Esquema Típico de Nombres de Archivos de Configuración
de FortiGate
o Un nombre de archivo de configuración típico podría verse
de esta forma:
o CopiarEditar

o FGT_100D_2023-[Link]

o Vamos a desglosarlo:

o FGT:

o Esta es una abreviatura de FortiGate, que indica que el

archivo es de un dispositivo FortiGate.
o 100D:

o Este es el modelo del dispositivo FortiGate. En este caso,

el modelo es FortiGate 100D. Esto ayuda a identificar el
modelo específico para el cual se ha realizado el backup de
configuración.
o 2023-02-21:

o Esta es la fecha en que se realizó el backup de

configuración. En este caso, es el 21 de febrero de 2023.
Este formato de fecha (AAAA-MM-DD) es común y fácil de
entender.
o .conf:

o Esta es la extensión del archivo, que indica que es un

archivo de configuración de FortiGate.
o Interpretación de Otros Posibles Nombres de Archivos

o Otro ejemplo podría ser:

o python

o CopiarEditar

o FGT_200E_2024-03-15_backup.zip

o Desglosado:

o FGT: Indica que el archivo pertenece a un FortiGate.

o 200E: Es el modelo del dispositivo FortiGate, en este caso

el FortiGate 200E.
o 2024-03-15: La fecha en que se realizó el backup, 15 de
marzo de 2024.
o [Link]: Aquí, el archivo está comprimido como un
archivo .zip y contiene un backup completo, no solo la
configuración. Esto puede incluir logs y otros archivos.
o Nombres de Archivos con Variaciones

o FGT_100D_2023-[Link]: En lugar de un archivo .conf,

podría ser un archivo comprimido en formato .tgz, que
también puede contener la configuración y otros archivos
relacionados.
o FGT_60F_2023-11-05_restore.conf: En este caso, restore se
utiliza para indicar que este archivo está relacionado con
una restauración de configuración, y no con un simple
backup.
o Convenciones Comunes en Nombres de Archivos de
Configuración de FortiGate
o Prefijo del nombre (FGT): Siempre se utiliza FGT para
indicar que el archivo corresponde a un dispositivo
FortiGate.
o Modelo del dispositivo: Siempre sigue después del prefijo
y generalmente incluye números o letras para identificar el
modelo específico.
o Fecha: Usualmente está en formato de año-mes-día (YYYY-
MM-DD) y es crucial para rastrear cuándo se hizo el
backup.
o Extensión: El archivo generalmente tiene una
extensión .conf para la configuración, o .zip/.tgz si es un
archivo comprimido con varios archivos dentro.
o ¿Por qué es útil esta nomenclatura?

o La estructura del nombre del archivo es muy útil porque

permite identificar rápidamente:
o Qué dispositivo o modelo de FortiGate se respaldó.

o Cuándo se realizó el backup.

o Qué tipo de archivo o respaldo se realizó (configuración,

backup completo, etc.).
o Con esta estructura, es más fácil manejar y organizar los
archivos de configuración, especialmente cuando se
gestionan múltiples dispositivos FortiGate en diferentes
fechas.