FortiGate VLAN 인터페이스 생성 시 주의사항
실무에서 자주 발생하는 VLAN 설정 오류와 CLI 기반 점검 방법
기업 네트워크를 구축하거나 운영하다 보면 하나의 물리 인터페이스에서 여러 네트워크를 분리하기 위해 VLAN Interface를 생성하는 경우가 매우 많습니다. 특히 FortiGate가 L3 Gateway 역할을 수행하는 환경에서는 VLAN Interface 설정이 네트워크의 안정성과 직결됩니다.
하지만 실제 현장에서는 VLAN Interface를 생성한 후 "게이트웨이 Ping이 되지 않습니다.", "DHCP가 동작하지 않습니다.", "인터넷이 되지 않습니다."와 같은 장애가 자주 발생합니다. 대부분의 원인은 VLAN ID 불일치, 상위 스위치 Trunk 설정 누락, 정책(Route) 미구성 등 기본적인 설정에서 비롯됩니다.
이번 글에서는 FortiGate에서 VLAN Interface를 생성할 때 반드시 확인해야 하는 사항과 CLI 중심의 설정 및 검증 방법을 실무 관점에서 자세히 설명하겠습니다.
실무에서는 GUI보다 CLI를 많이 활용합니다. GUI는 FortiOS 버전에 따라 메뉴 구성과 경로가 달라질 수 있지만, CLI는 설정 내용을 명확하게 확인하고 변경 이력을 관리하기 쉽기 때문입니다.
FortiGate 문서를 찾아볼 때 GUI보다 CLI를 중점적으로 봐야 하는 이유
FortiGate 문서를 찾아볼 때 GUI보다 CLI를 중점적으로 봐야 하는 이유FortiGate 운영 및 장애 분석 실무 가이드네트워크 엔지니어가 FortiGate를 운영하다 보면 새로운 기능을 설정하거나 장애를 분석하
moebnoos.com
VLAN Interface란 무엇인가
VLAN Interface는 하나의 물리 인터페이스에서 여러 개의 논리 인터페이스를 생성하여 서로 다른 VLAN을 처리하는 기능입니다.
예를 들어 다음과 같은 환경을 생각해 보겠습니다.
FortiGate
│ port1
│
Trunk (802.1Q)
│
L2/L3 Switch
┌────────┼────────┐
VLAN10 VLAN20 VLAN30
FortiGate의 port1 하나만 사용하더라도 VLAN 10, VLAN 20, VLAN 30을 각각 별도의 인터페이스처럼 사용할 수 있습니다.
대표적인 활용 사례는 다음과 같습니다.
- 사무실과 생산망 분리
- 유선과 무선 네트워크 분리
- 서버망과 사용자망 분리
- CCTV 전용 네트워크 구성
- Voice VLAN 구성
- Guest Wi-Fi 분리
VLAN Interface 생성 전 반드시 확인해야 하는 사항
실무에서는 VLAN을 생성하기 전에 다음 항목을 먼저 확인해야 합니다.
상위 스위치가 Trunk로 설정되어 있는가
가장 많이 발생하는 장애 원인입니다.
FortiGate에서 VLAN 100을 생성했더라도 스위치 포트가 Access Mode라면 VLAN Tag가 전달되지 않습니다.
Cisco 스위치 예시입니다.
interface GigabitEthernet1/0/1
switchport mode trunk
switchport trunk allowed vlan 10,20,30
Trunk 설정이 누락되면 FortiGate는 정상적으로 VLAN Interface를 생성했더라도 통신이 되지 않습니다.
VLAN ID가 일치하는가
FortiGate와 스위치의 VLAN ID는 반드시 동일해야 합니다.
예를 들어
FortiGate
VLAN ID : 20
Cisco Switch
switchport access vlan 20
처럼 동일해야 합니다.
숫자가 하나라도 다르면 통신은 이루어지지 않습니다.
부모 인터페이스가 정상인가
VLAN Interface는 반드시 물리 인터페이스를 기반으로 생성됩니다.
먼저 부모 인터페이스 상태를 확인합니다.
get system interface physical
예시입니다.
port1
status : up
speed : 1000full
부모 인터페이스가 Down 상태라면 VLAN Interface 역시 정상적으로 동작하지 않습니다.
CLI로 VLAN Interface 생성하기
실무에서는 다음과 같이 설정합니다.
config system interface
edit VLAN10
set interface port1
set vlanid 10
set ip 192.168.10.1 255.255.255.0
set allowaccess ping https ssh
next
end
각 항목의 의미는 다음과 같습니다.
- set interface : 부모 인터페이스 지정
- set vlanid : VLAN 번호
- set ip : Gateway 주소
- set allowaccess : 관리 프로토콜 허용
CLI를 사용하면 설정 내용을 한눈에 확인할 수 있어 운영 중 변경 작업에 유리합니다.
생성된 VLAN Interface 확인 방법
설정이 완료되면 다음 명령으로 확인합니다.
show system interface VLAN10
또는
show system interface
출력 예시입니다.
edit "VLAN10"
set interface "port1"
set vlanid 10
set ip 192.168.10.1/24
설정이 의도한 대로 적용되었는지 확인하는 가장 기본적인 절차입니다.
인터페이스 상태 확인
설정 후에는 인터페이스 상태를 확인합니다.
get system interface physical
또는
diagnose netlink interface list
출력 예시입니다.
VLAN10
status : up
여기서 Up 상태라도 실제 통신 여부는 별도로 확인해야 합니다.
VLAN 생성 후 Ping이 되지 않는다면
실무에서 가장 많이 발생하는 장애입니다.
다음 순서대로 점검하는 것이 좋습니다.
