FGCP에서 LLCF(fail-detect) 동작의 핵심은 다음 2가지 이다.
- HA의 fail-over가 fail-detect보다 우선되어 동작한다.
- Fail-detect 기능은 Primary FortiGate에서만 동작하고, Secondary FortiGate에서는 동작하지 않는다.
모니터 인터페이스인 port1에 대해 fail-detect 기능을 적용하여, port1이 다운되면 port3가 다운되도록 설정한 경우의 예이다.
port1이 down된경우 port3를 down 시키기전에 HA fail-over가 발생하여 primary가 바뀌게 되면, 더 이상 primary 장치가 아닌 secondary 장치이기 때문에 fail-detect(LLCF)기능 동작하지 않게 되어 port3를 down 시킬수 없게 된다.
혹은 HA fail-over 타이머를 조정하여 port1이 down되면 port3를 down 시킨후, fail-over가 발생한 경우도 문제가 된다.
port1과 port3가 down된 secondary 장비는 Fail-detect 기능이 동작하지 않기 때문에, port1이 다시 살아나더라도 정상 동작을 할 수 없게 된다.
필요한 경우 link-failed-signal을 enalbe하여 hearbeat을 제외한 모든 인터페이스를 1초간 down시키는 기능을 이용하는 것도 한 방법이다.
'FortiGate > HA' 카테고리의 다른 글
HA에서 UTM license 적용 주의사항 (0) | 2024.11.29 |
---|---|
HA Reserved Management Interface의 숨겨진 VDOM "vsys_hamgmt" (0) | 2024.11.18 |
HA : Session sync 트래픽이 많을 경우 (0) | 2024.10.23 |
HA Primary에서 설정을 변경했지만 Secondary로 반영이 되지 않는 경우 (0) | 2024.10.14 |
GUI에서는 HA "Not Synchronized" 표시되지만, 실제로는 Sync 상태인 경우 (0) | 2024.09.25 |
댓글