본문 바로가기

FortiGate/System120

Session list에서 Interface 정보 확인 FortiGate가 트래픽을 처리할때 Session을 생성하고 Session List에는 많은 정보를 담고 있다. 이 중에서 어떤 인터페이스를 통해 트래픽이 들어 오고 나가는지 확인하는 방법이다. 아래의 Session 정보에는 트래픽 request가 3번 디바이스를 통해 들어오고 4번 디바이스를 통해 나갔으며, 그 응답이 4번 디바이스를 통해 들어오고 3번 디바이스를 통해 나간 것을 알 수 있다. 하지만 디바이스 번호 만으로는 FortiGate의 어떤 인터페이스 인지 알 수 없다.     diagnose netlink interface list위 명령어를 통해 디바이스 번호와 인터페이스 매칭이 가능하다.따라서 위 세션의 경우 port1를 통해 들어오고, port2를 통해 나간 것을 확인 할 수 있다. 참.. 2024. 5. 10.
v7.0.15 업그레이드 주의사항 FortiOS를 v7.0.15로 업그레이드 하기위해서는 반드시 v7.0.14에서 업그레이드 해야한다.v7.0.14가 아닌 낮은 버전에서 바로 v7.0.15로 업그레이드 할 경우 무결성 문제가 발생하여, 부팅에 실패하게 된다. 만약 v7.0.14가 아닌 낮은 버전에서 업그레이드 하여 문제가 발생한 경우, TFTP를 이용하여 펌웨어를 다시 업그레이드 해야 한다. 2024. 5. 7.
VDOM과 VLAN의 관계 VLAN 생성 및 VDOM에 할당하는 규칙에 대한 설명이다. VLAN 물리적 인터페이스와 802.3ad aggregate 인터페이스에 생성 가능하다. 동일한 물리적 인터페이스에 동일한 VLAN ID를 설정 할 수 없다. 동일한 VLAN 번호를 다른 물리적 인터페이스에서 사용할 수 있다. 사용 가능한 VLAN ID 범위는 1~4094 이다. VDOM 하나의 인터페이스 또는 VLAN 인터페이스를 2개 이상의 VDOM에 할당 할 수 없다. 물리적인터페이스의 VDOM과 하위 VLAN 인터페이스는 서로 다른 VDOM에 속 할 수 있다. 예제) VDOM "Root" physical interface port1 VLAN10_P1 (VLAN ID 10 : port1의 하위 VLAN) VLAN20_P1 (VLAN ID .. 2024. 4. 1.
200F, 400F, 600F에서 throughput이 낮아지는 예 FortiGate-200F/201F, 400F/401F, 600F/601F 장치에서 트래픽 처리량이 크게 감소하는 문제이다. 트래픽이 고속 인터페이스에서 저속 인터페이스(예: 10Gb~1Gb)로 전달될 때 가장 자주 발생하지만, 이 문제는 1Gb~1Gb 시나리오에서도 발생하는 것으로 알려져 있다. FortiOS v7.2.8, v7.4.2, v7.0.15(예정)에서 수정된다. 400F/401F/600F/601F 장치의 경우 펌웨어를 업그레이드 하지 않고 처리하는 방법이 있지만, 일시적이며 리부팅되는 경우 다시 실행해야하고, HA 의 경우 각각의 장치에서 직접 실행해야 한다. diag sys mvl cli configure interface range ethernet 0/4-31 tail-drop packe.. 2024. 3. 29.
Software switch와 CPU 점유율 Software switch는 Hardware switch와는 달리 CPU를 사용하여 처리하게 된다. 한번에 너무많은 Software switch를 설정하거나, 많은 양의 트래픽을 처리할 경우 CPU의 softirq 값이 높아지게 된다. 위 예의 경우 메모리 사용량과 CPU 사용량이 정상으로 보이는데도 불구하고 로그 수집 시 문제가 발생했다. 이 문제를 해결하려면 장치에 사용되는 Software switch 수를 줄이거나 소프트웨어 스위치의 트래픽을 줄여야 한다. 2024. 2. 28.