FortiGate ARP 테이블 확인 및 초기화 방법
네트워크 운영 중 서버와 통신이 되지 않거나, 특정 단말만 접속이 불가능하거나, 장비 교체 후 예상치 못한 장애가 발생하는 경우가 있습니다.
이러한 상황에서 많은 엔지니어가 방화벽 정책, 라우팅, NAT 설정부터 확인하지만 실제 원인은 생각보다 단순한 경우가 많습니다.
그중 대표적인 것이 바로 ARP(Address Resolution Protocol) 정보 문제입니다.
특히 FortiGate가 Gateway 역할을 수행하는 환경에서는 ARP 테이블이 정상적으로 관리되지 않을 경우 통신 장애가 발생할 수 있습니다.
실제 현장에서도 서버 교체, VM Migration, IP 충돌, 스위치 장애 이후 ARP 정보만 초기화하여 문제를 해결하는 사례가 자주 발생합니다.
이번 글에서는 FortiGate ARP 테이블 확인 방법과 초기화 방법, 그리고 실무에서 자주 사용하는 diagnose ip arp list 분석 방법까지 CLI 중심으로 자세히 알아보겠습니다.
2026.06.25 - [분류 전체 보기] - FortiGate 문서를 찾아볼 때 GUI보다 CLI를 중점적으로 봐야 하는 이유
ARP란 무엇이며 왜 중요한가
ARP(Address Resolution Protocol)는 IP 주소를 MAC 주소로 변환하기 위한 프로토콜입니다.
예를 들어 FortiGate가 192.168.10.100 서버로 패킷을 전송해야 한다고 가정해 보겠습니다.
IP 주소는 알고 있지만 실제 Ethernet Frame을 전송하려면 목적지 MAC 주소가 필요합니다.
이때 FortiGate는 ARP Request를 전송하고, 해당 서버는 ARP Reply를 응답하게 됩니다.
FortiGate는 응답받은 MAC 주소를 ARP 테이블에 저장하고 이후에는 해당 정보를 이용하여 통신을 수행합니다.
하지만 다음과 같은 상황에서는 문제가 발생할 수 있습니다.
- 서버 교체
- 서버 NIC 교체
- VMware VM Migration
- Hyper-V Live Migration
- IP 충돌
- 스위치 교체
- 네트워크 이중화 절체
- MAC 주소 변경
이 경우 FortiGate가 이전 MAC 주소를 계속 기억하고 있다면 정상적인 통신이 불가능할 수 있습니다.
실무에서 ARP 확인이 필요한 대표적인 장애 사례
서버 교체 후 통신 불가
실제 현장에서 가장 자주 발생하는 사례입니다.
기존 서버를 철거하고 신규 서버를 구축하면서 동일한 IP를 사용하는 경우가 많습니다.
서버 설정은 모두 정상인데 통신이 되지 않는다면 FortiGate가 기존 서버의 MAC 주소를 기억하고 있을 가능성이 있습니다.
ARP 테이블을 확인하고 초기화하면 즉시 해결되는 경우가 많습니다.
VMware VM Migration 이후 장애
가상화 환경에서는 VM 이동 과정에서 MAC 주소가 변경될 수 있습니다.
특히 데이터센터 환경에서는 vMotion 이후 특정 서버만 통신이 안 되는 경우가 발생할 수 있습니다.
이때 ARP 정보를 먼저 확인하는 것이 중요합니다.
IP 충돌 발생
사용자가 임의로 고정 IP를 설정하여 기존 서버와 IP가 중복되는 경우가 있습니다.
ARP 테이블을 확인하면 동일 IP에 대해 서로 다른 MAC 주소가 반복적으로 학습되는 현상을 발견할 수 있습니다.
이 경우 ARP 정보는 중요한 장애 분석 자료가 됩니다.
FortiGate ARP 테이블 확인 방법
실무에서는 GUI보다 CLI를 이용하는 것이 훨씬 효율적입니다.
Fortinet TAC에서도 대부분 CLI 결과를 요청하며 GUI 화면 캡처보다는 CLI 로그를 기준으로 분석을 진행합니다.
기본 ARP 정보를 확인하는 명령어는 다음과 같습니다.
get system arp출력 예시입니다.
Address Age(min) Hardware Addr Interface
192.168.10.10 5 00:11:22:33:44:55 port1
192.168.10.20 1 aa:bb:cc:dd:ee:ff port1
192.168.20.10 3 11:22:33:44:55:66 vlan100여기서 확인해야 하는 항목은 다음과 같습니다.
- IP 주소
- MAC 주소
- ARP 유지 시간(Age)
- 인터페이스
특정 서버가 올바른 MAC 주소를 학습했는지 반드시 확인해야 합니다.
특정 장비만 조회하기
ARP 정보가 많을 경우 grep을 이용하면 편리합니다.
get system arp | grep 192.168.10.10또는
get system arp | grep aa:bb:cc실무에서는 특정 IP 또는 MAC 주소만 검색하는 경우가 대부분입니다.
ARP 상세 정보 확인 방법
단순히 ARP 정보를 확인하는 것만으로는 장애 원인을 찾기 어려운 경우가 있습니다.
이때 사용하는 명령어가 다음과 같습니다.
diagnose ip arp list이 명령어는 FortiGate 내부 ARP 상태를 더욱 상세하게 보여줍니다.
