FortiGate 문서를 찾아볼 때 GUI보다 CLI를 중점적으로 봐야 하는 이유
FortiGate 운영 및 장애 분석 실무 가이드
네트워크 엔지니어가 FortiGate를 운영하다 보면 새로운 기능을 설정하거나 장애를 분석하기 위해 Fortinet 공식 문서를 찾아보는 경우가 많습니다. 하지만 FortiGate를 처음 접하는 엔지니어들은 GUI 메뉴를 기준으로 문서를 읽는 경우가 많으며, 실제 현장에서는 이 방식이 오히려 문제 해결 시간을 늘리는 원인이 되기도 합니다.
FortiGate는 다른 네트워크 장비와 비교했을 때 GUI 기능이 상당히 잘 구성되어 있는 제품입니다. 정책 설정, VPN 구성, NAT 설정, 로그 분석 등 대부분의 기능을 GUI에서 수행할 수 있습니다. 그러나 실제 장애 분석이나 상세 동작 원리를 확인해야 하는 상황에서는 GUI보다 CLI가 훨씬 많은 정보를 제공합니다.
따라서 FortiGate 문서를 학습하거나 운영 중 발생하는 문제를 분석할 때는 GUI보다 CLI를 우선적으로 이해하는 것이 중요합니다.
이번 글에서는 FortiGate 문서를 확인할 때 왜 GUI보다 CLI 중심으로 접근해야 하는지, 그리고 실무에서 어떤 차이가 발생하는지 자세히 알아보겠습니다.
GUI는 관리 도구이고 CLI는 분석 도구입니다
많은 엔지니어들이 GUI를 통해 설정하는 데 익숙하지만, 실제로 GUI와 CLI는 역할 자체가 다릅니다.
GUI는 관리 편의성을 위한 인터페이스입니다.
반면 CLI는 장비 내부 상태를 직접 확인하기 위한 분석 도구입니다.
예를 들어 방화벽 정책을 생성한다고 가정해보겠습니다.
GUI에서는 출발지, 목적지, 서비스, NAT 설정 정도만 확인할 수 있습니다.
하지만 CLI에서는 실제 정책 ID, 정책 적용 순서, 세션 처리 상태, NAT 적용 여부까지 모두 확인할 수 있습니다.
실제 장애 상황에서는 "설정이 있는가?"보다 "실제로 동작하는가?"가 중요합니다.
이때 필요한 정보는 대부분 CLI에서 확인할 수 있습니다.
Fortinet 기술지원(TAC)에서도 장애 접수 시 GUI 화면보다 CLI 결과를 우선 요청하는 이유가 바로 여기에 있습니다.
대표적으로 아래 명령어들은 장애 분석 시 거의 필수적으로 사용됩니다.
diagnose debug flowdiagnose sys session listdiagnose sniffer packetget router info routing-table all이러한 정보는 GUI만으로는 확인하기 어렵거나 제한적으로만 제공됩니다.
FortiGate 주요 기능은 CLI에서 더 상세하게 확인됩니다
FortiGate 운영 중 자주 확인하는 정보들을 살펴보면 대부분 CLI에서 더 많은 정보를 제공합니다.
ARP 테이블 확인
많은 엔지니어들이 GUI에서 ARP Table 메뉴를 찾지만 FortiGate는 기본 GUI에서 ARP 테이블을 직접 제공하지 않습니다.
실제 확인 방법은 CLI입니다.
get system arpdiagnose ip arp list특히 아래 정보들은 CLI에서만 확인 가능합니다.
- REACHABLE
- STALE
- DELAY
- PROBE
- FAILED
또한 다음 정보도 확인할 수 있습니다.
use=
confirm=
update=
ref=이러한 정보는 ARP 장애 원인을 분석하는 데 매우 중요합니다.
라우팅 테이블 확인
GUI에서도 정적 라우트 목록은 확인할 수 있습니다.
하지만 실제 라우팅 우선순위나 ECMP 상태, 동적 라우팅 학습 결과는 CLI가 훨씬 상세합니다.
get router info routing-table allget router info routing-table details실제로 장애 분석 시 가장 먼저 확인하는 명령어 중 하나입니다.
