분노한 단타 브레이커

Hello/Dead interval

ㆍdead 주기는 hello 주기의 4배

ㆍhello 주기를 변경하면 자동으로 dead 주기도 변경.

ㆍdead 주기는 변경하는 경우에는 hello 주기가 자동으로 변경되지 않는다. 

재전송 타이머

ㆍDDP, LSR, LSA 전송 후 재전송 타이머 기간 내에 상대에게서 ACK를 받지 못하면 문제가 발생한 것으로 간주하고 재전송하는 간격이다.

ㆍ주기는 5초

ip ospf retransmit-interval

Throttle 타이머

ㆍLSA 수신 후 다음 SPF 알고리즘을 계산할 때까지의 시간.

show ip ospf

 Initial SPF schedule delay 5000 msecs --- 1
 Minimum hold time between two consecutive SPFs 10000 msecs --- 2
 Maximum wait time between two consecutive SPFs 10000 msecs --- 3
       ...........
        SPF algorithm last executed 00:31:05.574 ago --- 4
        SPF algorithm executed 5 times --- 5

1 - LSA를 수신한 다음 SPF 알고리즘을 계산할 때까지의 지연 시간.

2 - SPF 계산 간의 초기 지연 시간. 이 지연 시간 내에 추가로 LSA를 수신하면 두 배로 늘어난다.

3 - 네트워크가 불안정하여 추가적인 LSA를 연속적으로 받는 경우 SPF 계산을 이 기간 이상 지연시키지 않는다.

     SPF 계산 지연 시간을 최대 10초를 넘기지 않는다.

4 - 가장 최근에 이루어진 SPF 계산 후의 경과 시간

5 - SPF 계산 회수 표시.

router ospf 10
 timers throttle spf 10 5000 10000
 
 sh ip ospf
       .........
 Initial SPF schedule delay 10 msecs
 Minimum hold time between two consecutive SPFs 5000 msecs
 Maximum wait time between two consecutive SPFs 10000 msecs

• passive가 적용된 인터페이스로는 OSPF Hello 패킷을 전송하지 않고 상대에게 받아도 무시한다.
• 해당 인터페이스를 통해 OSPF 네이버가 맺어지지 않으므로 잘못된 OSPF 라우팅 정보로 인판 피해를 최소화활 수 있다.

router ospf 10
 router-id 2.2.2.2
 passive-interface GigabitEthernet1/2

OSPF Area

▪ OSPF는 네트워크를 복수개의 에어리어로 나누어 설정한다.

▪ 두 개 이상의 Area로 구성할 때에는 그 중 하나는 반드시 Area 번호를 0으로 설정해야 한다.

▪ OSPF의 라우팅 정보를 LSA라고 하며, 이 중 LSA type1, 2는 동일 Area 내부로만 전달된다.

  (토폴로지 변화가 심한 네트워크에서 그 영향을 하나의 Area 내부에만 국한시킬 수 있다.)

▪ Area별로 축약을 한다. 특정 Area에 소속된 네트워크를 축약함으로써 특정 Area의 네트워크 정보를 광고하는 LSA type 3의 전송을 최소화할 수 있다. 

  (특정 에어리어에서 발생하는 토폴로지 변화가 다른 에어리어에 미치는 영향을 최소화시킬 수 있다.)

▪ Stub Area란 OSPF 외부 네트워크(재분배된) 또는 Area의 라우팅 정보가 모두 차단되어 Routing Table이 획기적으로 줄어든 Area를 말한다.

▪ Backbone Area (Area 0)

 ㆍBackbone Area에 속한 라우터.

 ㆍOSPF Domain 내의 모든 라우팅 정보는 Backbone Area를 통해 공유.

 ㆍ모든 Area는 반드시 Backbone Area에 물리적으로 연결되어야한다.

▪ Non Backbone Area

 ㆍBackbone Area 외의 Area.

 ㆍ자신의 Area에 속한 라우팅 정보는 갖고 있지만 다른 Area의 라우팅 정보는 갖고 있지 않음.

 ㆍ라우팅 정보는 Backbone Area에게 요약(summary)된 네트워크 형태로 전달된다.

▪ Stub Area

 ㆍ외부로 나가는 경로가 ABR을 통한 경로 밖에 없는 Area 이다.

 ㆍ ASBR을 통한 재분배 경로가 존재해서는 안된다. (OSPF 이외의 네트워크는 존재하지 않음)

 ㆍABR은 내부 라우터에게 모든 외부 Network 경로에 대한 LSA를 차단하고, 대신 Default Route 정보를 전달한다. (stub area에 포함된 라우터들은 자신의 routing table에 없는 경로로 패킷을 전달해야 될 경우에 default route인 ABR에게 패킷을 전달.)

▪ Totally Stubby Area

 ㆍCisco 장비에만 설정 가능한 Area

 ㆍStub Area보다 더 많은 정보를 차단

 ㆍOSPF Domain 외부 Network 정보와 다른 Area의 Network 정보도 모두 Default Route로 대체

▪ NSSA Area

 ㆍstub area는 ASBR이 존재해서는 안되는데 NSSA에서는 있을 수 있고, 외부에서 재분배되어 유입되는 네트워크도 있을 수 있다.

 ㆍABR 외에도 외부 경로가 있을 수 있으므로 기본적으로 default route 정보를 내부로 전달하지 않는다. 

 ㆍ보통 OSPF 외부에서 재분배되어 들어오는 경로가 host 수준의 경로이고 그쪽을 통해 다른 네트워크로 가기 힘든 구조이다. 이런 경우에는 ABR로부터 default route 정보를 받는다. (default-information-originate)

▪ Totally NSSA Area

 ㆍTotally Stubby와 NSSA를 합쳐 놓은 개념.

 ㆍOSPF 외부 경로가 있지만 해당 경로가 Stub Netowrk일 경우 외부로 나가기 위한 경로가 ABR을 통하는 경로밖에 없을 경우에 선언한다. 이 때 ABR에서 no-summary를 적용하여 default-route를 내부 라우터들에게 전달 한다.

OSPF Router의 종류

OSPF Router는 소속된 Area와 역할에 따라서 내부 라우터, ABR, ASBR로 구분된다.

OSPF LSA Type

LSA Type-1,2는 OSPF Intra Area 정보로 동일한 Area에 소속된 라우터로부터 정보를 수신한 경우이며, 라우팅 테이블에 'O'로 표시된다. LSA Type-3,4는 OSPF Internal Area로서 다른 Area에 소속된 네트워크 정보이며 'O IA'로 표시된다.

LSA Type-5는 ASBR에 의해 다른 라우팅 프로토콜에서 OSPF로 재분배된 외부 네트워크 정보이다. ‘O E1’ 또는 ‘O E2’로 기록이 표시됨. E2의 경우는 재분배될 때 적용된 OSPF Metric(cost)이 OSPF 내부 라우터들을 거쳐 전파되어도 변하지 않는 고정 코스트 값을 가지며, 재분배시 적용되는 기본값이다. E1의 경우는 재분배시에 Metric이 한 번 적용된 후 OSPF 내부 라우터 구간을 거칠수록 Metric 값들이 추가되는 변동 코스트 값을 가진다.

LSA Type-7은 ASBR에 의해 재분배되어 넘어온 외부 네트워크 정보이다. NSSA(Not-So-Stub-Area)에서 사용되며, Type-5와 차이점은 일반 ASBR이 아닌 NSSA ASBR이 재분배 한다. 라우팅 테이블에는 ‘O N1’ 또는 ‘O N2’로 표시되며 E1/E2와 마찬가지로 OSPF 내부 metric을 더하느냐, 더하지 않느냐의 차이이다. (기본은 ‘O N2’) 참고로 해당 정보를 OSPF 내부로 재분배한 NSSA ASBR이 포함된 에어리어 에서는 ‘O N1’ 또는 ‘O N2’로 나타나지만, 이 정보가 ABR에 의해 타 Area로 전파될 때는 LSA Type-5로 변환이 되어 ‘O E1’ 또는 ‘O E2’로 변경된다.

OSPF의 개요

 ㆍ링크 상태 라우팅 프로토콜, IP 패킷에서 프로토콜 넘버 89번 사용.

 ㆍSPF 알고리즘 사용하여 최적 경로 계산

 ㆍAREA 단위로 구성

     - 특정 Area 에서 발생하는 라우팅 정보가 다른 Area 로 전송되지 않는다.

 ㆍ스텁(Stub) Area 를 사용하여 라우팅 테이블의 크기를 줄일 수 있다.

 ㆍ Area 가 두 개 이상일 떄 반드시 하나는 Backbone Area가 되야 한다.

Neighbor를 맺고 Routing Table을 만드는 과정

 ㆍOSPF는 물리적으로 직접 연결된 라우터간에 Hello 패킷을 송,수신하고 Hello 패킷에 포함된 Neighbor List에 자신의 Router-id가 포함되어 있으면 그 라우터와 Neighbor 및 Adjacent Neighbor를 맺는다.

 ㆍAdjacent Neighbor 간에 라우팅 정보(LSA)를 교환하고 이를 LSDB에 저장한다.

 ㆍLSDB 정보를 SPF 알고리즘을 실행하여 목적지까지 최적 경로를 계산하고 이를 Routing Table에 저장한다.

네이버 연동 기본 설정(IOS)

router ospf 1
  router-id 1.1.1.1
  network 1.1.1.1 0.0.0.0 area 1
  network 1.1.12.1 0.0.0.0 areaa 1

 ㆍprocess id

    - 동일한 라우터에서 여러 개의 ospf process를 동작 시킬 때 상호 구분하기 위해 사용하며, process id는 라우터별로

      다른 값을 가져도 된다.

 ㆍrouter id

    - ospf가 동작 중인 각 라우터를 구분하는 용도. (다른 라우터와 중복되지 않은 유일한 값을 사용해야 한다.)

    - 변동되지 않는 IP 주소를 사용하는 것이 좋다. (Loopback address)

    - OSPF에 포함시키지 않아도 된다.

    - 지정하지 않으면 OSPF가 설정될 당시 동작중인 인터페이스의 IP 주소 중에서 자동으로 선택된다.

 ㆍnetwork

    - OSPF에 포함시킬 인터페이스의 ip 주소, wild mask, area를 지정한다.

    - network와 wild card의 역할은 OSPF 프로세스에 포함시킬 인터페이스를 지정하기 위함.

 ㆍ라우팅 테이블에 루프백 인터페이스의 서브넷 마스크는 /32로 표시되고, 원래의 서브넷 마스크 값으로 광고 하려면

      ip ospf network point-to-point 설정을 추가한다.

OSPF Packet

→ Hello packet

 ㆍOSPF 네이버를 형성하고 유지하는데 사용.

 ㆍRouter ID, Area ID, 암호, Subnet Mask, Hello/Dead Interval, Stub area flag, Router Priority, DR/BDR, Neighbor List 정보가 들어있다.

→ DDP(database description packet)

 ㆍOSPF는 자신이 만든 LSA 및 Neighbor에게서 수신한 LSA를 모두 LSDB에 저장한다.

 ㆍOSPF 라우터의 LSDB에 있는 LSA들을 요약한 정보를 알려주는 패킷이다.

 ㆍOSPF 네이버 라우터 간에 LSA(full routing table)를 교환하기 전에 자신의 LSDB에 있는 LSA 목록(summary 정보)은 상대 라우터에게 알려주기 위해서 사용한다.

→ LSR

 ㆍ상대 라우터가 보낸 DDP를 보고 자신에게 없는 네트워크 정보(LSA)가 있으면 상세한 네트워크 정보를 요청할 때 사용한다.

