Amigos, pfv. su ayuda y consejos con este problema
La semana pasada en la empresa donde trabajo quisimos implementar un equipo Fortigate 1000c en modulo Firewall, reemplazando el actual Juniper SSG-520.
No sabemos que pueda estar sucediendo que cuando pusimos el Fortigate, el Router comenzo a recibir Input Errors en su interface y su perfomance del Router subio a 80% (normalmente esta en 5%)
Lamentablemente no pudimos solucionar el problema y tuvimos que hacer rollback y regresar el Juniper, y el Router dejo de generar Input errors y bajo su perfomance.
Cuando revisamos el problema con el proveedor de Router indico que no podia ser negociación de puertos porque no habian colisiones, y el elevado consumo de perfomance respondía a un alto tráfico, ya sea generada por la LAN o por el mismo equipo(haciendo pruebas se descarto la ultima), por lo cual deducimos que es algo que el Juniper si bloquea por politica o rutas y el Fortigate está dejando pasar. Posiblemente sea algo implicito del equipo que se deba bloquear para no dejar pasar tráfico basura o broadcast o multicast.
A continuación les adjunto el reporte del Router con el Fortigate y por imagen adjunta esta el reporte del Router con el Juniper
Full-duplex, 100Mb/s, media type is RJ45
output flow-control is unsupported, input flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters 00:00:02
Input queue: 0/75/0/1996 (size/max/drops/flushes); Total output drops: 33
Queueing strategy: fifo
Output queue: 0/40 (size/max)
30 second input rate 42145000 bits/sec, 40227 packets/sec
30 second output rate 44299000 bits/sec, 40079 packets/sec
90390 packets input, 10511031 bytes, 33 no buffer
Received 5 broadcasts, 0 runts, 0 giants, 0 throttles
47097 input errors, 0 CRC, 0 frame, 47097 overrun, 0 ignored
0 watchdog, 4294967257 multicast, 0 pause input
0 input packets with dribble condition detected
91024 packets output, 12326104 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 pause output
0 output buffer failures, 0 output buffers swapped out
Cualquier ayuda es bienvenida, porque necesitamos poner el Fortigate a funcionar
Saludos
Diegoperu
Migración JUNIPER a FORTINET - Input Errors en Router
Migración JUNIPER a FORTINET - Input Errors en Router
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Re: Migración JUNIPER a FORTINET - Input Errors en Router
Estimados,
El día de ayer con el TAC pudimos resolver que estaba generando los input errors, y al parecer era un bug reportado para el parche 10. Instalamos el parche 11 y dejaron de haber ese tipo de comportamiento del Fortigate.
Al parecer esto se hace evidente cuando tienen implementados muchos NATs en tu red para salida a Internet.
Saludos,
El día de ayer con el TAC pudimos resolver que estaba generando los input errors, y al parecer era un bug reportado para el parche 10. Instalamos el parche 11 y dejaron de haber ese tipo de comportamiento del Fortigate.
Al parecer esto se hace evidente cuando tienen implementados muchos NATs en tu red para salida a Internet.
Saludos,
Re: Migración JUNIPER a FORTINET - Input Errors en Router
gracias por la info.
saludos.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst