Time Sync 문제 : ‘Authorize’ 했지만, ‘Offline’ 상태인 경우

FortiSwitch를 FortiGate에서 관리하기 위해, 서로 연결한 후 FortiGate에서 FortiSwitch를 ‘Authorize’ 했지만 'Offline’ 상태인 경우가 있다.

‘Authorize’를 하면 FortiSwitch가 리부팅 되지만, 리부팅 후 아래와 같이 여전히 "Offline' 상태로 연결이 되지 않는다.

 

FortiSwtich에서 "get sys status"  명령어로 확인해 보면 FortiGate와 시간이 다름을 알 수 있다. FortiGate와 FortiSwitch의 시간이 다를 경우 DTLS 연결이 실패하게 된다. 

기본적으로 FortiGate의 FortiLink 인터페이스가 NTP 서버가 되어, FortiSwitch는 ‘Authorize’ 되면서 FortiGate와 시간이 동기화 된다. 

위의 경우 FortiGate 와 NTP를 통한 동기화에 실패한 경우이다. FortiSwitch가 리부팅 되면서 NTP 시간 동기화에 실패할 경우, 시간은 Default로 1970-01-01 00:00:00 로 시작된다. Default timezone이 "Pacific Time (US & Canada) (GMT-8:00) 이라서 1969-12-31 16:00:00 부터 시작한 것이다.

 

FortiGate에서 Debug해보면 DTLS handshake 과정에서 Error가 발생하는 것을 알 수 있다.

 

Time Sync 문제의 원인은 FotiGate에서 NTP서버가 제대로 동작하지 않기 때문이다. 아래와 같이 시간 설정을 "Manual settings"으로 하면, NTP Server가 enable 되어 있어도 NTP 데몬이 동작하지 않기 때문에 NTP Server의 역할을 할 수 없다.

https://ebt-forti.tistory.com/332

 

시간 설정을 외부 NTP 서버와 동기화 하게 되면, 아래와 같이 DTLS가 정상적으로 완료되어 CAPWAP Tunnel이 UP 되고, FortiGate와 FortiSwitch가 제대로 연결된다.