E aew meu povo, blz????
Correria tá grande, mas tirei um tempinho do sábado para subir um post novo.
Nesse post vamos aprender a configurar o recurso link-monitor, apesar de hoje já termos o SDWAN, muitas empresas, mesmo possuindo Fortigates em versões que já suportam essa tecnologia, ainda assim não a tem em uso.
Com isso o link-monitor é o recurso que temos para prover redundância quando usamos rotas estáticas, esse recurso é mais utilizado para prover redundância ao acesso a internet, porém ele pode ser usado em qualquer caso que você possua dois meios para chegar numa rede remota.
Basicamente o link-monitor, vai checar a conectividade com um destino especifico por meio do link configurado, caso não seja possível chegar ao destino especifico o link monitor vai remover todas as rotas usando o link especificado, da tabela de roteamento.
Esse recurso é bastante útil para validar uma comunicação que pode ficar indisponível mesmo que a interface (Porta Fisica ou Interface VPN) esteja UP.
Primeiro passo vai ser criar as rotas default em nosso Fortigate, uma para cada link.
É importante que o link principal tenha uma prioridade menor que a do link secundário.
Feito isso, vamos checar nossa tabela de roteamento.
Podemos ver as duas rotas que criamos inseridas na tabela de roteamento com suas respectivas prioridades.
Se parássemos aqui a nossa configuração e ocorresse do link da port1 ficar indisponível, o trafego passaria a ser redirecionado para o link na port2?
Depende. Se a interface conectada direto ao firewall ficar donw, sim. Caso contrario com a interface UP as rotas continuam na tabela.
Pelo fato da comunicação no link ficar indisponível não removeria a rota da tabela de roteamento, pois a interface a qual a rota está configurada continua UP, para isso é necessário ter o link-monitor configurado.
Quando uma interface tem seu status alterado para down, todas as rotas na tabela de roteamento associadas a essa interface, são removidas.
Conforme imagem acima, a configuração é bastante simples. Será necessário definir a interface de origem (que irá realizar a comunicação com o server especificado), feito isso é necessário definir o server. Aqui você pode definir mais de um servidor para que seja realizado o teste e por ultimo o gateway da interface de origem. Repita esse processo para todos os seus links.
Conforme a nossa topologia, nós configuramos o link da WAN1 com uma prioridade menor para que ele seja o link primário e o link da WAN2 só seja usado em caso de falha no link-monitor do link WAN1 (port1). O link-monitor desse link está verificando a comunicação com o IP 8.8.8.8, se por qualquer motivo o link-monitor for incapaz de se comunicar com o IP 8.8.8.8 ele automaticamente removera todas as rotas com a interface WAN1 da tabela de roteamento.
Vamos primeiro verificar se o tráfego do desktop está passando pelo link principal. Vamos gerar um tracert do desktop para www.
Tudo certo. Agora vamos derrubar a comunicação com 8.8.8.8 e ver como nosso firewall vai se comportar.
Sucesso.
Com a perda de comunicação com o 8.8.8.8 o link-monitor removeu a rota default por meio da port1 da tabela de roteamento.
Comunicação já passando pelo link da port2.
Quando a comunicação com o servidor 8.8.8.8 for normalizada, automaticamente a rota será reinserida na tabela de roteamento.
É isso ai galera.
Até o próximo post.
Contato para projetos, serviços e parceiras, click AQUI.