FortiGate에서 특정 IP의 MAC 주소 확인하는 방법
네트워크 엔지니어를 위한 실무 CLI 활용 가이드
네트워크 장애를 분석하다 보면 특정 IP가 실제 어떤 장비인지 확인해야 하는 경우가 자주 발생합니다. 특히 IP 충돌, 비인가 장비 접속, DHCP 오동작, 서버 이중화 장애, NAC 연동 문제 등을 분석할 때 특정 IP에 대응되는 MAC 주소 확인은 가장 기본적이면서도 중요한 작업입니다.
FortiGate는 단순한 방화벽 역할뿐만 아니라 게이트웨이 역할까지 수행하는 경우가 많기 때문에 네트워크 구간 내 단말 및 서버의 MAC 정보를 확인할 수 있는 경우가 많습니다.
실제 운영 환경에서는 GUI보다 CLI를 활용하는 경우가 훨씬 많습니다. GUI 메뉴 구조는 FortiOS 버전에 따라 변경될 수 있지만 CLI 명령어는 상대적으로 변경이 적고 더욱 상세한 정보를 제공하기 때문입니다.
이번 글에서는 FortiGate에서 특정 IP의 MAC 주소를 확인하는 방법을 CLI 중심으로 알아보겠습니다.
2026.06.25 - [분류 전체보기] - FortiGate 문서를 찾아볼 때 GUI보다 CLI를 중점적으로 봐야 하는 이유
왜 특정 IP의 MAC 주소를 확인해야 하는가
실무에서 다음과 같은 상황이 자주 발생합니다.
IP 충돌 발생
사용자로부터 네트워크가 간헐적으로 끊어진다는 문의가 접수됩니다.
서버 로그를 확인해 보니 동일 IP가 서로 다른 장비에서 사용되고 있습니다.
이 경우 먼저 MAC 주소를 확인해야 실제 어떤 장비가 해당 IP를 사용하고 있는지 추적할 수 있습니다.
비인가 장비 접속 확인
사내 네트워크에 허가되지 않은 장비가 연결된 경우입니다.
IP 정보만으로는 어떤 장비인지 확인하기 어렵지만 MAC 주소를 확인하면 제조사 정보 조회 및 스위치 포트 추적이 가능합니다.
DHCP 문제 분석
사용자가 다른 사람의 IP를 할당받거나 동일 IP가 여러 장비에서 사용되는 경우입니다.
ARP 테이블과 DHCP Lease 정보를 함께 확인하여 원인을 파악할 수 있습니다.
서버 교체 후 통신 불가
기존 서버를 신규 서버로 교체했는데 동일 IP를 사용한 경우입니다.
FortiGate가 이전 서버의 MAC 정보를 유지하고 있을 수 있습니다.
이 경우 ARP 테이블 확인이 필요합니다.
ARP 테이블 이해하기
FortiGate는 통신 과정에서 IP와 MAC 주소를 매핑한 정보를 ARP 테이블에 저장합니다.
예를 들어 다음과 같은 환경이 있다고 가정합니다.
Server
IP : 192.168.10.100
MAC : 00:11:22:33:44:55FortiGate는 다음과 같이 정보를 저장합니다.
192.168.10.100 -> 00:11:22:33:44:55특정 IP의 MAC 주소를 확인한다는 것은 결국 ARP 테이블을 조회하는 작업입니다.
가장 많이 사용하는 명령어
실무에서 가장 많이 사용하는 명령어입니다.
get system arp실행 예시입니다.
FGT # get system arp
Address Age(min) Hardware Addr Interface
192.168.10.100 1 00:11:22:33:44:55 port1
192.168.10.101 2 00:11:22:33:44:66 port1
192.168.10.102 3 00:11:22:33:44:77 port1확인 가능한 정보는 다음과 같습니다.
- IP 주소
- MAC 주소
- 학습 시간(Age)
- 인터페이스
장애 분석 시 가장 먼저 확인하는 명령어입니다.
특정 IP만 조회하는 방법
ARP 정보가 수백 개 이상 존재하면 확인이 어렵습니다.
이럴 때 grep을 활용합니다.
get system arp | grep 192.168.10.100예시입니다.
FGT # get system arp | grep 192.168.10.100
192.168.10.100 1 00:11:22:33:44:55 port1실제 운영 환경에서는 이 방법을 가장 많이 사용합니다.
