본문 바로가기

FortiGate/HA36

v7.4.1 : HA 펌웨어 업그레이드시 서로 다른 버전 OS 사용 지원(FGCP, 일시적) FortiOS v7.4.1에서 FGCP HA 상태에서 펌웨어 업그레이드 할 경우, 잠시 동안 서로 다른 버전의 펌웨어를 사용 할 수 있는 MVC(multi- version cluster) 업그레이드 모드를 지원한다. 펌웨어 업그레이드시 업그레이드 된 펌웨어 버전에서 트래픽이 원할하게 통과 하는지 테스트 하는 동안, 일시적으로 MVC mode로 동작가능하다. MVC 상태에서 서로 버전은 다르지만 세션 테이블과 라우팅 테이블등은 서로 동기화된다. 하지만 설정을 변경하는 경우는 동기화 되지 않는다. 따라서 MVC 모드는 HA 상태에서 업그레이드 하는 동안 테스트 용도로 잠시 사용하는 방식이며 영구적으로 사용하는것은 권장하지 않는다. local-only : 현재 접속한 장비(primary, secondary 상.. 2023. 9. 7.
'Heartbeat packet lost' log에 대한 설명 FGCP HA Active-Passive 또는 Active-Active에서 'Heartbeat packet lost' 가 발생하는 경우가 있다. 'Heartbeat packet lost' 로그는 "HA Hold-down timer" (default 1.2초)동안 HA 상대방이 heartbeat packet을 수신하지 못했을때 발생한다. "HA Hold-down timer" 계산식은 다음과 같다. 'Heartbeat packet lost' 로그가 발생하는 이유는 다양한 원인이 있다. Heartbeat 연결 link 문제, Heartbeat 인터페이스 문제, CPU 문제, 세션 sync 트래픽 과다로 인한 Heartbeat 손실 등이다. 권하는 사항은 Heartbeat link의 이중화 및 트래픽 처리하는 .. 2023. 8. 8.
'get sys ha status' 명령어에서 HA failover가 발생한 원인 설명 HA에서 장애가 발생하여 Primary 장치가 새로 선택되는 이유를 'get sys ha status' 명령어로 확인 가능하다. Failover에 대한 다양한 원인에 대한 설명이다. 아래 예는 'FGVMxxxxxxxJZPF5'가 Primary 장치이고, ' FGVMxxxxxxxLRLBE'가 Secondary 장치인 HA 상태이다. 1. Promary 장치(FGVMxxxxxxxJZPF5)의 모니터링 인터페이스가 다운된 경우 Primary selected using: FGVMxxxxxxxLRLBE is selected as the primary because the value 0 of link-failure + pingsvr-failure is less than peer member FGVMxxxxxxxJZ.. 2023. 7. 17.
v7.2.0 : Virtual Cluster 최대 30개 지원 기존의 2개까지 지원하던 Virtual Cluster를 v7.2.0에서 최대 30까지 지원한다. 각 클러스터로 VDOM을 분산시켜 각자의 Failover 조건을 줄수 있다. 예를 들어, 1번 장비에서 A VDOM은 Active, B VDOM은 Passive로 주고, 2번 장비에서 A VDOM은 Passive, B VDOM은 Active로 둘수 있다. 각 Virtual Cluster는 각자의 Monitoring Interface, Ping-Server, HA Priority를 따로 가질수 있다. 아래의 예는 30개의 Virtual Cluster에 대해 1번 장비에 Priority를 200, 2번 장비에 Priority를 100을 주는 예이다. 아래의 경우 시작은 시작은 1번 장비의 모든 클러스터가 Mast.. 2023. 4. 13.
HA reserved management interface에 local-in-policy 설정하는 방법 HA 구성에서 특정 인터페이스에 대해 reserved management interface를 설정한 경우, 해당 인터페이스에 대해 local-in-policy를 설정하는 방법이다. 아래와 같이 "internal6"에 대해 reserved management interface를 설정한 경우의 예이다. reserved management interface로 설정된 "internal6"에 대해 local-in policy를 적용하면 아래와 같이 에러가 표시된다. 아래와 같이 "set ha-mgmt-intf-only enable" 설정을 한 후 reserved management interface를 지정하면 에러없이 설정 가능하다. 2023. 3. 8.