→ LSU

 ㆍ상대 라우터로 부터 LSR을 받거나 네트워크 상태가 변했을 때 해당 라우팅 정보를 전송하기 위해 사용하는 패킷이다. 즉 LSA를 실어 나를 사용.

→ LSAck

 ㆍOSPF 패킷(DDP, LSR, LSU)을 정상적으로 수신했음을 알려줄 때 사용.

OSPF 동작 방식

1. OSPF Neighbor

 ㆍHello Packet을 이용해 인접 라우터와 물리적으로 직접 연결된 인터페이스를 통해 Neighbor 구성 o Hello Packet 전송 시 목적지 주소

    - Point-to-Point / Broadcast NW : 224.0.0.5

    - Non-Broadcast NW : 상대방 IP주소

2. DR, BDR, DROther

 ㆍDR(Designated Router) : LSA 중계 역할 라우터

    - DR이 수신하는 업데이트 패킷 목적지 주소 : 224.0.0.6

    - DR이 송신하는 업데이트 패킷 목적지 주소 : 224.0.0.5 (DROther 수신)

 ㆍBDR(Backup DR) : DR 장애 시 DR역할을 하는 라우터

    - BDR이 수신하는 업데이트 패킷 목적지 주소: 224.0.0.6

 ㆍDROther : DR/BDR이 아닌 라우터

    - DROther가 수신하는 업데이트 패킷 목적지 주소: 224.0.0.5

    - DROther가 송신하는 업데이트 패킷 목적지 주소: 224.0.0.6 (DR/BDR 수신)

 ㆍOSPF NW 상에서의 불필요한 트래픽 부하를 줄이기 위해 DR/BDR에게만 LSA를 전송하고 DR이 DROther에게 중계

 ㆍBroadcast, Non-Broadcast NW에서만 사용 (Point-to-Point NW에서는 DR/BDR 없음)

3. OSPF Adjacency

 ㆍAdjacent Neighbor : OSPF 라우팅 정보(LAS)를 주고받는 Neighbor ◦ DR ↔ BDR/DROther

 ㆍBDR ↔ DR/DROther

 ㆍPoint-to-Point NW로 연결된 두 라우터

 ㆍPoint-to-Multi-Point NW로 연결된 라우터들 ◦ Virtual-Link로 연결된 두 라우터

※ Adjacency Neighbor는 LSA 정보를 직접 상호교환하며, 단순 Neighbor는 정보 공유와는 상관없이 OSPF Hello Packet으로 발견된 모든 OSPF 라우터들이다.

4. OSPF Neighbor State

1) OSPF Neighbor의 Adjacency 관계 형성 과정

 ㆍNeighbor 단계

 ㆍAdjacency Neighbor 단계

OSPF Cost

OSPF의 메트릭을 Cost라고 부르며, 출발지부터 목적지까지의 각 인터페이스에서 기준 대역폭(reference bandwidth)을 실제 대역폭으로 나눈 값의 합계이다.

● 논리적 인터페이스의 기본 인터페이스 유형은 vlan

● 기본적으로 모든 포트는 하드 스위치 "lan"에 바인딩됩니다. 그래서 lan 하드 스위치에서 lan1을 제거하기 전까지는 lan1을 직접 구성할 수 없습니다.

● FortiGate 장비에서 vDOM (Virtual Domain)은 멀티 테넌트(Multi-Tenant) 환경을 지원하기 위해 도입된 가상화 기술로 하나의 장비 내에서 논리적으로 여러 개의 독립적인 방화벽 인스턴스로 분할할 수 있는 기능이다.
각 vDOM은 별도의 방화벽 인스턴스처럼 동작하며, 다음과 같은 요소를 개별적으로 관리할 수 있다.

