FortiGate/HA36 HA에서 UTM license 적용 주의사항 HA 클러스터 장치에 새로 구매한 UTM 라이선스 권한을 적용하려면 다음의 사항이 맞아야 한다.동일한 모델과 동일한 펌웨어 버전.동일한 라이선스 종류와 유효 날짜.동일한 FortiCare 계정으로 등록. 2024. 11. 29. HA Reserved Management Interface의 숨겨진 VDOM "vsys_hamgmt" HA 구성에서 각 디바이스를 관리하기 위해 Management 인터페이스를 따로 구성 할 수 있다. 이때 한 장비에서 Management 인터페이스를 통해 다른 장비의 Management 인터페이스로 ping이 실패하게 된다.Manager PC에서 각 Management Interface로의 Ping은 성공한다. 이는 HA Management 인터페이스에 대한 숨겨진 VDOM이 있기 때문이다.HA에서 Management Interface를 설정하게 되면, 백그라운드에서 FortiGate는 vsys_hamgmt라는 숨겨진 VDOM을 만든다.vsys_hamgmt VDOM에 설정된 IP 주소는 HA에서 동기화되지 않으며, 이를 통해 관리 목적으로 Primary와 Secondary 장치에 대해 별도의 IP .. 2024. 11. 18. FGCP에서 모니터 인터페이스에 대한 LLCF(fail-detect) 사용 불가 FGCP에서 LLCF(fail-detect) 동작의 핵심은 다음 2가지 이다.HA의 fail-over가 fail-detect보다 우선되어 동작한다.Fail-detect 기능은 Primary FortiGate에서만 동작하고, Secondary FortiGate에서는 동작하지 않는다.모니터 인터페이스인 port1에 대해 fail-detect 기능을 적용하여, port1이 다운되면 port3가 다운되도록 설정한 경우의 예이다. port1이 down된경우 port3를 down 시키기전에 HA fail-over가 발생하여 primary가 바뀌게 되면, 더 이상 primary 장치가 아닌 secondary 장치이기 때문에 fail-detect(LLCF)기능 동작하지 않게 되어 port3를 down 시킬수 없게 된다.. 2024. 10. 24. HA : Session sync 트래픽이 많을 경우 일반적으로 Seesion sync에 관련된 트래픽은 heartbeat 인터페이스를 이용하여 전달한다. Session sync 트래픽이 많을 경우, 대역폭 문제로 HA heartbeat 관련 트래픽이 제대로 전달되지 않아 HA에 문제가 발생할 수 있다. session-sync-dev 옵션을 사용하여 Session Sync 관련 트래픽을 특정 인터페이스로 지정하면 heartbeat 인터페이스와 분리되어 이 문제를 해결 할 수 있다. 위 예와 같이 2개이상의 인터페이스를 선택하면, Session sync 트래픽은 선택된 인터페이스 간의 로드밸런싱 되어 대역폭 확장의 효과도 있다.2개중 1개의 Link에 문제가 생기면 나머지 Link로 세션 동기화 하며, 2개 모두 문제가 생길경우 HA heartbeat 링크.. 2024. 10. 23. HA Primary에서 설정을 변경했지만 Secondary로 반영이 되지 않는 경우 Primary 장비에서 설정을 변경했지만 Secondary로 반연이 되지 않아서 "out of sync" 상태가 되는 경우가 있다. 이런 경우 2개의 장비 모두 아래의 명령어를 이용하여, 동기화 동작을 stop 했다가 다시 start 한다. execute ha synchronize stop execute ha synchronize start 이후 HA checksum을 다시 계산한다.(2장비 모두) diagnose sys ha checksum recalculate 관련 LINK : https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-How-to-troubleshoot-HA-synchronization-issue/ta-.. 2024. 10. 14. 이전 1 2 3 4 ··· 8 다음