예시입니다.
index=7
ifname=port1
ip=192.168.10.10
mac=00:11:22:33:44:55
state=00000002
use=10
confirm=120
update=60
ref=25diagnose ip arp list 주요 항목 설명
index
FortiGate 내부 인터페이스 식별 번호입니다.
장애 분석 시 직접 사용하는 경우는 적지만 TAC 분석 자료에서는 자주 활용됩니다.
ifname
ARP 정보가 어느 인터페이스에서 학습되었는지 보여줍니다.
예시
ifname=port1
ifname=vlan100
ifname=internalVLAN 인터페이스가 많은 환경에서는 매우 중요한 정보입니다.
use
ARP 엔트리가 마지막으로 실제 패킷 전달에 사용된 이후 경과 시간입니다.
confirm
REACHABLE 상태로 유지된 이후 경과 시간을 의미합니다.
ARP 상태가 얼마나 안정적으로 유지되고 있는지 확인할 수 있습니다.
update
마지막 ARP 응답을 받은 이후 경과 시간입니다.
값이 지나치게 크다면 오래된 정보일 가능성이 있습니다.
ref
ARP 엔트리가 실제 사용된 누적 횟수입니다.
트래픽이 많은 서버일수록 높은 값을 나타냅니다.
ARP State 상태값 분석
실제 장애 분석 시 가장 중요한 부분입니다.
REACHABLE (00000002)
ARP 응답을 정상적으로 수신한 상태입니다.
가장 정상적인 상태입니다.
STALE (00000004)
최근 ARP 응답을 받지 못한 상태입니다.
반드시 장애를 의미하는 것은 아닙니다.
트래픽 발생 시 재검증을 수행합니다.
DELAY (00000008)
ARP 재확인을 예약한 상태입니다.
정상 동작 과정 중 하나입니다.
PROBE (00000010)
ARP Request를 보내며 응답을 확인하는 상태입니다.
잠시 후 REACHABLE로 변경되면 정상입니다.
FAILED (00000020)
실무에서 가장 중요하게 봐야 하는 상태입니다.
다음과 같은 상황에서 발생합니다.
- 서버 전원 OFF
- NIC 장애
- 케이블 불량
- 스위치 포트 Down
- VLAN 설정 오류
- L2 네트워크 장애
FAILED 상태가 지속된다면 실제 통신 장애일 가능성이 매우 높습니다.
INCOMPLETE (00000001)
ARP Request를 전송했지만 아직 응답을 받지 못한 상태입니다.
짧게 나타나는 것은 정상입니다.
장시간 유지되면 장애를 의심해야 합니다.
PERMANENT (00000080)
관리자가 수동으로 설정한 Static ARP 상태입니다.
NOARP (00000040)
IPsec 인터페이스와 같이 ARP를 사용하지 않는 환경에서 나타납니다.
FortiGate ARP 테이블 초기화 방법
ARP 정보가 잘못 학습되었다고 판단되면 초기화를 수행할 수 있습니다.
가장 일반적으로 사용하는 명령어는 다음과 같습니다.
execute clear system arp table실행 즉시 ARP 캐시가 제거됩니다.
실제 통신이 발생하면 다시 학습됩니다.
ARP 초기화 후 검증
초기화 후에는 반드시 재학습 여부를 확인해야 합니다.
execute ping 192.168.10.10이후 다시 확인합니다.
get system arp새로운 MAC 주소가 학습되었다면 정상입니다.
ARP 확인 시 함께 점검해야 하는 명령어
ARP만 확인하고 문제를 단정하면 안 됩니다.
실무에서는 다음 명령어도 함께 확인합니다.
라우팅 확인
get router info routing-table all세션 확인
diagnose sys session filter dst 192.168.10.10
diagnose sys session list인터페이스 상태 확인
get system interface physicalARP 문제인지, 라우팅 문제인지, 세션 문제인지 함께 분석해야 정확한 원인을 찾을 수 있습니다.
GUI에서도 확인 가능하지만 CLI를 권장하는 이유
FortiGate GUI에서도 일부 ARP 정보를 확인할 수 있습니다.
일반적으로 다음 메뉴에서 확인 가능합니다.
- Network → Interfaces
- Dashboard → Network
- Dashboard → FortiView
다만 FortiOS 버전에 따라 메뉴 위치가 다를 수 있으며, 일부 버전에서는 해당 정보가 표시되지 않을 수도 있습니다.
따라서 GUI는 참고용으로만 활용하는 것이 좋습니다.
실제 장애 분석 시에는 CLI가 훨씬 정확하며 Fortinet TAC에서도 CLI 결과를 기준으로 분석을 진행합니다.
마무리
FortiGate ARP 테이블은 단순한 MAC 주소 목록이 아닙니다.
통신 장애 발생 시 가장 먼저 확인해야 하는 핵심 정보 중 하나입니다.
특히 서버 교체, VM Migration, IP 충돌, 스위치 장애, 이중화 절체 작업 이후에는 반드시 ARP 상태를 확인해야 합니다.
실무에서 가장 많이 사용하는 명령어는 다음과 같습니다.
get system arp
diagnose ip arp list
execute clear system arp table
execute ping <IP주소>네트워크 엔지니어라면 GUI보다 CLI를 중심으로 ARP 정보를 확인하는 습관을 갖는 것이 중요하며, 장애 분석 시간을 크게 단축할 수 있는 가장 기본적인 점검 방법입니다.