Asymmetric routing 환경에서, Syn 패킷이 아니면서 FortiGate에 세션도 없는 경우 세션을 만들어서 통과시키는 방법이다. 세션이 생성되기 때문에 로그를 남길 수 있으며 NP offload도 가능하다. 방화벽 정책을 매칭하여 세션을 생성한다.
이 기능을 이용하여 기존 세션이 존재하는 L2구간에 Transparent Mode로 들어갈때 기존 세션을 중단하지 않을 수 있다. 또한 기간이 아주 긴 장기 세션의 경우 방화벽의 세션 테이블에서 TTL로 삭제되고, Syn없이 클라이언트로 패킷을 먼저 보내는 경우도 해결 가능하다.
tcp-session-without-syn 사용방법은 다음과 같다.
1. 먼저 System setting에서 tcp-session-without-syn 을 enable 한다.
# config system settings
set tcp-session-without-syn enable
end
2. 비대칭 트래픽이 발생하는 정책에 대해 역방향 방화벽 정책 생성
3. 해당 정책에 tcp-session-without-syn 활성화
# config firewall policy
edit {id}
set tcp-session-without-syn all
end
만약 asymroute와 tcp-session-without-syn이 동시에 enable 되면, asymroute 설정은 무시되며 tcp-session-without-syn 설정만 적용된다.
추가적으로 TCP flag/sequence 정보를 검사하여 세션의 정상 여부를 판단하는 기능을 Off 한다.
# config system settings
set anti-replay disable
end
참고 :: auxiliary-sessions, asymroute
'FortiGate > Route' 카테고리의 다른 글
| FortiGate 라우팅 테이블 조회 (0) | 2021.03.05 |
|---|---|
| 라우팅 테이블 참조 순서(Routing priority) (0) | 2021.03.03 |
| FortiGate : 라우팅 경로 선택 순서 (0) | 2021.03.02 |
| ECMP 상황에서 asymmetric routing이 발생한 경우 (0) | 2021.01.19 |
| asymroute enable 할 경우 FortiGate는? (0) | 2021.01.19 |
댓글