1. 부모 인터페이스 확인
get system interface physical
2. VLAN Interface 확인
show system interface VLAN10
3. ARP 확인
get system arp
상대 장비의 MAC 주소가 학습되는지 확인합니다.
4. Routing 확인
get router info routing-table all
라우팅이 정상적으로 등록되어 있는지 확인합니다.
5. Policy 확인
show firewall policy
VLAN 간 통신 정책이 누락되었는지 확인합니다.
DHCP를 사용하는 경우 주의사항
FortiGate가 DHCP Server 역할을 수행한다면 VLAN Interface에 DHCP를 연결해야 합니다.
확인 명령입니다.
show system dhcp server
다음 항목을 확인합니다.
- Interface
- Gateway
- Lease Time
- DNS
- Address Range
DHCP가 다른 인터페이스에 연결되어 있는 경우 클라이언트는 IP를 받지 못합니다.
Packet Sniffer로 VLAN 태그 확인
VLAN 설정이 정상인지 확인하는 가장 좋은 방법 중 하나입니다.
diagnose sniffer packet any "host 192.168.10.100" 4
또는
diagnose sniffer packet port1 "vlan" 4
패킷이 정상적으로 들어오고 나가는지 확인할 수 있습니다.
특정 환경에서는 VLAN Tag 정보까지 확인할 수 있어 스위치와 FortiGate 간 설정 불일치를 분석하는 데 도움이 됩니다.
VLAN 생성 후 자주 발생하는 장애 사례
VLAN ID 불일치
FortiGate는 VLAN 100으로 설정했지만 스위치는 VLAN 10으로 설정한 경우입니다.
통신이 전혀 이루어지지 않습니다.
Trunk Allowed VLAN 누락
Cisco Switch에서
switchport trunk allowed vlan 10
만 허용되어 있는데 FortiGate는 VLAN 20을 사용하는 경우입니다.
패킷이 스위치에서 차단됩니다.
Native VLAN 불일치
FortiGate는 Tagged VLAN을 사용하지만 스위치는 Native VLAN으로 설정한 경우입니다.
일부 패킷만 통신되거나 ARP만 성공하는 등의 이상 증상이 발생할 수 있습니다.
Gateway 중복
기존 L3 스위치와 FortiGate가 동일한 VLAN의 Gateway 역할을 동시에 수행하는 경우입니다.
ARP 충돌과 비대칭 라우팅이 발생할 수 있습니다.
VLAN Gateway는 하나의 장비만 담당하는 것이 원칙입니다.
GUI에서도 VLAN Interface를 생성할 수 있을까
GUI에서도 VLAN Interface 생성이 가능합니다.
일반적으로 다음 메뉴에서 설정할 수 있습니다.
- Network → Interfaces
- Create New → Interface
- Type → VLAN
다만 FortiOS 버전에 따라 GUI 메뉴의 이름과 경로는 달라질 수 있으며, 버전에 따라 표시되는 옵션도 차이가 있습니다.
또한 여러 개의 VLAN을 생성하거나 설정 내용을 검토할 때는 CLI가 훨씬 효율적입니다.
네트워크 엔지니어가 반드시 확인해야 하는 CLI 명령어
현재 인터페이스 확인
get system interface physical
VLAN 설정 확인
show system interface
라우팅 확인
get router info routing-table all
ARP 확인
get system arp
방화벽 정책 확인
show firewall policy
DHCP 설정 확인
show system dhcp server
패킷 캡처
diagnose sniffer packet any "host IP주소" 4
실무 장애 사례
한 제조업 고객사에서 신규 생산라인용 VLAN 200을 추가한 후 PLC와 서버 간 통신이 되지 않는 장애가 발생했습니다.
FortiGate 설정을 확인한 결과 VLAN Interface와 IP 주소는 정상적으로 구성되어 있었고, 방화벽 정책과 라우팅도 문제없었습니다.
다음 순서로 점검을 진행했습니다.
get system interface physical
부모 인터페이스는 정상(Up)이었습니다.
show system interface VLAN200
VLAN ID는 200으로 올바르게 설정되어 있었습니다.
get system arp
PLC의 MAC 주소가 학습되지 않았습니다.
이후 상위 Cisco 스위치를 확인한 결과 Trunk 포트의 허용 VLAN 목록에 VLAN 200이 포함되지 않은 것이 원인이었습니다.
switchport trunk allowed vlan 10,20,30
허용 목록에 VLAN 200을 추가한 후 즉시 ARP가 학습되었고, 생산라인 장비와 서버 간 통신이 정상적으로 복구되었습니다.
이 사례처럼 FortiGate의 VLAN 설정 자체보다 상위 스위치의 Trunk 구성과 VLAN 허용 목록이 실제 장애 원인인 경우가 매우 많습니다.
마무리
FortiGate에서 VLAN Interface를 생성하는 작업은 단순히 VLAN ID와 IP 주소를 입력하는 것으로 끝나지 않습니다. 부모 인터페이스 상태, 스위치의 Trunk 설정, VLAN ID 일치 여부, 방화벽 정책, 라우팅, DHCP, ARP 학습 상태까지 함께 확인해야 안정적인 서비스가 가능합니다.
실무에서는 show system interface, get system interface physical, get system arp, get router info routing-table all, diagnose sniffer packet과 같은 CLI 명령어를 활용하면 GUI보다 훨씬 빠르고 정확하게 원인을 분석할 수 있습니다.
GUI에서도 VLAN Interface를 생성하고 상태를 확인할 수 있지만, FortiOS 버전에 따라 메뉴 경로와 제공되는 기능이 달라질 수 있으므로 참고용으로 활용하는 것이 좋습니다. 실제 운영 환경에서는 CLI 기반으로 설정을 검증하고, 스위치와의 연동 상태까지 함께 확인하는 것이 장애를 예방하는 가장 효과적인 방법입니다.