MENU
高卒フリーターだった僕が、 IT転職で年収1200万まで行った話。
  1. ホーム
  2. "そこそこレベル"ITエンジニア教室
  3. NW機器オペレーション
  4. Fortigateでよく使うコマンドを厳選して解説

Fortigateでよく使うコマンドを厳選して解説

NW機器オペレーション

安価で扱いやすく高性能なため普及率が上がっているFortigateでよく使うコマンドを解説します。

目次

構築時に使うコマンド

初期化

execute factoryreset

VDOM有効化

config system global
    set vdom-admin enable
end

switch mode解除

config system dhcp
    server delete 1
end
config firewall policy
    delete 1
end
config system virtual-switch
    delete internal
end

バージョンが古いとき

config system dhcp server
    delete 1
end
config firewall policy
    delete 1
end
config system global
    set internal-switch-mode interface
end

ルーティング

ルーティングテーブル表示

get router info routing-table all
get router info routing-table data

BGP

BGPネイバー表示

get router info bgp summary

BGP受信ルート表示

get router info bgp neighbors <ネイバーIPアドレス> received-routes

BGP広告ルート表示

get router info bgp neighbors <ネイバーIPアドレス> advertised-routes

IPSec関連

IPSec事前共有鍵の確認方法

FortiOS 5.4以降

diagnose sys ha checksum show <VDOM> vpn.ipsec.phase1-interface <Phase-1の名前>

FortiOS 5.3まで

diagnose sys ha showcsum <VDOM> vpn.ipsec.phase1-interface <Phase-1の名前>

IPSecがうまく張れないときのデバッグ方法

STEP
デバッグ設定
diagnose debug app ike -1
STEP
デバッグ開始
diagnose debug enable
STEP
デバッグ停止
diagnose debug disable
STEP
デバッグ設定解除
diagnose debug app ike 0

トンネルリスト表示

diagnose vpn tunnel list

システム状態確認

バージョン表示

get system status

HA状態表示

get system ha status

起動時間表示

get system performance status

CPU・メモリ使用率確認

get system performance status

リアルタイムにCPU・メモリ使用率を表示

diagnose sys top-summary

システム操作

再起動

execute reboot

シャットダウン

execute shutdown

フェイルオーバー/フェイルバック

Master機でコマンドを実行するとSlaveへ移行する。

オーバーライドが無効の場合のみ(デフォルト無効)

diagnose sys ha reset-uptime

オーバーライドを有効化している場合は、Slave機のHAプライオリティ値をMaster機よりも大きくすることでHAが切り替わります。

トラブルシューティング

パケットキャプチャ

diagnose sniffer packet [Interface] [Filter] [Verbose] [Count] [Tsformat]
Interface

インタフェースを指定します。トラブルシューティングの場合は「any」にすることをおすすめします。

diagnose sniffer packet any
Filter

フィルターはtcpdump形式のものが利用できます。ダブルクォート(”)あるいはシングルクォート(')で囲む必要があるので注意してください。

diagnose sniffer packet any "tcp and port 443"
Verbose

出力レベルは1から6まで指定できます。一番使いやすいのは「4」です。

diagnose sniffer packet any "tcp and port 443" 4
Verbose出力される内容
1もっとも単純な出力
2パケットを16進数でダンプする
3イーサネットヘッダーを含めて16進数でダンプする
4インタフェース名を出力する
5インタフェース名に加えてパケットを16進数でダンプする
6インタフェース名に加えてイーサネットヘッダーを含めパケットを16進数でダンプする
Count

出力回数を指定します。0にすると回数制限をしません。

diagnose sniffer packet any "tcp and port 443" 4 0
Tsformat

タイムスタンプを表示します。通常は「l(エル)」が使いやすいです。

diagnose sniffer packet any "tcp and port 443" 4 0 l
オプション表示される内容
aUTCで時刻を表示
lローカルタイムで時刻を表示

通信が通っているはずなのにパケットキャプチャで表示されない場合

Fortigateの仕様で、ASICで処理されたパケットはキャプチャできません。

パケットキャプチャできるのはCPUで処理されたパケットのみであるため、パケットキャプチャできない場合はポリシーでASIC処理をオフにします。

以下はポリシーIDが1の場合の設定です。

IPv4パケットの場合
config firewall policy
    edit 1
        set auto-asic-offload disable
    next
end
IPv6パケットの場合
config firewall policy6
    edit 1
        set auto-asic-offload disable
    next
end
マルチキャストの場合
config firewall multicast-policy
    edit 1
        set auto-asic-offload disable
    next
end

auto-asic-offload disableは性能影響が出るので、パケットキャプチャが済んだらenableに戻しておくことを忘れないでください。

パスワードが分からないとき

STEP
Frotigatの裏面に記載されているシリアル番号を控える
STEP
シリアルケーブルでFortigateとPCを接続する
STEP
Fortigateの電源を入れる(もしくは再起動)
STEP
「login:」が表示されるまで待つ
STEP
「login:」が表示されたら30秒以内に次のユーザー名・パスワードの組み合わせでログインする
ユーザー名maintainer
パスワードbcpbXXXxxxxxxxxxxxx

「XXXxxxxxxxxxxxx」はFortigateのシリアル番号

STEP
ログインできたらパスワードを再設定する
Post Views: 2
NW機器オペレーション
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

ジョージのアバター ジョージ

氷河期世代ど真ん中。
高卒フリーターからブラック企業を経てITエンジニアに転職。
リーマンショックのときは派遣切りにも遭いました!
36歳でフリーランスに転向し、現在は年収1200万円を突破!
年収アップを応援するWEBサイトを運営しています。

関連記事

関連する記事はまだ見つかりませんでした。

コメント

コメントする

目次