Вы здесь

ГлавнаяСтатьиSecurity

Fortigate 7.2 и Link Health Monitor

пн, 16/12/2024 - 16:55 — vs

Статические маршруты на то и статические, что находятся в таблице маршрутизации всегда, кроме случаев, когда ассоциированный интерфейс FG уходит в Down, или не появится дублированный маршрут, но с меньшей Distance. В таком поведении есть большой минус, т.к. линк может упасть далеко не только на FG, а где-нибудь дальше. Как итог мы получаем падение сервиса.

Link Health Monitor - позволяет FG обнаружить подобные сбои, т.е. когда проблема оказалась где-то за пределами локального физического подключения FG.
FG периодически проверяет через настроенный интерфейс и шлюз доступность до 4-х IP адресов (beacons).
Вначале линк считается живым. Если FG обнаруживает 5 сбоев на каждом настроенном сервере, данный линк помечается как Dead.
Данное событие может быть триггером для обновления маршрутов.

FG поддерживает несколько протоколов для Link Health Monitor.
Чаще всего используют Ping.
Наиболее точным считается TWAMP:
Two Way Active Measurement Protocol, стандарт RFC 5357.
TWAMP замеряет Two-Way, т.е. время запрос-ответ.
TWAMP оперирует с часами, и для её работы необходимо, чтобы на обоих машинах было настроено точное время.
Для работы на одной машине запускаем twamp responder, на другой twamp client.
Link Health Monitor использует client-side, т.е. подключается к удалённому серверу и делает замеры.
TWAMP работает с двумя сессиями: control и test. Если Authentication disabled (а она отключена по умолчанию), FG использует только test.
FG использует TCP/862 для обоих сессий, который можно поменять.

Пример настройки Link Health Monitor

fgt-01 (root) # show system link-monitor 
config system link-monitor
    edit "TTK_Monitor"
        set server "8.8.8.8" "4.2.2.2" "8.8.4.4" "4.2.2.1"
        set gateway-ip 21.41.134.9
        set source-ip 21.41.134.10
        set interval 30000
        set probe-timeout 2000
        set update-cascade-interface disable
        set update-static-route disable
        set update-policy-route disable
    next
    edit "Beeline_Monitor"
        set server "8.8.8.8" "4.2.2.2" "8.8.4.4" "4.2.2.1"
        set gateway-ip 112.11.206.61
        set source-ip 112.11.206.62
        set interval 30000
        set probe-timeout 2000
        set update-cascade-interface disable
        set update-static-route disable
        set update-policy-route disable
    next
end

Проверка

diagnose sys link-monitor status

Добавить комментарий

Более подробная информация о текстовых форматах

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image