asymmetric3 Asymmetric routing : tcp-session-without-syn Asymmetric routing 환경에서, Syn 패킷이 아니면서 FortiGate에 세션도 없는 경우 세션을 만들어서 통과시키는 방법이다. 세션이 생성되기 때문에 로그를 남길 수 있으며 NP offload도 가능하다. 방화벽 정책을 매칭하여 세션을 생성한다. 이 기능을 이용하여 기존 세션이 존재하는 L2구간에 Transparent Mode로 들어갈때 기존 세션을 중단하지 않을 수 있다. 또한 기간이 아주 긴 장기 세션의 경우 방화벽의 세션 테이블에서 TTL로 삭제되고, Syn없이 클라이언트로 패킷을 먼저 보내는 경우도 해결 가능하다. tcp-session-without-syn 사용방법은 다음과 같다. 1. 먼저 System setting에서 tcp-session-without-syn 을 enable .. 2021. 1. 19. ECMP 상황에서 asymmetric routing이 발생한 경우 예를 들어 wan1, wan2 인터페이스가 ECMP로 동작중에 wan1으로 나갔던 세션에 대한 응답이 wan2로 들어 오는 경우 해결방법이다. # config system settings set auxiliary-sessions {disable | enable} end default로 해당 기능은 disable 되어 있다. SD-WAN 상황에서 VIP를 사용한다면 disable 해야한다. 참고 :: tcp-session-without-syn, asymroute 2021. 1. 19. asymroute enable 할 경우 FortiGate는? 일부 특정 네트워크에서는 요청과 응답이 다른 경로를 경유하면서, 요청과 응답이 동일한 방화벽을 통과하지 않는 경우를 비대칭(asymmetric) 라우팅이라 한다. A 방화벽에 Syn이 통과하고, B 방화벽으로 Ack이 오는 경우, B 방화벽은 세션이 없는데 Ack이 왔기 때문에 유효하지않다고 판단하고 패킷을 차단한다. 특별한 상황에서 비대칭(asymmetric) 라우팅을 허용해야 하는 경우 아래의 명령어로 가능하다. # config system settings set asymroute enable end 이렇게 asymroute를 enable 하는경우 보안 측면에서 굉장히 위험하다. 비대칭(asymmetric) 라우팅 상황이라면 라우팅 경로를 조절하여 비대칭(asymmetric) 라우팅이 발생하지 않도록.. 2021. 1. 19. 이전 1 다음
