전체 글961 사용자가 여러 usergroup에 포함된 경우 동작 방식 SSLVPN에서 사용자 인증은 방화벽 policy를 먼저 확인해서 인증을 진행한다.예를 들어 아래와 같이 사용자 그룹별로 다른 IP를 할당 받도록 설정한 상태에서, 한 사용자가 여러 그룹에 속한 경우의 예이다. 이 상태에서 방화벽 정책이 Group1이 상위에 있도록 설정하고 'willy' 사용자가 접속하면, Group1_portal의 IP를 할당 받게 된다. 방화벽 정책이 Group2이 상위에 있도록 설정하고 'willy' 사용자가 접속하면, Group2_portal의 IP를 할당 받게 된다. 만약 방화벽 정책에 사용자 그룹이 아니라 user(willy)가 직접 포함되면, SSLVPN portal 매핑은 또 달라진다. 2025. 4. 1. FortiManager/FortiAnalyzer의 TAC report 사이즈 줄이는 방법 FortiManager/FortiAnalyzer의 crashlog 양이 많아서 TAC report 사이즈가 지나치게 커질 수 있다.crashlog를 삭제한 후 TAC report를 생성하면 사이즈를 줄일수 있다. 1. 먼저 crashlog를 backup 받는다. (향후 사용할 수도 있기 때문에..) 아래 명령어 결과를 txt로 저장..# diagnose debug crashlog read 2. crashlog를삭제한다.# diagnose debug crashlog clear 3. TAC report를 생성한다.# execute tac report TAC report 사이즈를 줄임으로써 TAC 엔지니어가 효율적으로 TAC report를 분석할 수 있다. 2025. 4. 1. SD-WAN Cache 지우는 방법 가끔 SD-WAN 경로가 잘못된 인터페이스를 선택하거나 잘못 동작하는 경우가 있다. 이문제는 오래된 cache 항목이거나, cache 항목이 손상된 경우 발생한다.이 경우 cache를 삭제해서 문제를 해결할수 있다. SD-WAN cache를 삭제하는 방법은 아래의 명령어로 SD-WAN을 reset하는 방법이다. 2025. 4. 1. process가 동작중인 CPU core 확인 아래의 명령어를 이용하여 해당 프로세스가 사용하는 CPU core를 확인 할 수 있다.fnsysctl cat /proc//status명령어의 결과 하단의 'Cpus_allowed_list' 필드가 사용중인 CPU core를 나타낸다.위 'wad' 프로세스의 경우 CPU 0~7 까지 8개의 core를 사용중이다.만약 위 값이 한개일 경우 (e.g. Cpus_allowed_list: 0) 하나의 core에서만 사용중임을 알 수 있다. 2025. 3. 31. ‘Auto-Connect Only When Off-Fabric’ 기능 설명 'Auto Connect Only When Off-Fabric' 기능은 FortiClient 기기가 'off-fabric' 상태로 간주될 때 FortiClient 기기를 자동으로 VPN 연결 시도한다.이 기능은 'Always Up Max Tries' 에서 지정한 횟수와 상관없이 지속적으로 자동 연결을 시도한다. 'Always Up Max Tries’ 횟수는 'Always Up' 기능과 연관 되어 있다.'Auto Connect Only When Off-Fabric' 기능을 enable 하면 아래와 같이 'Always Up' 기능 설정은 사라진다. 2025. 3. 31. Dialup IPsec VPN에서 Dashboard에 사용자 정보가 표시되지 않는 경우 Dialup IPsec VPN에서 Dashboard의 'Assets & Identities'에 사용자 정보가 표시되지 않는 경우가 있다.이는 Log에서 사용자 정보를 표시하지 않는 이유와 동일하다. 사용자 정보를 표시하려면 IPsec VPN phase1 인터페이스가 아닌 방화벽 정책에서 사용자 그룹을 설정해야 한다.이는 IPsec IKEv1/IKEv2 동일하며, Entra ID SAML 인증 사용자도 표시 가능하다. 2025. 3. 31. dis sys session stat의 설명 tcp session 설명 'diagnose sys session stat'를 사용하여 FortiGate의 세션 통계(misc info:)와 다양한 TCP 세션 상태를 할 수 있다. TCP session의 state에 대한 설명이다. FortiGate에는 다음 4가지의 TCP timer 설정이 있다.set tcp-halfclose-timer 120set tcp-halfopen-timer 10set tcp-rst-timer 5set tcp-timewait-timer 1 "seesion count=173" 은 TCP, UDP, SCTP 세션을 포함한 FortiGate의 총 세션 수이다. ESTABLISHED : TCP 연결이 수립된 상태. 데이터 전송 단계에 대한 정상적인 상태. TCP half-open timer 상태에 따른 항목S.. 2025. 3. 28. 이전 1 2 3 4 ··· 138 다음