Information of IT

A. Fortigate ECMP (Equal Cost Multi-path) 동작 방식 ECMP에 앞서 fortigate에 목적지로 경로가 둘 이상인 경우 사용할 routing을 선택하는 프로세스는 1) 가장 작은 서브넷2) distance가 낮은 것3) priority가 낮은 것4) 마지막은 위 세 가지 조건이 모두 동일할 경우 ECMP로 동작합니다. ECMP는 static routing뿐만 아니라 dynamic routing에도 동일하게 적용되며 fortigate ECMP 설정은 CLI에서만 가능합니다. - fortigate CLI > config system settings > set v4-ecmp-mode / default 설정은 source-ip-based입니다.  source-ip-based ..

1. Fortigate maximum values 확인하기 fortigate는 모델 또는 OS 등의 따라 구성 관련된 객체에 제한 사항이 있습니다.예를 들면 address 객체 수, profile 개수, fortigate에 최대 몇 개까지 등록이 가능한지 제한이 있는 거죠 https://docs.fortinet.com/max-value-table https://docs.fortinet.com/max-value-tableNote: All objects in the maximum values table have either a global limit, which applies to the entire FortiGate configuration, or a VDOM limit, which applies only..

A. Fortigate syslog 출발지 인터페이스 수동 설정 Syslog server는 internal 구간에 있는데 syslog server와의 통신 시도를 wan 인터페이스로 하는 경우, 수동으로 internal구간의 인터페이스로 변경하여 문제 해결 해당 설정은 GUI에서는 변경이 불가능하고 CLI에서만 가능합니다. - Fortigate CLI > config log syslogd setting 명령어 진입 후 set 명령어를 입력하면 syslog관련 설정 부분이 나옵니다.(server IP, syslog port 변경, format 등등) 여기서 interface 변경은 interface-select-method 설정입니다. default는 auto로 설정되어 있습니다. 해당 설정을 spec..

A. Cli Command - Fortigate diangnose debug rating- diagnose debug rating 명령어로 연결된 FortiGuard Server 확인 또는 통신 해결하기 위해 사용하는 명령어입니다.  - Service 상태와 Fortiguard와 어떤 프로토콜을 사용하는지 몇 번 포트를 사용하는지 등 관련 설정도 확인이 가능합니다.  아래에 있는 IP들은 해당 장비와 인접해 있는 Fortiguard Server들의 IP입니다. (나오는 IP List들은 장비마다 다를 수 있음)  B. Flags 값여러 Fortiguard Server List 중 어느 Server와 통신하여 라이선스가 활성화 되어 있는지는 Flags를 보시면 됩니다. D : 해당 장비가 DNS query..

A. fortigate GUI에서 Packet Capture 하는 방법 해당 방법은 fortiOS 7.2.x 기준입니다. 하지만 버전별로 위치 또는 이름만 변경될 뿐, 다른 버전에서나 하는 방법은 거의 똑같습니다.  1) fortigate GUI > Network > Diagnostics > Packet Capture 탭 7.0.x 버전에서는 Diagnostic가 아닌 Packet Capture 탭이 따로 있을겁니다.여기서 이제 Filter를 걸어서 사용해 주면 됩니다.   2) Filter 기입 - Interface : Wan1 / 해당 Interface로 통신하는 Packet만 Capture- Host : 192.168.1.10 / 해당 IP만 Capture- Port : 443 / 해당 Port만 ..

A. Fortigate deep-inspection이 필요한 application control 확인 방법 SSL/TLS로 암호화된 트래픽을 검사하기 위해서는 deep-inspection이 필요합니다. 1) certificate-inspection의 경우, 암호화된 트래픽을 검사하지 못하고 Header만으로 검사 수행2) application control의 경우, deep-inspection이 필요한 application과 필요하지 않은 application 시그니처가 있습니다.  7.2.x대 license 없는 application signature list입니다.약 2400개 정도가 있고 license가 있다면 약 5000개의 application signature로 업데이트가 됩니다.  appli..