[Fortigate-#19]- IP SLA

안녕하세요.

 

이번에는 Fortigate에서 IP SLA에 대해서 알아보겠습니다.

 

아래처럼 Fortigate입장에서 WAN 인터넷이 2개가 연결되어져 있고, AD값으로 

WAN01이 MAIN internet 

WAN02가 BACKUP internet으로 동작중에 INT-SW G0/0가 죽으면 Fortigate입장에서는 감지 할수 있는 방법이 없어서 계속 WAN01로 Traffic보내어서 PC가 통신이 불가능 합니다. 

 

WAN01 - Interface로 Ping 8.8.8.8 보내어서 응답이 없으면 Defualt Gateway를 WAN02변경해서 PC가 계속 외부로 통신이 가능 하도록 설정해보겠습니다. 

 

FortiGate-VM64-KVM # get router info routing-table all  Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP        O - OSPF, IA - OSPF inter area        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2        E1 - OSPF external type 1, E2 - OSPF external type 2        i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area        * - candidate default Routing table for VRF=0 S*      0.0.0.0/0 [10/0] via 202.14.X.X, port1, [1/0] C       10.1.1.0/24 is directly connected, port3

 

외부로 통신이 가능 합니다. 

 

INT-SW01에서 Int G0/0 Shutdown 합니다. 

en conf t int g0/0 sh

 

PC에서 통신이 불가능 합니다.

 

그 이유는 방화벽 입장에서 직접 물리적으로 연결된 링크가 죽은게 아니기때문에, 감지를 못합니다. 

계속 Port1로 패킷을 보내고 있습니다. 

 

FortiGate-VM64-KVM # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP        O - OSPF, IA - OSPF inter area        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2        E1 - OSPF external type 1, E2 - OSPF external type 2        i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area        * - candidate default Routing table for VRF=0 S*      0.0.0.0/0 [10/0] via 202.14.X.X, port1, [1/0] C       10.1.1.0/24 is directly connected, port3

 

Fortigate 에서 IP SLA 설정 합니다.

FortiGate-VM64-KVM # config  system link-monitor  FortiGate-VM64-KVM (link-monitor) # edit pri new entry 'pri' added FortiGate-VM64-KVM (pri) # set srcintf port1 FortiGate-VM64-KVM (pri) # set source-ip 202.14.X.X FortiGate-VM64-KVM (pri) # set server 8.8.8.8 FortiGate-VM64-KVM (pri) # get name                : pri addr-mode           : ipv4  srcintf             : port1  server-config       : default  server              : "8.8.8.8" protocol            : ping  gateway-ip          : 0.0.0.0 route               : source-ip           : 202.14.X.X interval            : 500 probe-timeout       : 500 failtime            : 5 recoverytime        : 5 probe-count         : 30 ha-priority         : 1 update-cascade-interface: enable  update-static-route : enable  update-policy-route : enable  status              : enable  diffservcode        : 000000 class-id            : 0 service-detection   : disable  FortiGate-VM64-KVM (pri) # FortiGate-VM64-KVM (pri) # show config system link-monitor     edit "pri"         set srcintf "port1"         set server "8.8.8.8"         set source-ip 202.14.X.X     next end

 

FortiGate-VM64-KVM # diagnose sys link-monitor status pri Link Monitor: pri, Status: dead, Server num(1), HA state: local(dead), shared(dead) Flags=0x9 init log_downgateway, Create time: Fri Dec 27 18:45:55 2024 Source interface: port1 (3) Source IP: 202.14.X.X Interval: 500 ms Service-detect: disable Diffservcode: 000000 Class-ID: 0   Peer: 8.8.8.8(8.8.8.8)          Source IP(202.14.X.X)         Route: 202.14.X.X->8.8.8.8/32, gwy(202.14.X.X)         protocol: ping, state: dead                 Packet lost: 100.000%                 Number of out-of-sequence packets: 0                 Recovery times(0/5) Fail Times(2/5)                 Packet sent: 18, received: 0, Sequence(sent/rcvd/exp): 19/0/0

 

PC가 정상적으로 외부로 통신이 가능 합니다. 

 

아래처럼 디폴트 게이트웨이가 Port2로 변경 되었습니다. 

FortiGate-VM64-KVM # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP        O - OSPF, IA - OSPF inter area        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2        E1 - OSPF external type 1, E2 - OSPF external type 2        i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area        * - candidate default Routing table for VRF=0 S*      0.0.0.0/0 [150/0] via 202.14.X.X, port2, [1/0] C       10.1.1.0/24 is directly connected, port3

 

INT_SW01에서 int g0/0 no shutdown해서 인터페이스를 살립니다.

en conf t int g0/0 no sh

 

그리고 IP SLA상태를 확인 합니다. Status alive입니다. 

FortiGate-VM64-KVM # diagnose sys link-monitor status pri Link Monitor: pri, Status: alive, Server num(1), HA state: local(alive), shared(alive) Flags=0x1 init, Create time: Fri Dec 27 18:45:55 2024 Source interface: port1 (3) Source IP: 202.14.X.X Interval: 500 ms Service-detect: disable Diffservcode: 000000 Class-ID: 0   Peer: 8.8.8.8(8.8.8.8)          Source IP(202.14.X.X)         Route: 202.14.X.X->8.8.8.8/32, gwy(202.14.X.X)         protocol: ping, state: alive                 Latency(Min/Max/Avg): 3.238/7.040/3.807 ms                 Jitter(Min/Max/Avg): 0.024/3.550/0.523 ms                 Packet lost: 51.000%                 Number of out-of-sequence packets: 0                 Fail Times(0/5)                 Packet sent: 881, received: 49, Sequence(sent/rcvd/exp): 882/882/883 FortiGate-VM64-KVM #

 

라우팅 테이블을 확인 합니다.

Port2에서 Port1으로 변경 되었습니다. 

FortiGate-VM64-KVM # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP        O - OSPF, IA - OSPF inter area        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2        E1 - OSPF external type 1, E2 - OSPF external type 2        i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area        * - candidate default Routing table for VRF=0 S*      0.0.0.0/0 [10/0] via 202.14.X.X, port1, [1/0] C       10.1.1.0/24 is directly connected, port3

 

PC에서 확인 한 결과 정상적으로 동작 중 입니다. 

 

지금까지 [Fortigate-#19]- IP SLA  글을 읽어주셔서 감사합니다.