인터페이스 기준으로 확인하는 방법
특정 VLAN 또는 특정 인터페이스에 연결된 장비를 확인하고 싶을 수 있습니다.
get system arp | grep port1또는
get system arp | grep vlan10이 방법은 특정 네트워크 구간의 단말을 확인할 때 유용합니다.
ARP 정보가 보이지 않는 이유
실무에서 자주 발생하는 상황입니다.
get system arp | grep 192.168.10.100결과가 나오지 않을 수 있습니다.
원인은 여러 가지가 있습니다.
최근 통신 이력이 없는 경우
ARP는 일정 시간이 지나면 삭제됩니다.
최근 통신이 없다면 조회되지 않을 수 있습니다.
다른 인터페이스에 존재하는 경우
예상과 다른 VLAN에 장비가 연결되어 있을 수 있습니다.
전체 ARP 테이블을 확인해야 합니다.
방화벽이 게이트웨이가 아닌 경우
FortiGate가 단순 통과 장비 역할만 수행한다면 해당 장비의 ARP 정보를 보유하지 않을 수 있습니다.
이 경우 L3 스위치나 게이트웨이 장비에서 확인해야 합니다.
MAC 주소를 확인한 후 해야 하는 작업
MAC 주소를 확인했다면 다음 단계로 넘어갑니다.
제조사 확인
예를 들어
00:50:56는 VMware에서 사용하는 MAC Prefix입니다.
3C:52:82는 Dell 장비일 수 있습니다.
MAC OUI 조회를 통해 제조사를 파악할 수 있습니다.
스위치 포트 추적
MAC 주소를 확보했다면 스위치에서 확인합니다.
Cisco 스위치 기준 예시입니다.
show mac address-table | include 0011.2233.4455어느 포트에 연결되어 있는지 확인 가능합니다.
DHCP 정보 확인
FortiGate DHCP 사용 시 다음 명령어를 활용합니다.
diagnose ip dhcp lease-listARP 정보와 Lease 정보를 비교하여 실제 사용자를 추적할 수 있습니다.
GUI에서도 확인할 수 있을까
가능합니다.
다만 FortiOS 버전에 따라 메뉴 경로가 달라질 수 있습니다.
일반적으로 다음 위치에서 확인 가능합니다.
Network → Interfaces
또는
Dashboard → Network
또는
Monitor → Routing Monitor하지만 GUI는 버전별 차이가 매우 큽니다.
FortiOS 6.x와 FortiOS 7.x는 메뉴 구조가 상당히 다를 수 있으며 일부 메뉴는 제거되거나 이동될 수 있습니다.
따라서 실무에서는 GUI보다 CLI 활용을 권장합니다.
ARP 정보가 잘못된 경우
서버 교체 또는 IP 변경 이후 통신 장애가 발생할 수 있습니다.
이 경우 기존 MAC 정보를 계속 참조하고 있을 수 있습니다.
ARP 초기화가 필요할 수 있습니다.
대표적인 확인 명령어입니다.
get system arp필요 시 전체 ARP 정보를 삭제하여 재학습을 유도할 수 있습니다.
다만 운영 중인 환경에서는 영향도를 반드시 검토해야 합니다.
특히 대규모 네트워크에서는 순간적인 ARP 재학습 과정이 발생할 수 있습니다.
네트워크 엔지니어가 기억해야 할 핵심 포인트
FortiGate에서 특정 IP의 MAC 주소를 확인하는 가장 기본적인 명령어는 다음과 같습니다.
get system arp특정 IP를 빠르게 찾으려면 다음 명령어를 사용합니다.
get system arp | grep IP주소실무에서는 단순히 MAC 주소를 확인하는 것에서 끝나지 않습니다.
- ARP 정보 확인
- MAC 주소 확보
- 제조사 확인
- 스위치 포트 추적
- DHCP Lease 비교
- 실제 사용자 확인
위 과정을 통해 IP 충돌, DHCP 장애, 비인가 단말 접속, 서버 교체 후 통신 불가 등의 문제를 분석하게 됩니다.
FortiGate 운영 경험이 쌓일수록 GUI보다 CLI를 활용하는 빈도가 높아지며, 실제 장애 대응 속도 역시 크게 향상됩니다. 따라서 ARP 조회 명령어는 네트워크 엔지니어가 반드시 숙지해야 하는 기본 명령어 중 하나입니다.