본문 바로가기

FortiGate/Route22

FortiGate : link-monitor 실패시 static route 동작 방식 Link-monitor 기능은 다양한 프로토콜((ping, tcp-echo, udp-echo, http 또는 twamp)을 이용하여, 특정 서버로의 연결 상태를 모니터링 한다. default 설정이 "set update-static-route enable"이기 때문에, 설정된 link-monitor가 실패하면 관련된 static route를 삭제한다. 아래처럼 static route가 설정되어 있을 경우의 예를 살펴본다. 라우팅 테이블은 다음과 같다. Link-monitor 설정은 다음과 같이 설정 되어 있다. 이 상황에서 Link-monitor가 실패 한다면.... 라우팅 테이블은 다음과 같이 Link-monitor와 관련된 static route가 삭제된다. 동일한 wan1 인터페이스로 3개의 sta.. 2021. 3. 11.
FortiGate 라우팅 테이블 조회 FortiGate는 모든 세션에 대해 라우팅테이블 조회를 2회 수행한다. 세션을 시작하는 출발지에서 오는 첫번째 packet이 수신되면 라우팅테이블 조회를 하여, 어떤 인터페이스를 통해 어떤 nexthop으로 보낼 것인지 결정해서 세션정보 및 route cache에 해당 라우팅 조회 결과를 기록한다. 목적지에서 들어오는 첫번째 응답 packet이 수신되면 라우팅테이블을 조회하여, 라우팅 조회 결과를 세션정보 및 route cache에 기록한다. 해당 세션의 이후 패킷에 대해서는 라우팅 테이블을 조회하지 않고, 세션정보에 기록된 라우팅 정보를 이용하여 패킷을 전송한다. 예외) 라우팅 설정이 변경될 경우, 영향받는 세션의 라우팅 정보는 삭제되고, 세션의 상태정보에 dirty 플래그가 지정되어 이후 packe.. 2021. 3. 5.
라우팅 테이블 참조 순서(Routing priority) 목적지 네트워크에 대한 라우팅 테이블 참조 순서는 다음 그림과 같다. 주의할 점은 Cache 내용보다 PBR(Poliicy Based Route)가 우선 적용 된다는 점이다. SD-WAN의 라우팅 참조 순서 2021. 3. 3.
FortiGate : 라우팅 경로 선택 순서 FortiGate에서 라우팅 경로 선택 순서는 다음과 같다. 목적지가 가장 작은(specific) 경로 선택 목적지 네트워크의 크기가 동일할 경우 가장 낮은 distance를 가지는 경로 선택 : 목적지 네트워크가 동일하고 distance값이 높을 경우 inactive 라우팅 위 1,2번이 동일하고, Dynamic Route일 경우 낮은 Metric 가진 경로 선택 위 1,2번이 동일하고, Statice Route일 경우 낮은 proority 가진 경로 선택 위 모든 조건이 동일할 경우 ECMP(Equal Cost MultiPath)로 동작 : static, BGP, OSPF 아래 그림처럼 라우팅 테이블에서의 예를 살펴본다. port3의 인터페이스 IP가 172.16.16.250.0/24 대역중에 하나로.. 2021. 3. 2.
Asymmetric routing : tcp-session-without-syn Asymmetric routing 환경에서, Syn 패킷이 아니면서 FortiGate에 세션도 없는 경우 세션을 만들어서 통과시키는 방법이다. 세션이 생성되기 때문에 로그를 남길 수 있으며 NP offload도 가능하다. 방화벽 정책을 매칭하여 세션을 생성한다. 이 기능을 이용하여 기존 세션이 존재하는 L2구간에 Transparent Mode로 들어갈때 기존 세션을 중단하지 않을 수 있다. 또한 기간이 아주 긴 장기 세션의 경우 방화벽의 세션 테이블에서 TTL로 삭제되고, Syn없이 클라이언트로 패킷을 먼저 보내는 경우도 해결 가능하다. tcp-session-without-syn 사용방법은 다음과 같다. 1. 먼저 System setting에서 tcp-session-without-syn 을 enable .. 2021. 1. 19.