FortiGate633 HA에서 일부 config를 동기화 에서 제외하는 방법 HA에서는 기본적으로 전체 config를 동기화 한다. 일부 구성에서는 특정 config를 동기화 하면 안되는 경우도 있다. 이럴 경우 아래 명령어를 통해 일부 config를 HA 동기화에서 제외 할 수 있다. 주의할 점은 해당 명령어도 동기화 되지 않기 때문에 HA 멤버에게 각각 수동으로 설정해야 한다. # config sys vdom-exception edit set object next end 예를 들어 interface 설정과, static route 설정을 동기화하지 않으려면 아래와 같이 설정한다. # config system vdom-exception edit 1 set object system.interface next edit 2 set object router.sta.. 2021. 6. 1. FortiCloud에 저장된 트래픽로그가 FortiGate에서 표시되지 않는 경우 FortiGate[는 FortiCloud로 로그를 전송하고, FortiCloud에 저장된 로그를 FortiGate에서 확인 가능하다. 그런데, FortiCloud로 저장된 트래픽(Forward) 로그가 FortiGate에서 확인이 되지 않는 경우가 있다. FortiCloud에 접속해서 로그를 확인하면 트래픽 로그는 확인가능하다. 원인은 FortiCloud에서 로그를 검색하는 동안 TCP timeout이 발생했기 때문이다. 아래의 명령어를 이용하여 TCP timeout을 늘려주면 정상적으로 로그를 가져와서 FortiGate에서 표시 할 수 있다. # config log fortiguard setting (setting) # show full-configuration config log fortiguard .. 2021. 5. 31. 여러개의 NP6가 있는 장비에서 LACP 제약 사항 여러개의 NP6 ASIC을 가지고 있는 장비중에 특정 모델(FortiGate 200E/201E, 900D, 1000D, 2000E, 2500E)에서 LACP 설정에 대한 제약 사항이 있다. 이 모델들은 여러대의 NP6 ASIC이 있지만, NP6 간의 ISF(Integrated Switch Fabric)이 없기 때문에, 서로 다른 NP6에 속하는 port를 LACP로 묶을 수 없다. 아래 예는 FortiGate 200E의 2개의 NP6Lite에 대한 구성도이다. ISF가 없기 때문에 서로 다른 NP6에 속하는 port를 LACP로 묶을 수 없다. 위 모델이 아닌 FortiGate 1200D, 1500D 같은 경우는 아래처럼 ISF로 서로 다른 NP6가 연결되어 있기 때문에, LACP로 묶을수 있으며 NP6.. 2021. 5. 28. config 파일에서 패스워드에 대한 암호화 알고리즘 사용자 및 관리자 암호는 암호화된 형식으로 시스템에 저장된다. CLI 나 config backup 파일에서는 암호화된 패스워드만 표시되기 때문에 정확한 패스워드는 알 수 없다. 관리자 계정 비밀번호는 SHA256으로 패스워드를 해시값으로 변경해서, config파일에는 Base64로 인코딩되어 저장된다. IPSec VPN의 Preshared Key의 경우는 DES (FIPS 모드의 AES)를 사용하여 고정 키로 암호를 암호화 한 다음 Base64로 인코딩된다. 2021. 5. 27. traceroute에 대해 FortiGate가 간헐적으로 timeout 발생하는 경우 Traceroute 명령어는 맨 처음 TTL을 1로 설정하여 요청을 보내면, 받은 장비는 TTL을 1 감소시켜 "TTL expired" 패킷을 응답한다. 그러면 보낸 쪽에서는 "TTL expired" 패킷을 보낸 쪽이 첫번째 hop임을 인지하고, TTL을 2로 설정하여 nexthop이 어디인지 확인하는 방식이다. FortiGate의 경우에는 하나의 Source에대해 "TTL expired" 패킷을 초당 1개만 전송하도록 되어있다. 만약 하나의 Source에게 초당 여러개의 "TTL expired" 패킷을 보내야 할 경우 첫번째만 응답하도 나머지는 drop 된다. 이렇게 되면 보낸 source에서는 drop된 응답에 대해서는 timeout이 발생하는 것이다. 이는 DoS공격이나 공격을 위한 정찰(recon.. 2021. 5. 24. 이전 1 ··· 94 95 96 97 98 99 100 ··· 127 다음