세션 확인
GUI에서는 현재 트래픽 흐름을 상세하게 확인하기 어렵습니다.
CLI에서는 특정 IP가 어떤 세션을 생성하고 있는지 즉시 확인할 수 있습니다.
diagnose sys session listdiagnose sys session filter dstdiagnose sys session filter src특정 서버 접속 문제를 분석할 때 매우 자주 사용됩니다.
Fortinet 공식 문서도 CLI 중심으로 작성되어 있습니다
Fortinet 공식 문서를 살펴보면 대부분의 Troubleshooting 문서는 CLI 명령어를 기준으로 설명됩니다.
그 이유는 GUI가 버전에 따라 변경될 수 있기 때문입니다.
예를 들어 FortiOS 6.4와 FortiOS 7.4는 GUI 구조가 상당히 다릅니다.
메뉴 위치가 바뀌거나 일부 기능이 숨겨질 수 있습니다.
반면 CLI 명령어는 비교적 일관성을 유지합니다.
예를 들어 아래 명령어들은 수년 동안 거의 동일하게 사용되고 있습니다.
get system statusget system arpdiagnose debug flowdiagnose sniffer packet따라서 문서를 읽을 때 GUI 스크린샷보다 CLI 명령어를 이해하는 것이 훨씬 중요합니다.
실제로 TAC 엔지니어들도 GUI 캡처보다 CLI 결과를 기반으로 문제를 분석합니다.
GUI만 보면 놓치는 정보가 많습니다
실무에서는 GUI만 확인해서는 원인을 찾기 어려운 경우가 많습니다.
예를 들어 서버 접속 장애가 발생했다고 가정해보겠습니다.
GUI에서는 정책도 정상이고 인터페이스도 정상으로 보일 수 있습니다.
하지만 CLI에서 확인해 보면 다음과 같은 문제가 발견될 수 있습니다.
라우팅 문제
get router info routing-table all목적지 경로가 존재하지 않는 경우
세션 문제
diagnose sys session list세션이 비정상적으로 유지되는 경우
ARP 문제
diagnose ip arp listARP 상태가 FAILED인 경우
정책 문제
diagnose debug flow정책에 의해 Drop 되는 경우
이처럼 GUI에서는 정상처럼 보이는 현상도 CLI에서는 실제 원인이 드러나는 경우가 많습니다.
실무 엔지니어가 가장 먼저 익혀야 할 CLI 명령어
FortiGate 운영을 시작한다면 아래 명령어들은 반드시 익혀두는 것이 좋습니다.
장비 상태 확인
get system status인터페이스 상태 확인
get system interfaceARP 확인
get system arpdiagnose ip arp list라우팅 확인
get router info routing-table all세션 확인
diagnose sys session list패킷 캡처
diagnose sniffer packet any패킷 흐름 분석
diagnose debug flow위 명령어들만 제대로 활용할 수 있어도 대부분의 네트워크 장애를 분석할 수 있습니다.
결론
FortiGate는 GUI가 매우 편리한 장비이지만, 실제 장애 분석과 내부 동작 확인은 CLI 중심으로 이루어집니다.
GUI는 설정을 위한 도구이며, CLI는 문제를 해결하기 위한 도구입니다.
특히 ARP, 라우팅, 세션, NAT, VPN, 정책 매칭과 같은 핵심 기능은 CLI에서 훨씬 상세한 정보를 제공합니다.
또한 Fortinet 공식 문서와 TAC 기술지원 역시 CLI 결과를 기반으로 분석을 수행하기 때문에 실무 엔지니어라면 GUI 사용법보다 CLI 명령어와 출력 결과를 먼저 이해하는 것이 중요합니다.
FortiGate를 단순히 운영하는 수준을 넘어 장애를 직접 분석하고 해결할 수 있는 엔지니어가 되고 싶다면, 문서를 읽을 때도 GUI 화면보다 CLI 출력 결과에 집중하는 습관을 가지는 것이 가장 빠른 성장 방법입니다.