FortiGate/HA28 Interface speed auto로 인한 HA config 'out-of-sync' 현상 FortiGate의 CLI에서show 명령어로 보면 default 설정은 표시되지 않는다.예를 들어 인터페이스의 speed 설정은 'set speed auto'가 default 설정이기 때문에 표시되지 않는다. 그런데 인터페이스의 'set speed' 설정을 다른것으로 변경 하였다가 다시 'set speed auto'로 설정 하면 그내용이 표시된다. 이렇게 이중화 된 장비에서 'A' 장비는 'set speed auto' 가 표시되고, 'B' 장비는 'set speed auto' 표시되지 않을 경우 설정은 동일하지만 HA 'out-of-sync' 가 발생하게 된다. 이 경우 해결책은 set speed auto' 표시되지 않는 장비에서 다음의 순서로 한다. 1. 해당 인터페이스의 speed를 현재 인터.. 2024. 5. 7. 'set link-failed-signal enable' 상태에서 'diagnose sys ha reset-uptime' 한 경우 HA에서 failover가 발생할 경우 인터페이스의 링크를 1초간 다운시켜 스위치가 있도록 하는 'set link-failed-signal enable' 설정이 있다. 'set link-failed-signal enable' 가 설정된 상태에서, 'diagnose sys ha reset-uptime' 명령어를 통해 HA failover를 발생할 경우 인터페이스가 다운되지 않는다. 즉, 'diagnose sys ha reset-uptime' 명령어로 failover되면 'set link-failed-signal enable'은 동작하지 않는다. 2024. 2. 1. v7.4.1 : HA 펌웨어 업그레이드시 서로 다른 버전 OS 사용 지원(FGCP, 일시적) FortiOS v7.4.1에서 FGCP HA 상태에서 펌웨어 업그레이드 할 경우, 잠시 동안 서로 다른 버전의 펌웨어를 사용 할 수 있는 MVC(multi- version cluster) 업그레이드 모드를 지원한다. 펌웨어 업그레이드시 업그레이드 된 펌웨어 버전에서 트래픽이 원할하게 통과 하는지 테스트 하는 동안, 일시적으로 MVC mode로 동작가능하다. MVC 상태에서 서로 버전은 다르지만 세션 테이블과 라우팅 테이블등은 서로 동기화된다. 하지만 설정을 변경하는 경우는 동기화 되지 않는다. 따라서 MVC 모드는 HA 상태에서 업그레이드 하는 동안 테스트 용도로 잠시 사용하는 방식이며 영구적으로 사용하는것은 권장하지 않는다. local-only : 현재 접속한 장비(primary, secondary 상.. 2023. 9. 7. 'Heartbeat packet lost' log에 대한 설명 FGCP HA Active-Passive 또는 Active-Active에서 'Heartbeat packet lost' 가 발생하는 경우가 있다. 'Heartbeat packet lost' 로그는 "HA Hold-down timer" (default 1.2초)동안 HA 상대방이 heartbeat packet을 수신하지 못했을때 발생한다. "HA Hold-down timer" 계산식은 다음과 같다. 'Heartbeat packet lost' 로그가 발생하는 이유는 다양한 원인이 있다. Heartbeat 연결 link 문제, Heartbeat 인터페이스 문제, CPU 문제, 세션 sync 트래픽 과다로 인한 Heartbeat 손실 등이다. 권하는 사항은 Heartbeat link의 이중화 및 트래픽 처리하는 .. 2023. 8. 8. 'get sys ha status' 명령어에서 HA failover가 발생한 원인 설명 HA에서 장애가 발생하여 Primary 장치가 새로 선택되는 이유를 'get sys ha status' 명령어로 확인 가능하다. Failover에 대한 다양한 원인에 대한 설명이다. 아래 예는 'FGVMxxxxxxxJZPF5'가 Primary 장치이고, ' FGVMxxxxxxxLRLBE'가 Secondary 장치인 HA 상태이다. 1. Promary 장치(FGVMxxxxxxxJZPF5)의 모니터링 인터페이스가 다운된 경우 Primary selected using: FGVMxxxxxxxLRLBE is selected as the primary because the value 0 of link-failure + pingsvr-failure is less than peer member FGVMxxxxxxxJZ.. 2023. 7. 17. 이전 1 2 3 4 ··· 6 다음