 방화벽 정책(Firewall Policy)
 라우팅 테이블(Routing Table)
 인터페이스 설정(Interface Configuration)
 VPN 설정(VPN Configuration)
 로그(Log) 및 모니터링(Monitoring)

vDOM의 주요 특징
완전한 독립성

각 vDOM은 독립적인 설정을 가짐
개별적인 사용자 인증 및 관리 가능
하나의 vDOM 변경이 다른 vDOM에 영향을 주지 않음
자원 할당 가능

CPU, 메모리, 세션 등의 시스템 리소스를 특정 vDOM에 할당 가능
관리자 역할 분리 가능

특정 vDOM만 관리할 수 있는 Admin 사용자 생성 가능
글로벌 관리자(Global Admin)와 개별 vDOM 관리자(vDOM Admin)로 구분 가능
vDOM 간 트래픽 제어 가능

vDOM 간에 트래픽을 주고받아야 할 경우, 인터-vDOM 링크(Inter-vDOM Link) 설정 가능
NAT 및 정책을 활용해 vDOM 간 통신을 제어 가능

● Hyperscale에 대해
FortiGate의 하이퍼스케일 기능은 대규모 데이터 센터와 5G 네트워크에 대한 보안 성능과 확장성을 제공하고 NP7 프로세서를 기반으로 40Gbps 및 100Gbps를 지원 및 고속 데이터 전송과 뛰어난 확장성, 가속 기능을 제공합니다.

----------------------------------------------------------------------------------

● 활성화 및 multi-vdom 모드 설정
1. GUI
system > setting > System Operation Settings (Virtual Domains 활성화)

1. CLI
config global
config system global
  set vdom-mode multi-vdom
end

----------------------------------------------------------------------------------

● 생성 (multi-vdom 모드 설정 후)
1. GUI
system > vdom > create new

1. CLI
# config vdom 
(vdom) # edit <name>

2. vdom 생성 후 Hyperscale full-offload 설정
config vdom > edit NAT_11-hw01 > config system settings 
FortiGate-CGNAT (settings) #
    set policy-offload-level full-offload
end

----------------------------------------------------------------------------------

● Hyperscale에 대해

FortiGate의 하이퍼스케일 기능은 대규모 데이터 센터와 5G 네트워크에 대한 보안 성능과 확장성을 제공하고 NP7 프로세서를 기반으로 40Gbps 및 100Gbps를 지원 및 고속 데이터 전송과 뛰어난 확장성, 가속 기능을 제공합니다.

● set policy-offload-level 옵션.

 - default : 트래픽 유형과 방화벽 정책에 따라 자동으로 하드웨어(ASIC) 처리 또는 소프트웨어 처리(CPU)를 전환하며 동작.
 - ipsec-offload : ipsec 트래픽에 대해 하드웨어 가속을 적용. 나머지 트래픽은 default 동작.
 - full-offload : 일부 경우를 제외한 트래픽 처리를 CPU를 우회하여 전용 프로세서(NP)에서 처리하여 CPU 부하를 줄이고 대용량 트래픽 환경에서 고속 패킷 처리 성능을 극대화.

FortiGate 장비에서 vDOM (Virtual Domain)은 멀티 테넌트(Multi-Tenant) 환경을 지원하기 위해 도입된 가상화 기술로 하나의 장비 내에서 논리적으로 여러 개의 독립적인 방화벽 인스턴스로 분할할 수 있는 기능이다.

각 vDOM은 별도의 방화벽 인스턴스처럼 동작하며, 다음과 같은 요소를 개별적으로 관리할 수 있다.

