Guías técnicas
FortiProxy: Mejores Prácticas
Si bien la documentación disponible docs.fortinet.com es bastante completa y nos ayuda a realizar el despliegue inicial de la solución, conforme vayamos tomando más experiencia es bueno contar con algunas de las sugerencias mencionadas a continuación que nos ayudarán a darle un mejor uso y sacar el mejor provecho de la solución.
Memoria
- Deshabilitar el logging en la memoria y configurarlo para hacerlo en el disco o externamente en FortiAnalyzer, FortiCloud o un Syslog server.
- Por defecto, FortiProxy intentará utilizar la mayor cantidad de memoria posible (~90%). Esto es para acelerar la entrega del contenido y es el comportamiento esperado.
- En el widget de memoria del tablero de mandos, se ve la memoria “recuperable” o “reclaimable” que puede ser liberada bajo la petición del sistema.
Disco
- Utilice al menos dos discos con su VM de FortiProxy.
- El primer disco para logging, el segundo y los adicionales para WAN Opt/Web-caching.
- Normalmente se necesita agregar manualmente el 2º disco en el hipervisor y formatear luego con FortiProxy.
FPX1# execute disk list
Disk HD1 ref: 16 10.0GiB type: SSD [ATA QEMU HARDDISK] dev: /dev/sdb
partition ref: 17 9.8GiB, 9.7GiB free mounted: Y label: LOGUSEDXAF95E111 dev: /dev/sdb1 start: 2048
Disk HD2 ref: 32 20.0GiB type: SSD [ATA QEMU HARDDISK] dev: /dev/sdc
partition ref: 33 5.5GiB, 5.5GiB free mounted: Y label: WANOPTXXDF7FD1F2 dev: /dev/sdc1 start: 2048
partition ref: 34 972.0MiB, 972.0MiB free mounted: N label: dev: /dev/sdc2 start: 11950080
partition ref: 35 12.3GiB, 12.3GiB free mounted: N label: dev: /dev/sdc3 start: 13942784
FPx1# execute disk format 32 (ref:)
Doble almacenamiento de WebCache
Por defecto, la mitad del almacenamiento disponible en la caché se dividirá en WANopt y WebCache. Puede asignar todo al WebCache si no se utiliza WANopt.
config system storage
edit “HD2”
set usage wanopt
set wanopt-mode webcache
next
Escalabilidad
Red
- Utilice IP-Pool para permitir una gran cantidad de sesiones.
- FortiProxy se utiliza a menudo en entornos para soportar a muchos usuarios. Esto requiere muchas sesiones salientes de TCP para las cuales se necesitan puertos altos para hacer PAT. Tener una sola salida SRC-IP (interfaz) le limitará a ~65K sesiones.