FortiGate/SD-WAN18 Local out traffic 처리 방법 FortiGate에서 시작하여 외부 서버 및 서비스로 가는 트래픽을 Local out traffic 이라 한다. Syslog, FortiAnalyzer 로깅, FortiGuard 서비스, 원격 인증, DHCP relay 트래픽등이 해당된다. default(auto)로 로컬 아웃 트래픽은 라우팅 테이블 조회하여 경로(outgoing interface)를 결정하게 된다. sd-wan 설정이 되어 있다면 라우팅테이블이 아닌 SD-WAN rule을 따르도록 해야할 경우도 있다. 다수의 local out traffic은 라우팅 테이블을 조회할것인지, SD-WAN Rule을 따를 것인지, 수동(specify)으로 경로를 결정할 것인지 설정가능하다. 만약 수동으로 설정할 경우 source IP도 설정 가능하다. 예를.. 2021. 8. 11. latency가 긴 link에 대해 Performance SLA 설정 방법 SD-WAN Link중에 Latency가 500ms 이상 긴 latency를 가진 Link의 경우 Performace SLA를 설정하면, Link가 Down 된 것으로 표시된다. (실제로 down 아니지만..) 이유는 default 설정으로 probe-timeout이 500ms 설정 되어 있기 때문이다. 응답이 500ms 이내에 도착하지 않으면 packet-loss로 간주된다. 해결방법은 probe-timeout을 실제 latency보다 길게 설정하는 방법이다. 펌웨어 버전에 따라 명령어가 다르다. FortiOS 6.2. # config system virtual-wan-link # config health-check edit set probe-timeout 2000 FortiOS 6.4 and 7.0... 2021. 7. 14. SD-WAN에서 reply 트래픽 경로 때문에 VIP가 동작하지 않을 경우 SD-WAN에서 VIP가 정상적으로 동작하지 않을 수 있다. 예를들어 wan1, wan2가 SD-WAN 멤버인 상황에서, 아래 그림 처럼 VIP 접속이 wan1 인터페이스로 들어오고 그에대한 reply가 SD-WAN 설정에 따라 wan2가 최적의 경로가 되어 발생하는 문제이다. 해결은 auxiliary-session 설정을 disable 해야 한다. (default가 disable) # config system settings set auxiliary-session disable end auxiliary-session 설정이 disable 되어 있으면, SD-WAN 최적의 경로와 상관없이 원래 들어온 인터페이스를 통해 응답한다. 만약 auxiliary-session 설정이 enable이라면 최적의 경로를.. 2021. 5. 20. MAC Address를 이용한 SD-WAN rule 설정 FortiOS v6.4.2 부터 MAC Address 객체를 이용하여 SD-WAN rule 과 Policy Route 설정이 가능하다. (SD-WAN rule은 Policy route로 동작한다.) MAC Address 객체를 정의한다. MAC Address를 이용한 SD-WAN rule 설정은 CLI에서만 가능하다. Policy Route 설정은 GUI에서도 가능하다. 2021. 4. 8. Performance SLA 모니터링 방식 SD-WAN에서 SD-WAN Link 상태를 측정하여 다음 그래프로 표시된다. 위 그래프의 경우 각 인터페이스에 대해 측정한 마지막 10분간의 상태를 측정한 값을 보여준다. 아래의 Latency와 Jitter 시간은 해당 서버로 마지막 30개의 측정값을 기반으로 표시한다. Packet Loss는 마지막 100개의 측정값으로 백분율을 표시한다. 2021. 4. 7. 이전 1 2 3 4 다음
