Network×Network目次

スポンサードリンク

Fortigate セッションタイムアウト デフォルト値

Fortigateのセッションタイムアウトのデフォルト値は
すべてのプロトコル共通で3600秒(1時間)です。

この値のおかげでハマりました。
本社と拠点をVPNで接続していたのですが1拠点だけ諸事情で
Fortigateのファイアウォールを設置する必要がでてきました。
最終構成はこんな感じ。
セッションタイムアウト デフォルト

インターネット、本社へのVPN通信、メール、NAT、PINGなど
通信に特に問題は見られなかったのだがなぜか本社のAS400への
接続だけプチプチ切れていました。

接続方法はクライアントPCのPCOMM5250というエミュレーターソフト
を使用してAS400へTELNET(ポート番号23)を行っている模様。
※AS400については全く知らないです。

このPCOMM5250というエミュレーターソフトでTELNET接続
して一旦接続が切れると以前の情報が残らないようなので
かなり困りました。

そこでFortigateのTELNET(ポート23)の
セッションタイムアウト値を変更することにした。

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
◆TELNETポートのタイムアウト値変更
config system session-ttl
config port
edit 23
set protocol 6
set timeout 28800
set start-port 23
set end-port 23
end
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
※設定内容
edit 23 ←任意のポート番号を付けていい。0を指定すると自動採番。
set protocol 6 ←TCPを指定。
set timeout 28800 ←秒単位で指定。60(秒)×60(分)×8(時間)。
set start/end-port ←ポート番号23(TELNET)を指定。

これでTELNET(ポート番号23)のセッションタイムアウト値
だけ1時間→8時間へ変更されました。
そしてPCOMM5250とAS400の通信も切れなくなりました!

Fortigateファイアウォールの注意点はセッションタイムアウト値は
接続してからの時間だということ。
今回の例だと継続して接続していても強制的にセッションを
切断されてしまいました。。

[タイムアウト値 確認コマンド]
Fortigateのタイムアウト値変更後の
確認方法が記載されていなかったので追記。

<タイムアウト値確認方法その1>
FORTIGATE#config system session-ttl
FORTIGATE(session-ttl)#show port 1521
config port
edit 1521
set protocol 6
set timeout 7200
set start-port 1521
set end-port 1521
next
end
FORTIGATE(session-ttl)#


<タイムアウト値確認方法その2>
FORTIGATE#config system session-ttl
FORTIGATE(session-ttl)#config port
FORTIGATE(port)#get 1521
id : 1521
protocol : 6
timeout : 7200
start-port : 1521
end-port : 1521
FORTIGATE(port)#

赤くなっている箇所がタイムアウト値です。
デフォルトの1時間から2時間に変更されているのがわかります。

冗長化構成の場合は一台設定してしまえばもう
一台に反映されていました〜!
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのトラックバック

ブログパーツ
login

無料レンタル
login