Fortigate link-monitor 類似 IP SLA


Fortigate也有類似Cisco IP SLA 的功能,叫做 link-monitor
以前Fortigate有GUI,後來只剩下CLI。

link-monitor,可以監控介面和Ping對方位置,如果Ping不到,會認定這條線路不能用而變更路由。
這個功能可以在不使用WAN Loadbalance的狀況下,使多條WAN可以做為備援。
與WAN Load Balance不同的是,WAN Load Balance是屬於 Active Active Mode,而link-monitor是 Active Passive Mode。

設定方法:

config system link-monitor  #進到link-monitor設定模式
  edit wan1                 #建立或修改link-monitor,名稱可以自行設定,建議與介面名相同
    set srcintf wan1        #設定要被監控的介面,Ping封包會從這個介面出去
    set gateway-ip 123.123.123.123 #Gateway位置,用來轉送Ping封包用
    set server 168.95.1.1   #要Ping的位置,建議用對方的gateway
    set source-ip 123.1.1.1 #Ping封包的來源IP,可以不設定,預設會用監控介面的IP
    set protocol ping       #設定ping的方法,方法有http和ping
    set interval 3          #兩次發送Ping封包的間隔,單位秒,預設 5
    set timeout 1           #Ping封包的tiemout時間,單位秒,預設 1
    set failtime 3          #掉封包幾次,會認定線路不能用,預設 5
    set recoverytime 5      #當線路是"不能用"的狀態時,連續Ping到幾次才會恢復,預設 5
    set update-cascade-interface disable #當不能用時,同時會讓介面shutdown
    set update-static-route enable #當線路不能用/恢復時,會同時變更路由
    set status enable       #是否啟用這條link-monitor

留言

發佈留言

此網誌的熱門文章

WPA_supplicant的設定方式

wpa_supplicant設定檔大致分成三個區塊,這邊的例子主要介紹網路設定區塊 1. 全域設定 (Global configuration) 2. 驗證設定區塊 (credential block) 3. 網路設定區塊 (network block) 全域設定 這裡的設定會套用到全部的「網路設定區塊」 驗證設定 專門設定802.11u的相關驗證設定 網路設定 要連線到AP的相關設定,也是最主要的設定 採用的是由上到下,第一個符合就使用的規則 也可以用priority修改優先使用的順序 無線網路的一些基本說明 驗證方式 目前常用的驗證方式有 兩種 : WPA和WPA2(RSN) 一般WPA會配合TKIP加密 而WPA2會配合AES(CCMP)加密 有些高級的AP可以混搭使用,如WPA2使用TKIP加密 輸入密碼的方式 分兩種 PSK : AP預先打好一組密碼,使用者要連線就要輸入相同的密碼。 有些AP會稱為「個人」(Personal) EAP : 密碼自動產生。使用者需要經過認證(如輸入帳號和密碼)才能加入AP。 有些AP會稱為「企業」(Enterprise) 注 : 全域設定要有這兩行,最好是放在最上面 ctrl_interface=/var/run/wpa_supplicant #讓supplicant可以建立行程pid update_config=1 #讓wpa_cli程式可以更新控制wpa_supplicant 常見的例子 想直接設定的人可以看底下的常用例子 例子1 使用 WPA/TKIP ,密碼是用PSK的方式 network={ ssid="你的SSID名稱,限英文" proto=WPA                     #要用WPA或WPA2 key_mgmt=WPA-PSK    #要用PSK或EAP pairwise=TKIP                #要用AES(CCMP)或TKIP加密 group=TKIP                    #廣播和群播在用的加密 psk=無線網路的密碼          #psk的密碼,如果用key_mgmt=WPA-PSK,就必須要有 }
閱讀更多

DOS指令 -- SET和變數

DOS指令 -- SET變數 Dos的SET功能很強大也很困擾,這邊說一下筆者會用到的SET功能和變數 在Dos中,set用來建立變數和指定變數的值 在批次檔中使用set指令的時候,建議使用 setlocal/endlocal 如 : setlocal set a=1 set b=2 endlocal 如果有用到IF或FOR,可以使用參數enableextensions enabledelayedexpansion 如 : setlocal enableextensions enabledelayedexpansion for /L %%a in (1,1,3) do ( set a=!a!+%%a ) echo %a% endlocal 實際的使用方式可以參考 --這裡-- SET的基本功能 指定變數 set aaa=World!! set bbb=100 set後面加上的文字是變數, "=" 後面的任何文字就是這個變數的值 如果輸入的是數字,SET會自動判斷。如果數字的第一個字是 0 會被判定為8進位,如 : 07 注意 : =符號的前後不要空白,會被判定為文字 變數四則運算 set /a aaa=5+6  aaa=11 set /a x=5%%2        //在set /?裡面是寫一個%,如果是在批次檔內要用兩個% x=1 set /a bbb=2*(5+2) bbb=14 set ccc=4 set /a ccc*=5       //這個等於 ccc=%ccc%*5 ccc=20 set x=5 set y=2 set /a x-=%y%-1 x=4 在set後面加上 /a ,就可以進行運算相對應的符號有 + 加號,- 減號, / 除號, * 乘號 %% 為除完後的餘數 ( )內的運算會優先執行,就跟真實環境的四則運算一樣 如果要自己對自己運算(如第三個例子),可以把運算符號放在 = 的前面 第四個例子比較特別,會先把=號右邊算完,才會進行 -=的運算 讓使用者自行填入變數 set /p x=請填入生日: echo %x% 輸出: 請填入生日: 1234  <--1234是筆者填入的數字
閱讀更多

Nginx server 和 location 優先順序

Nginx是一個輕量形的 WEB 伺服器,功能很強大。 其中 server 和 location 可以有很多種的設定方式,也因此需要有個機制去選擇出到底該用哪一個。 這篇文章會說明 Nginx 選擇 server 和 location 的方法。 Server 當設定檔中有多個 server (...) 區塊,Nginx會怎麼選擇呢? server的選擇相對比較簡單,在開始之前,要先了解Nginx怎麼編譯 Server 裡面的 listen 。 預設的 listen 通常是 : listen 80 default_server; 但是一個完整的描述方法因該是: listen IP:PORT; 而缺少的部分(不管是缺少IP還是Port號)Nginx會自動使用預設值補齊。 補齊的方式如下 缺少IP 如 listen 80;,Nginx會自動補0.0.0.0,變成 : listen 0.0.0.0:80; 缺少Port 如 listen 10.1.1.1;,Nginx會自動補80 Port號,變成 : listen 10.1.1.1:80; 兩個都缺 也就是沒有使用 listen ,nginx會自動補上 listen 0.0.0.0:80; 知道自動補齊的方法後,就可以開始討論選擇server的順序。 首先 Nginx會先檢查 IP:Port 的匹配。 選擇順序為 listen 有指定IP (如 10.1.1.1) listen 無指定或使用0.0.0.0 第二 比對 server_name 當第一個IP:Port匹配檢查完後,發現有多個符合的結果,才會繼續比對。 選擇順序為 1. 完整比對到server_name,如 server_name www.example.com; 2. server_name前面有 * 符號,如 server_name *.example.com; 3. server_name後面有 * 符號,如 server_name www.*; 4. server_name是正規表示法,如 server_name ~www.example[1-3].com; 5. 全部的server_name都不匹配,此時Nginx會使用 listen 後面有 defa
閱讀更多