Fortigate link monitor (ha, standalone) 링크모니터 설정 방법
안녕하세요
포티게이트에서 링크모니터 설정하는 방법을 공유하고자 합니다.
■ 링크 모니터 설정 이유
- 인터페이스 단절 없이 통신만 불가한 이슈가 발생하는 경우 페일오버가 불가하여 이중화구성을 하고도 장애가 발생합니니다.
-> 이런 경우 실제 통신을 체크할 수 있는 링크모니터를 설정하여 핑서버로의 통신이 떨어졌을 때 페일오버하도록 설정할 때 사용하고 있습니다.
■ 설정 방법
1) 링크 모니터 설정
MASTER #
config system link-monitor
edit ""1""
set srcintf ""포트번호"" < ping 체크를 진행할 인터페이스 번호
set server ""8.8.8.8"" ""ping server 2"" ""ping server 3"" < 모니터링 서버 목록
set ha-priority 10 < 가중치
set update-static-route disable < link monitor 실패 시 라우팅 업데이트 여부
next
end"
* 단일 구성인 경우 여기까지 설정
** 핑서버는 게이트웨이 한개, 외부의 핑서버 두개를 추천
2) HA 설정
config system ha
set pingserver-monitor-interface ""포트번호""< 링크모니터 인터페이스 번호
set pingserver-failover-threshold 10 < ha priority 값이 해당 수치에 도달하면 failover 동작
set pingserver-flip-timeout 10 < failover 동작 시 10분간은 failback 동작 방지
end
* link monitor를 여러개 운영하는 경우 각각의 ha priority 가중치를 주고 threshold 도달 시 failover 동작하게 할 수 있음
link monitor를 한개만 운영하는 경우 ha-priority 값과 threshold 값은 동일하게 맞춰줘야함
** pingserver-flip-timeout <분> : ping 체크하는 곳이 이상동작하여 정상 응답을 못주는 경우 장비가 failover/failback을 반복함.
이를 방지하기 위해 한번 넘어가면 일정시간동안 failover/failback 동작을 방지하여 해당 시간 동안 담당자가 점검할 수 있는 환경을 만들어줌.
■ 동작 테스트
case 1) ping server 8.8.8.8 1ea 통신 불가 시 failover 진행되지 않음
case 2) ping server 8.8.8.8, 1.1.1.1 2ea 통신 불가 시 failover 진행되지 않음
case 3) ping server 8.8.8.8, 1.1.1.1, 203.248.240.140 3ea 전체 통신 불가 시 failover 동작
단절 후 SLAVE 로 전환 / 핑서버 정상화
Technical Tip: How to set HA ping server threshold
Description The link monitor is used monitor the network units which is not directly connected to the cluster and can use this link-monitor for HA failover if it fails. The pingserver-failover-threshold value has to be configured appropriately in the HA se
community.fortinet.com
인프라 고도화 시 검토해보면 좋을 내용 같습니다.
궁금한 점은 댓글 남겨주세요~