  ㅡ 방화벽 정책(Firewall Policy)

  ㅡ 라우팅 테이블(Routing Table)

  ㅡ 인터페이스 설정(Interface Configuration)

  ㅡ VPN 설정(VPN Configuration)

  ㅡ 로그(Log) 및 모니터링(Monitoring)

vDOM의 주요 특징

■ 완전한 독립성

  - 각 vDOM은 독립적인 설정을 가짐

  - 개별적인 사용자 인증 및 관리 가능

  - 하나의 vDOM 변경이 다른 vDOM에 영향을 주지 않음

■  자원 할당 가능

  - CPU, 메모리, 세션 등의 시스템 리소스를 특정 vDOM에 할당 가능

■  관리자 역할 분리 가능

  - 특정 vDOM만 관리할 수 있는 Admin 사용자 생성 가능

  - 글로벌 관리자(Global Admin)와 개별 vDOM 관리자(vDOM Admin)로 구분 가능

■  vDOM 간 트래픽 제어 가능

  - vDOM 간에 트래픽을 주고받아야 할 경우, 인터-vDOM 링크(Inter-vDOM Link) 설정 가능

  - NAT 및 정책을 활용해 vDOM 간 통신을 제어 가능

vDOM의 종류

■ 루트 vDOM (Root vDOM) = 관리 vDOM

 ㆍvDOM 활성화시 기본적으로 존재하는 vDOM으로, FortiGate 장비를 처음 설정할 때 생성된다.(삭제 못 함)

 ㆍFortiGate 장비의 글로벌 설정 및 시스템 자원 관리를 담당한다.

 ㆍ관리자 계정(일반적으로 admin)이 기본적으로 이 vDOM에서 시작.

 ㆍ다른 vDOM을 생성하고 관리할 수 있으며, 글로벌 네트워크 설정 및 시스템 업데이트를 담당한다.

    물리적 인터페이스(Physical Interface) 를 기본적으로 포함.

 ㆍ시스템 데몬, NTP 트래픽과 같은 시스템/포티게이트에서 생성된 트래픽을 전달하는 데 사용됩니다. 포티게이트 방화벽의 모든 관리

    트래픽이 시작되는 VDOM입니다. 관리 VDOM은 다음과 같은 모든 글로벌 서비스에 대한 액세스 권한이 있어야 한다.

■ 사용자 정의 vDOM (Traffic vDOM)

 ㆍ관리자가 추가로 생성하는 vDOM으로, 트래픽을 처리하는 역할을 한다.

 ㆍ 각 vDOM은 독립적인 방화벽 인스턴스처럼 동작하며, 별도의 보안 정책과 네트워크 구성을 가질 수 있다.

 ㆍ 루트 vDOM과는 달리 시스템 전체를 관리하는 기능은 없다.

사용 예시:

 ㆍ여러 개의 네트워크 환경을 하나의 FortiGate 장비에서 논리적으로 분리

 ㆍISP(인터넷 서비스 제공자) 또는 MSSP(보안 서비스 제공자)가 고객별로 독립적인 방화벽을 운영할 때

 ㆍ기업에서 내부망, 외부망, DMZ를 각각 분리하여 보안 강화

※ 추가 개념: 인터 vDOM 링크 (Inter-VDOM Link) 서로 다른 vDOM 간 트래픽을 전달할 필요가 있을 때 사용 vDOM 간 직접 통신이 필요할 경우, 가상의 인터페이스를 생성하여 연결 가능 라우팅 및 정책을 통해 트래픽을 제어 가능

활용 예시:

 ㆍ내부망 vDOM과 인터넷 vDOM 간 트래픽을 전달

 ㆍVPN 전용 vDOM과 DMZ vDOM 간 데이터 흐름 설정

■ Independent vDOMs

 ㆍMulti vDOM 모드에서 각 vDOM이 완전히 독립적으로 동작하는 형태를 의미.

 ㆍ기본적으로 vDOM 간 트래픽이 차단된다.(필요시 Inter-vDOM Link 사용)

 ㆍ개별적인 라우팅 테이블, 방화벽 정책, VPN 설정 적용 가능.

 ㆍvDOM 마다 별도의 관리자(vDOM Admin)를 지정하여 개별적으로 관리 가능.

