FortiGate633 SNAT을 사용하지 않는 세션에 대해 Routing이 변경된 경우 SNAT(Source NAT)이 설정되지 않은 세션의 경우 라우팅이 변경되면, 변경된 라우팅에 영향을 받는 세션 정보에서 라우팅 정보및 라우팅 캐시는 삭제되고, 세션의 state flag가 dirty로 변경되어 라우팅 조회를 다신 수행하게 한다. 다음 명령어를 이용하여 라우팅 영향을 받은 기존 세션을 그대로 유지 할 수도 있다. disable : 모든 세션에 대해 세션 테이블에서 라우팅 정보를 삭제하고, 새로운 패킷에 대해 routing lookup 수행 enable : 기존 세션 정보 계속 유지. 신규 세션에 대해서는 변경된 라우팅 적용 2021. 3. 12. FortiGate : link-monitor 실패시 static route 동작 방식 Link-monitor 기능은 다양한 프로토콜((ping, tcp-echo, udp-echo, http 또는 twamp)을 이용하여, 특정 서버로의 연결 상태를 모니터링 한다. default 설정이 "set update-static-route enable"이기 때문에, 설정된 link-monitor가 실패하면 관련된 static route를 삭제한다. 아래처럼 static route가 설정되어 있을 경우의 예를 살펴본다. 라우팅 테이블은 다음과 같다. Link-monitor 설정은 다음과 같이 설정 되어 있다. 이 상황에서 Link-monitor가 실패 한다면.... 라우팅 테이블은 다음과 같이 Link-monitor와 관련된 static route가 삭제된다. 동일한 wan1 인터페이스로 3개의 sta.. 2021. 3. 11. FortiGate : Gratuitous ARP (GARP) Gratuitous ARP (GARP)는 IP가 변경된 host 등에서 IP 충돌 또는 IP 사용을 알리는 목적으로 보낸 ARP의 일종이다. 즉 장비가 ARP 브로드캐스트를 통해 다른 장비에게 네트워크에 있는 자신의 존재를 알리는 목적으로 사용되는 ARP를 말한다. FortiGate의 경우 대표적으로 HA A-P 구조에서 Primary 장비가 변경되면, 새로운 Primary 장비가 GARP를 날려 Primary 가 변경 되었음을 상/하단 스위치 장비에게 알린다. FortiGate가 다른 장비로부터 GARP를 수신했을때 동작하는 방법은 상황에 따라 다르게 동작한다. 1. FortiGate 자신의 arp list에 존재하는 host로 부터의 GARP 수신 이경우는 수신한 GARP정보를 이용하여 해당 IP의 .. 2021. 3. 10. FortiGate DNS Query 방식 FortiGate에는 FortiGate 자신이 DNS query를 하기위해 DNS 서버가 설정되어 있다. FortiGuard 업데이트 서버를 검색하거나, FQDN으로 설정된 address의 IP를 검색하는데 사용된다. 이런 DNS 서버는 Primary와 Secondary로 2개의 서버가 설정되어 있다. FortiGate가 DNS query를 할때, 항상 먼저 Primary로 query하지 않는다. query는 latency가 낮은 서버로 먼저 query 한다. 위 그림에서 Secondary DNS(1.1.1.1)의 latency가 Primary보다 낮기 때문에 1.1.1.1로 DNS query 하는 것이 확인된다. 만약 2개의 latency 차이가 거의 없이 비슷하면 Primary로 query 한다. 2021. 3. 10. SSLVPN) Split Tunnel 에서 FQDN Address 사용 FQDN 방식의 Address는 SSLVPN Portal 설정에서 Split routing address로 사용할 수 없다. 이런 경우 Split routing Address 를 동적으로 설정하는 방법처럼, Split routing Address 설정을 비워놓고 방화벽 정책에서 설정하는 방법을 사용 할 수 있다. 사용자가 SSLVPN 로그인하여 라우팅 테이블을 확인해 보면 아래처럼 FQDN address에 대해 Split Routing 되어 있다. 주의) FQDN으로 설정한 Address에 대해 ForitGate가 DNS query하여 IP Address를 획득해야 한다. 2021. 3. 8. 이전 1 ··· 102 103 104 105 106 107 108 ··· 127 다음
