FortiGate/HA34 FGCP에서 모니터 인터페이스에 대한 LLCF(fail-detect) 사용 불가 FGCP에서 LLCF(fail-detect) 동작의 핵심은 다음 2가지 이다.HA의 fail-over가 fail-detect보다 우선되어 동작한다.Fail-detect 기능은 Primary FortiGate에서만 동작하고, Secondary FortiGate에서는 동작하지 않는다.모니터 인터페이스인 port1에 대해 fail-detect 기능을 적용하여, port1이 다운되면 port3가 다운되도록 설정한 경우의 예이다. port1이 down된경우 port3를 down 시키기전에 HA fail-over가 발생하여 primary가 바뀌게 되면, 더 이상 primary 장치가 아닌 secondary 장치이기 때문에 fail-detect(LLCF)기능 동작하지 않게 되어 port3를 down 시킬수 없게 된다.. 2024. 10. 24. HA : Session sync 트래픽이 많을 경우 일반적으로 Seesion sync에 관련된 트래픽은 heartbeat 인터페이스를 이용하여 전달한다. Session sync 트래픽이 많을 경우, 대역폭 문제로 HA heartbeat 관련 트래픽이 제대로 전달되지 않아 HA에 문제가 발생할 수 있다. session-sync-dev 옵션을 사용하여 Session Sync 관련 트래픽을 특정 인터페이스로 지정하면 heartbeat 인터페이스와 분리되어 이 문제를 해결 할 수 있다. 위 예와 같이 2개이상의 인터페이스를 선택하면, Session sync 트래픽은 선택된 인터페이스 간의 로드밸런싱 되어 대역폭 확장의 효과도 있다.2개중 1개의 Link에 문제가 생기면 나머지 Link로 세션 동기화 하며, 2개 모두 문제가 생길경우 HA heartbeat 링크.. 2024. 10. 23. HA Primary에서 설정을 변경했지만 Secondary로 반영이 되지 않는 경우 Primary 장비에서 설정을 변경했지만 Secondary로 반연이 되지 않아서 "out of sync" 상태가 되는 경우가 있다. 이런 경우 2개의 장비 모두 아래의 명령어를 이용하여, 동기화 동작을 stop 했다가 다시 start 한다. execute ha synchronize stop execute ha synchronize start 이후 HA checksum을 다시 계산한다.(2장비 모두) diagnose sys ha checksum recalculate 관련 LINK : https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-How-to-troubleshoot-HA-synchronization-issue/ta-.. 2024. 10. 14. GUI에서는 HA "Not Synchronized" 표시되지만, 실제로는 Sync 상태인 경우 FortiGate HA 상태에서 아래와 같이 GUI에서는 "Not Synchronized"로 표시되지만, 실제로 HA 장치들은 동기화 되어 있는 경우가 있다. CLI에서 "diag sys ha checksum cluster" 명령어로 동일한 체크섬인지 확인하여 동기화 확인 가능하다.CLI에서는 동기화 되었지만, GUI에서는 "Not Synchronized"로 표시되면, 브라우저의 쿠키와 Cache를 삭제하고 다시 접속하면 해결 할 수 있다. 2024. 9. 25. FGCP로 구성된 HA Cluster의 config restore 방법 HA 클러스터에서 백업 받은 config를 Resotre 할때는 primary 장치에서만 Restore를 수행한다.그러면 2 장치 모두 리부팅을 하고 secondary 장비eh 설정이 동기화 된다.active-active, active-passive 2가지 방식 모두 절차는 동일하다. 2024. 5. 29. 이전 1 2 3 4 ··· 7 다음
