참고

● 논리적 인터페이스의 기본 인터페이스 유형은 vlan

 

● 기본적으로 모든 포트는 하드 스위치 "lan"에 바인딩됩니다. 그래서 lan 하드 스위치에서 lan1을 제거하기 전까지는 lan1을 직접 구성할 수 없습니다.

 

● FortiGate 장비에서 vDOM (Virtual Domain)은 멀티 테넌트(Multi-Tenant) 환경을 지원하기 위해 도입된 가상화 기술로 하나의 장비 내에서 논리적으로 여러 개의 독립적인 방화벽 인스턴스로 분할할 수 있는 기능이다.
각 vDOM은 별도의 방화벽 인스턴스처럼 동작하며, 다음과 같은 요소를 개별적으로 관리할 수 있다.

 방화벽 정책(Firewall Policy)
 라우팅 테이블(Routing Table)
 인터페이스 설정(Interface Configuration)
 VPN 설정(VPN Configuration)
 로그(Log) 및 모니터링(Monitoring)

vDOM의 주요 특징
완전한 독립성

각 vDOM은 독립적인 설정을 가짐
개별적인 사용자 인증 및 관리 가능
하나의 vDOM 변경이 다른 vDOM에 영향을 주지 않음
자원 할당 가능

CPU, 메모리, 세션 등의 시스템 리소스를 특정 vDOM에 할당 가능
관리자 역할 분리 가능

특정 vDOM만 관리할 수 있는 Admin 사용자 생성 가능
글로벌 관리자(Global Admin)와 개별 vDOM 관리자(vDOM Admin)로 구분 가능
vDOM 간 트래픽 제어 가능

vDOM 간에 트래픽을 주고받아야 할 경우, 인터-vDOM 링크(Inter-vDOM Link) 설정 가능
NAT 및 정책을 활용해 vDOM 간 통신을 제어 가능

 

● Hyperscale에 대해
FortiGate의 하이퍼스케일 기능은 대규모 데이터 센터와 5G 네트워크에 대한 보안 성능과 확장성을 제공하고 NP7 프로세서를 기반으로 40Gbps 및 100Gbps를 지원 및 고속 데이터 전송과 뛰어난 확장성, 가속 기능을 제공합니다.

 

 

 

 

 

 

 

----------------------------------------------------------------------------------

 

● 활성화 및 multi-vdom 모드 설정
1. GUI
system > setting > System Operation Settings (Virtual Domains 활성화)

1. CLI
config global
config system global
  set vdom-mode multi-vdom
end

----------------------------------------------------------------------------------

● 생성 (multi-vdom 모드 설정 후)
1. GUI
system > vdom > create new

1. CLI
# config vdom 
(vdom) # edit <name>

2. vdom 생성 후 Hyperscale full-offload 설정
config vdom > edit NAT_11-hw01 > config system settings 
FortiGate-CGNAT (settings) #
    set policy-offload-level full-offload
end

----------------------------------------------------------------------------------

● Hyperscale에 대해

FortiGate의 하이퍼스케일 기능은 대규모 데이터 센터와 5G 네트워크에 대한 보안 성능과 확장성을 제공하고 NP7 프로세서를 기반으로 40Gbps 및 100Gbps를 지원 및 고속 데이터 전송과 뛰어난 확장성, 가속 기능을 제공합니다.

● set policy-offload-level 옵션.

 - default : 트래픽 유형과 방화벽 정책에 따라 자동으로 하드웨어(ASIC) 처리 또는 소프트웨어 처리(CPU)를 전환하며 동작.
 - ipsec-offload : ipsec 트래픽에 대해 하드웨어 가속을 적용. 나머지 트래픽은 default 동작.
 - full-offload : 일부 경우를 제외한 트래픽 처리를 CPU를 우회하여 전용 프로세서(NP)에서 처리하여 CPU 부하를 줄이고 대용량 트래픽 환경에서 고속 패킷 처리 성능을 극대화.