SESSION9 Conserve mode를 피하기 위한 메모리 확보 방법 FortiGate는 메모리 사용률이 높아지면, FortiGate 스스로 자신을 보호하기 위해 Conserve mode에 들어가게 된다. Conserve mode에 들어가게 되면 FortiGate는 스스로 메모리를 낮추기위해, 새로운 세션을 연결을 차단하거나 연결을 허용하더라도 AV, IPS 등 보안 기능이 동작하지 않을 수 있다. 만약 자주 Conserve mode에 진입하게 되면, 트래픽이나 세션이 갑자기 많아진 이유나 현재 장비의 모델이 낮은것은 아닌지 이유를 파악하고 대처해야 한다. AV나 IPS 등 보안 기능을 해제하여 메모리를 낮출 수도 있지만, 본 포스팅에서는 보안 기능은 유지하고 공유메모리를 사용률을 낮추어 Conserve 모드에 진입하는 것을 피하는 방법이다. 아래 값은 예제일 뿐 현장 환.. 2022. 12. 30. 세션 정보(diag sys session list)에서 in/out Interface ID 확인하는 방법 # diag sys session list 에서 세션이 통과하는 in/out 인터페이스의 인덱스가 표시된다. 하지만 이는 숫자로만 표시되어 FortiGate의 어떤 인터페이스인지 바로 확인이 어렵다. Interface ID를 확인하는 명령어는 다음과 같다. # diagnose net interface list 추가적으로 # get router info kernel 명령어로도 확인 가능하다. 2022. 2. 14. 'Dirty' session 의미 다음과 같이 세션의 정보를 확인해보면, 상태정보에 'dirty' 'may_dirty' 등 여러 상태 정보들을 표시한다. 이 포스팅에서는 'dirty' 세션이 무언인지? 세션의 상태정보가 'dirty'로 설정되는 이유는 무엇인지? 알아본다. FortiGate는 세션의 첫번째 패킷(예: SYN)을 수신하면, 방화벽 정책에 따라 트래픽을 허용할것인지 차단할것인지 CPU에서 판단하게 된다. 이 판단은 방화벽 정책이 변경되지 않는한 세션의 첫번째 패킷에 대해서만 수행한다. 방화벽 정책에서 트래픽을 허용할 경우 FortiGate는 세션을 생성하고, 세션의 상태정보를 'may_dirty'로 설정한다. 'may_dirty'로 설정된 세션은 방화벽 정책의 변경이나 네트워크 변경등이 없을 경우 CPU의 재 평가 없이 기존.. 2021. 1. 27. ECMP 상황에서 asymmetric routing이 발생한 경우 예를 들어 wan1, wan2 인터페이스가 ECMP로 동작중에 wan1으로 나갔던 세션에 대한 응답이 wan2로 들어 오는 경우 해결방법이다. # config system settings set auxiliary-sessions {disable | enable} end default로 해당 기능은 disable 되어 있다. SD-WAN 상황에서 VIP를 사용한다면 disable 해야한다. 참고 :: tcp-session-without-syn, asymroute 2021. 1. 19. session timeout 무한대로 설정하기 FortiOS 6.4에서 설정 가능 자동 재연결 기능이 없는 레거시 어플리케이션이나 시스템에 영구적으로 연결할 수 있도록 session-ttl 설정을 무한대로 설정 할 수 있다. 설정 대상은 방화벽 서비스, policy, VDOM에 대해 적용 가능하다. 메모리 사용률을 고려하여, 꼭 필요한 서비스 또는 policy에만 적용 하도록 주의 해야 한다. Custom service에 세션을 무한대로 설정 하는 예. config firewall service custom edit "tcp_23" set tcp-portrange 23 set session-ttl never next end 방화벽 정책에 사용 하는 예 CLI에서 "?"를 이용하여 확인하면 never는 설명에 표시되지 않는다. 무시하고 "never" .. 2021. 1. 7. 이전 1 2 다음
