Comunidad FORTIGATE.es

Buenas, como estan?
Mi consulta es si alguno de ustedes puede darme un ejemplo sobre la configuracion de un access list y de un route map para utilizar con RIP y OSPF.
Lei la documentacion de Fortinet, pero la verdad no logro hacer que funcione. Me gustaria saber como filtrar la propagacion de rutas tanto entrantes como salientes.

Muchas Gracias

Saludos!

hola, podes mostrar la config. que hiciste?

saludos.

La prueba la realice entre dos firewalls conectados directamente en un ambiente de laboratorio.
Luego, comence a probar con RIP, seleccione la interfaz por donde se publicarian las rutas y cargue la red que utilice para conectar cada equipo, una /30.
Por ultimo, seleccione que tipo de ruta iba a redistribuir, seleccione las conectadas por ejemplo y hasta ahi funciono barbaro, las rutas se propagaron y el otro equipo las aprendio sin problemas.
El problema es cuando llevamos eso a un ambiente de produccion, en donde nos serviria poder seleccionar la ruta que se propague, estuve leyendo que las access-list y los route map pueden hacer eso y si bien intente cargar un access list, no logre hacerla funcionar.

Avisame si te sirve esta data o necesitas que te ponga el CLI y un diagrama logico y lo subo.

Saludos!

hola,
porque?

El problema es cuando llevamos eso a un ambiente de produccion, en donde nos serviria poder seleccionar la ruta que se propague

no distribuyas ninguna entonces....

no distribuyas ninguna entonces....

Gracias por la sugerencia, ya la habia pensado anteriormente, incluso antes de postear la consulta original que la repito para no perder el foco de este thread y es esta: ¿alguien puede darme un ejemplo de acces list o route map ya que no logro hacerlos funcionar por favor?

Otra alternativa a RIP/OSPF, que es la que estamos usando, es utilizar rutas estaticas y olvidarnos de que un protocolo nos complique la vida, pero el crecimiento de nuestra red hace que no podamos escalar mucho mas. Los fortigate por debajo de los 100 (80C, 60C, 50B, 40C que son los que usamos) soportan hasta 100 rutas estaticas, pero la tabla puede crecer mas todavia con si aprende las rutas por otros medios.
Tambien utilizamos 110C que soportan hasta 500 Rutas, y todavia tenemos resto como para cargarle mas, pero en algun momento vamos a tener los mismos inconvenientes.

En algun momento tenemos que comenzar a utilizar algun protocolo de ruteo y sacarnos parte del trabajo que nos lleva las rutas estaticas y ahi tambien la necesidad de saber utilizar RIP/OSPF, que por lo que estuve viendo no se utiliza igual que en un cisco por ejemplo.

Como esta armado nuestra topologia, necesitamos propagar ciertas rutas, y otras no.Tengo entendido que un access list o un route map puede hacer esto.

Desde ya, muchas gracias

hola, aca te paso algunos ejemplos:

[Debes identificarte para poder ver enlaces.]

Tambien en la documentacion de vpn hay un capitulo sobre ipsec y ospf

"Protecting OSPF with IPsec" lo descargas desde : [Debes identificarte para poder ver enlaces.]

saludos.

Gracias, los leo y posteo el resultado.

Saludos

Buenas, a pesar de que el thread es medio viejo, posteo el resultado para aquellos que les sirva.
Para no aprender rutas publicadas por BGP hice esto:

1) Cree un prefix list, que seria el tipo de rutas a bloquear. El parametro ge y le significa Greater or Equal y Less or equal respectivamente.
config router prefix-list
edit "192.168.0.0"
set comments "bloquea rango clase C"
config rule
edit 1
set prefix 192.168.0.0 255.255.0.0
unset ge
set le 32
next
end
next
end

2) Luego cree el Route map, usando el prefijo anterior
edit "IP Clase C"
set comments "la regla 1 deniega la clase C, la regla 2 permite el aprendizaje del resto de las rutas"
config rule
edit 1
set action deny
set match-ip-address "192.168.0.0"
next
edit 2
next
end
next
end

3) Aplique el Route Map al Neighbor
config router bgp
set as XXXX
config neighbor
edit "NEIGHBOR"
set route-map-in "PRIVATE_IP"
next
end

y con esto funciona! esto es util cuando no se quiere aprender rutas por conflictos con otros protocolos como ospf, por prolijidad si no nos interesa aprender rutas o en la mayoria de los casos al utilizar BGP, para no utilizar demasiado el CPU por aprender rutas innecesariamente.

Espero que le sirva a alguien .

Saludos!

Gracias!