FortiGate652 Ping 응답이 가능한데도 SDWAN Performance SLA에서 down 되는 경우 SDWAN Performance SLA를 체크하기 위한 대상서버가 ping은 가능하지만, SDWAN Performance SLA에서는 'dead' 상태로 다운된 것처럼 보이는 경우가 있다. 아래 예에의 경우, 대상 서버 '10.100.2.210에 대해 ping 응답은 도착하지만, SLA 상태는 dead 이다. 이유는 ping 응답 속도가 늦기 때문이다. ( 위 예의 경우 700ms) SD-WAN의 SLA체크에서 기본 응답 속도가 500ms가 넘어가면 대상 서버로 연결이 불가능하다고 판단한다. 해결하기 위해서는 기본 응답 속도 설정을 아래와 같이 수정해야 한다. 참조 : https://ebt-forti.tistory.com/264 latency가 긴 link에 대해 Performance SLA 설정 방법 .. 2022. 6. 20. 'No such file or directory' 또는 'No space left on device' 에러 FortiGate SMB 장비를 v6.2로 업그레이드 한 후 'No such file or directory' 또는 'No space left on device' 에러가 표시되는 경우가 있다. 이는 펌웨어 v6.2.11에서 fix 될 예정이다. 펌웨어 v6.2.11의 정식 출시 전까지는 아래의 방법으로 해결 할 수 있다. 1) Disable FortiGuard auto-update 2) 공간 확보를 위해 GeoIP_DB 삭제 리부팅 후 'execute update-geo-ip' 명령으로 FortiGuard 서버에서 최신 GeoDB 버전으로 업데이트 한다. 3) 여유 공간이 확보된 후 업그레이드를 시작 2022. 6. 15. ECMP(Equal Cost MultiPath) 라우팅 ECMP는 다수의 경로가 목적지, Distance, Metric, Priority 값이 동일할 경우, 모두 active 되고 모든 경로를 통해 트래픽을 분배하게 된다. ECMP는 static, OSPF, BGP에서 다음의 속성이 같아야 한다. ◾ Destination Subnet ◾ Distance ◾ Metric ◾ Priority 위 예는 동일한 목적지인 10.0.4.0/24에 대한 static route의 속성값이 Distance=10, Priority=5로 동일하여 ECMP로 동작하게 된다. 트래픽을 분배하는 방법에 대한 설정은 다음과 같다. ◾ source IP (default) source IP 기반으로 경로 선택. 동일한 source IP의 경우 동일한 경로로 통신 ◾ source-desti.. 2022. 6. 14. FortiGate debug SSL-VPN daemon SSL-VPN 장애를 처리하기위해 SSLVPN 데몬을 debug 하는 경우 나타나는 메세지 설명이다. # diag debug app sslvpn -1 # diag debug enable 다음 메세지에서 SSL 핸드셰이크를 수행하는 데 사용된 클라이언트와 FortiGate의 TLS 버전 및 암호화 해시 알고리즘을 확인 할 수 있다. 다음 메세지에서 사용자 ID를 확인 할 수 있으며, 해당 사용자가 FortiGate Local에 있다는 것을 알수 있다. 다음 메세지에서 사용자 'willy'가 성공적으로 로그인 되었으며, 클라이언트 PC는 Mac OS이며, SSL portal은 'full-access' 가 적용되었음을 알 수 있다. 다음 메세지에서 'willy' 사용자가 policy ID 4와 매치 된것을 알.. 2022. 6. 13. CLI 상에서 log 확인하는 방법 CLI 상에서 특정 로그를 filter를 이용하여 저장된 로그를 확인할 수 있다. 예를 들어 event 로그만 골라 보는 경우는 아래의 명령어로 가능하다. 트래픽 로그중에 목적지 port가 443인 로그만 필터링해서 보는 명령어는 아래와 같다. 2022. 6. 13. 이전 1 ··· 69 70 71 72 73 74 75 ··· 131 다음