■ Split vDOM

 ㆍ두 개의 vDOM(root vDOM + traffic vDOM)만 운영하는 방식

 ㆍRoot vDOM은 장비의 글로벌 설정 및 관리를 담당

 ㆍTraffic vDOM은 실제 네트워크 트래픽을 처리

 ㆍ기본적으로 Root vDOM과 Traffic vDOM 간 인터 vDOM 링크(Inter-VDOM Link) 가 자동 생성됨

■ Multi vDOM

 ㆍ여러 개의 독립적인 vDOM으로 나누어 운영하는 방식

 ㆍfortigate 장비에서 기본적으로 10개의 vDOM 지원함

 ㆍ각 vDOM이 독립적인 방화벽 인스턴스로 동작

 ㆍ각 vDOM마다 독립적인 보안 정책, 라우팅, VPN 설정 가능

 ㆍ필요에 따라 vDOM 간 트래픽을 주고받을 수 있다.(IVL 사용)

 ㆍ다중 VDOM 모드가 처음 활성화되면 모든 VDOM 구성이 기본적으로 루트 VDOM으로 이동

※ 사용 사례

기업 내부 네트워크 분리 (부서별, 내부망/DMZ 분리)

MSSP(보안 서비스 제공자) 환경에서 고객별 방화벽 인스턴스 제공

ISP(인터넷 서비스 제공자) 가 고객별 개별 네트워크 운영

■ vDOM 간 라우팅

 ㆍ vDOM 간 라우팅은 Inter-VDOM Link(IVL)라는 가상의 인터페이스를 활용하여 구성한다.

 ㆍ vDOM 간 라우팅 구성

    1. Inter-VDOM Link 생성 → vDOM 간 연결을 위한 가상 인터페이스 생성

    2. IP 주소 할당 → vDOM 간 통신을 위해 인터페이스에 IP 주소 설정

    3. Static Route 설정 → 각 vDOM에서 상대 vDOM을 알 수 있도록 정적 라우트 설정

    4. Firewall Policy 설정 → vDOM 간 트래픽을 허용하도록 방화벽 정책 추가

config system ntp
    set ntpsync enable
    set type custom
    set server-mode enable
    set interface "fortilink"
    config ntpserver
        edit 1
            set server "time.google.com"
        next
        edit 2
            set server "time.nist.gov"
        next
    end
end

set server [ ] : NTP 서버의 IP 조소 또는 도메인 네임 설정

set syncinterval [ ] : NTP 서버와 동기화되는 간격

set ntpsync enable : 지정된 NTP 서버와 동기화하도록 설정

set server-mode enable : NTP 서버로 동작하도록 설정, 내부 네트워크의 다른 장치에 시간 정보를 제공.

set interface "fortilink" : fortilink 인터페이스를 통해 내부 장비들에게 시간 동기화를 제공.

동작 방식

이 설정을 적용하면 FortiGate는 두 가지 역할을 수행합니다:

1. NTP 클라이언트: FortiGate가 외부 NTP 서버와 동기화됨. (set ntpsync enable)
2. NTP 서버: FortiGate가 내부 네트워크 장치에 시간 정보를 제공함. (set server-mode enable)

mkdir /opt/unetlab/addons/qemu/fortinet-FGT-v7.2.11-build1740/

cd /opt/unetlab/addons/qemu/fortinet-FGT-v7.2.11-build1740/

unzip FGT_VM64_KVM-v7.2.11.M-build1740-FORTINET.out.kvm.zip 

mv fortios.qcow2 virtioa.qcow2

rm FGT_VM64_KVM-v7.2.11.M-build1740-FORTINET.out.kvm.zip

/opt/unetlab/wrappers/unl_wrapper -a fixpermissions

System is starting...
Starting system maintenance...
Scanning /dev/vda1... (100%) 
Scanning /dev/vda2... (100%) 
The config file may contain errors. 
Please see details by the command 'diagnose debug config-error-log read'.
Serial number is FGVMEV0IGQHQ4A2F

FortiGate-4400F login: admin
Password: 
You are forced to change your password. Please input a new password.
New Password: 
Confirm Password: 

