安価で扱いやすく高性能なため普及率が上がっているFortigateでよく使うコマンドを解説します。
\年収をUPさせたいエンジニア必見/
目次
構築時に使うコマンド
初期化
execute factoryresetVDOM有効化
config system global
set vdom-admin enable
endswitch mode解除
config system dhcp
server delete 1
end
config firewall policy
delete 1
end
config system virtual-switch
delete internal
endバージョンが古いとき
config system dhcp server
delete 1
end
config firewall policy
delete 1
end
config system global
set internal-switch-mode interface
endルーティング
ルーティングテーブル表示
get router info routing-table all
get router info routing-table dataBGP
BGPネイバー表示
get router info bgp summaryBGP受信ルート表示
get router info bgp neighbors <ネイバーIPアドレス> received-routesBGP広告ルート表示
get router info bgp neighbors <ネイバーIPアドレス> advertised-routesIPSec関連
IPSec事前共有鍵の確認方法
FortiOS 5.4以降
diagnose sys ha checksum show <VDOM> vpn.ipsec.phase1-interface <Phase-1の名前>FortiOS 5.3まで
diagnose sys ha showcsum <VDOM> vpn.ipsec.phase1-interface <Phase-1の名前>IPSecがうまく張れないときのデバッグ方法
STEP
デバッグ設定
diagnose debug app ike -1STEP
デバッグ開始
diagnose debug enableSTEP
デバッグ停止
diagnose debug disableSTEP
デバッグ設定解除
diagnose debug app ike 0トンネルリスト表示
diagnose vpn tunnel listシステム状態確認
バージョン表示
get system statusHA状態表示
get system ha status起動時間表示
get system performance statusCPU・メモリ使用率確認
get system performance statusリアルタイムにCPU・メモリ使用率を表示
diagnose sys top-summaryシステム操作
再起動
execute rebootシャットダウン
execute shutdownフェイルオーバー/フェイルバック
Master機でコマンドを実行するとSlaveへ移行する。
オーバーライドが無効の場合のみ(デフォルト無効)
diagnose sys ha reset-uptimeオーバーライドを有効化している場合は、Slave機のHAプライオリティ値をMaster機よりも大きくすることでHAが切り替わります。
トラブルシューティング
パケットキャプチャ
diagnose sniffer packet [Interface] [Filter] [Verbose] [Count] [Tsformat]- Interface
-
インタフェースを指定します。トラブルシューティングの場合は「any」にすることをおすすめします。
diagnose sniffer packet any - Filter
-
フィルターはtcpdump形式のものが利用できます。ダブルクォート(”)あるいはシングルクォート(')で囲む必要があるので注意してください。
diagnose sniffer packet any "tcp and port 443" - Verbose
-
出力レベルは1から6まで指定できます。一番使いやすいのは「4」です。
diagnose sniffer packet any "tcp and port 443" 4Verbose 出力される内容 1 もっとも単純な出力 2 パケットを16進数でダンプする 3 イーサネットヘッダーを含めて16進数でダンプする 4 インタフェース名を出力する 5 インタフェース名に加えてパケットを16進数でダンプする 6 インタフェース名に加えてイーサネットヘッダーを含めパケットを16進数でダンプする - Count
-
出力回数を指定します。0にすると回数制限をしません。
diagnose sniffer packet any "tcp and port 443" 4 0 - Tsformat
-
タイムスタンプを表示します。通常は「l(エル)」が使いやすいです。
diagnose sniffer packet any "tcp and port 443" 4 0 lオプション 表示される内容 a UTCで時刻を表示 l ローカルタイムで時刻を表示
通信が通っているはずなのにパケットキャプチャで表示されない場合
Fortigateの仕様で、ASICで処理されたパケットはキャプチャできません。
パケットキャプチャできるのはCPUで処理されたパケットのみであるため、パケットキャプチャできない場合はポリシーでASIC処理をオフにします。
以下はポリシーIDが1の場合の設定です。
IPv4パケットの場合
config firewall policy
edit 1
set auto-asic-offload disable
next
endIPv6パケットの場合
config firewall policy6
edit 1
set auto-asic-offload disable
next
endマルチキャストの場合
config firewall multicast-policy
edit 1
set auto-asic-offload disable
next
endauto-asic-offload disableは性能影響が出るので、パケットキャプチャが済んだらenableに戻しておくことを忘れないでください。
パスワードが分からないとき
STEP
Frotigatの裏面に記載されているシリアル番号を控える
STEP
シリアルケーブルでFortigateとPCを接続する
STEP
Fortigateの電源を入れる(もしくは再起動)
STEP
「login:」が表示されるまで待つ
STEP
「login:」が表示されたら30秒以内に次のユーザー名・パスワードの組み合わせでログインする
| ユーザー名 | maintainer |
| パスワード | bcpbXXXxxxxxxxxxxxx |
STEP
ログインできたらパスワードを再設定する
👉 関連記事もチェック!
\高単価案件を探すならエージェントに無料登録/
レバテックフリーランス
案件数・単価トップクラス
- 業界最大級の案件からマッチング
- 高単価案件が豊富(月60〜100万円)
- 担当の伴走サポートが手厚い
PE−BANK
老舗×全国対応で安心
- 設立40年以上の運営実績で信頼感
- 地方含む全国の長期案件に強い
- 共同受注制度で安定した稼働が可能
Engineer-Route(エンジニアルート)
高単価特化・即戦力向け
- 月70〜100万円台の案件が中心
- スキルマッチングが精緻でミスマッチ減
- 支払いサイト短めで資金繰り◎
Midworks(ミッドワークス)
正社員並みの保障で安心
- マージン公開で透明性が高い
- 待機時の報酬サポートなど保障充実
- 学習支援(書籍・資格費用補助)
ポテパンフリーランス
若手・実務浅めでも挑戦可
- スタートアップ・受託Web案件が中心
- ポテパン経由の学習〜実務導線
- キャリア相談の手厚さが好評
ギークスジョブ(geechs job)
Web/アプリに強い
- フロント・モバイル案件が豊富
- 福利厚生・税務サポートあり
- 20〜30代のスキル伸長に好相性
エンジニアファクトリー
老舗ならではの信頼感
- ベテラン層・リーダー案件が豊富
- 大手直・一次請け案件あり
- 定期フォローで長期稼働がしやすい
xhours
高単価案件を狙う方向け
- 業界最大級の案件数
- 大手直・一次請け案件あり
- 高単価案件多数
※単価・特徴は一般的な目安です。最新条件は必ず各公式サイトでご確認ください。
コメント