FortiGate-VM64-KVM # get sys stat
Version: FortiGate-VM64-KVM v7.2.11,build1740,250210 (GA.M)
Security Level: High
Firmware Signature: certified
Virus-DB: 1.00000(2018-04-09 18:07)
Extended DB: 1.00000(2018-04-09 18:07)
Extreme DB: 1.00000(2018-04-09 18:07)
AV AI/ML Model: 0.00000(2001-01-01 00:00)
IPS-DB: 6.00741(2015-12-01 02:30)
IPS-ETDB: 6.00741(2015-12-01 02:30)
APP-DB: 6.00741(2015-12-01 02:30)
FMWP-DB: 0.00000(2001-01-01 00:00)
INDUSTRIAL-DB: 6.00741(2015-12-01 02:30)
IPS Malicious URL Database: 1.00001(2015-01-01 01:01)
IoT-Detect: 0.00000(2022-08-17 17:31)
Serial-Number: FGVMEV0IGQHQ4A2F
License Status: Invalid
VM Resources: 1 CPU/1 allowed, 984 MB RAM/2048 MB allowed
Log hard disk: Not available
Hostname: FortiGate-VM64-KVM
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 2
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 1740
Release Version Information: GA
FortiOS x86-64: Yes
System time: Thu Mar 20 02:30:02 2025
Last reboot reason: power cycle

FortiGate-VM64-KVM # 
FortiGate-VM64-KVM # 
FortiGate-VM64-KVM # conf sys int

FortiGate-VM64-KVM (interface) # edit 
name    Name.
fortilink   static   0.0.0.0 0.0.0.0  10.255.1.1 255.255.255.0  up   disable   aggregate  
l2t.root   static   0.0.0.0 0.0.0.0  0.0.0.0 0.0.0.0  up   disable   tunnel  
naf.root   static   0.0.0.0 0.0.0.0  0.0.0.0 0.0.0.0  up   disable   tunnel  
port1   dhcp   0.0.0.0 0.0.0.0  192.168.56.135 255.255.255.0  up   disable   physical  
port2   static   0.0.0.0 0.0.0.0  0.0.0.0 0.0.0.0  up   disable   physical  
port3   static   0.0.0.0 0.0.0.0  0.0.0.0 0.0.0.0  up   disable   physical  
port4   static   0.0.0.0 0.0.0.0  0.0.0.0 0.0.0.0  up   disable   physical  
ssl.root   static   0.0.0.0 0.0.0.0  0.0.0.0 0.0.0.0  up   disable   tunnel

FGVMEV0IGQHQ4A2F login: admin
Password: 
Verifying password...

Welcome!

FGVMEV0IGQHQ4A2F # 
FGVMEV0IGQHQ4A2F # get system status 
Version: FortiGate-VM64-KVM v7.2.11,build1740,250210 (GA.M)
Security Level: High
Firmware Signature: certified
Virus-DB: 1.00000(2018-04-09 18:07)
Extended DB: 1.00000(2018-04-09 18:07)
Extreme DB: 1.00000(2018-04-09 18:07)
AV AI/ML Model: 0.00000(2001-01-01 00:00)
IPS-DB: 6.00741(2015-12-01 02:30)
IPS-ETDB: 6.00741(2015-12-01 02:30)
APP-DB: 6.00741(2015-12-01 02:30)
FMWP-DB: 0.00000(2001-01-01 00:00)
INDUSTRIAL-DB: 6.00741(2015-12-01 02:30)
IPS Malicious URL Database: 1.00001(2015-01-01 01:01)
IoT-Detect: 0.00000(2022-08-17 17:31)
Serial-Number: FGVMEV0IGQHQ4A2F
License Status: Valid
VM Resources: 1 CPU/1 allowed, 984 MB RAM/2048 MB allowed
Log hard disk: Not available
Hostname: FGVMEV0IGQHQ4A2F
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 2
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 1740
Release Version Information: GA
FortiOS x86-64: Yes
System time: Wed Mar 19 23:33:22 2025
Last reboot reason: warm reboot