fortigate社製のFWのコマンド
よく使うコマンド
・ter len 0(永続)
→config system console
set output standard
end
・初期設定
60Eなどは、switchポートに192.168.1.0/24の端末を接続し、https://192.168.1.99へ、webブラウザを使ってアクセスする。
初期IDは、adminで、パスワードは未設定のため、空エンター。
HA構成の注意点
・60Dや60Eのsoftware switch(port1-7)は、ポリシーを削除しないとポート毎にポリシーなどの設定が行えない。
ポリシー削除後は、webguiのインターフェースから削除可能。
HA構成時も、ポートに分割しないと、モニターポートやHBポートとして使用できないので注意。
(OSのversionによって異なる。)
internalの分割はネットワールドさんのナレッジがわかりやすそう。
10105 デフォルトで設定されているスイッチインターフェイスの解除方法について
・同一ネットワークに2グループのHA構成を導入すると、ha group idが初期値の0なので周辺スイッチでMACフラップが起こる。CUIでのみ変更可能。グループ名変更のみでも回避可能?
・各I/Fへ設定可能なstp fowardは、BPDUを透過するが、スタンバイ機は透過しない。
(検証時はスイッチのdebugコマンドを使用すると便利。)
設定の注意点
・同一インターフェースを指定したポリシーは設定できるが、適用されない。
例:I/F毎にping応答するセグメントの制限などは不可能。
・trunk(vlan tag)の通信をaccessポートに流すことは無理。そのため、trunkのポートにトランスペアレントモードのfortigateを挟んで管理ipへのアクセスは不可。
トランスペアレントモードでI/Fにvlanifを作成しないと対抗へtagも通らない。
ついでにfowarding domainの作成が推奨?
・60Dと60Eの違い
60Eは起動が1分程度で完了する。
60Dは、execute shutdownを行って機器がシャットダウンされても、コンソールが反応する。60Eは反応しない。
・コマンド体系
executeで実行系(pingなど)
getでシステムの状態確認
configで各項目の設定
editで各パラメータの編集
endで設定の保存(commit相当で即時反映)
nextでポリシー編集時などにポリシー設定し抜ける
abortで設定を保存せず抜ける
deleteでポリシーなどのオブジェクトを削除
no相当のコマンドはおそらく無い。
・vdom作成時の仕様
vdom作成後はログイン後に使えるコマンドが通常時と違い制限される。
GUIでいうglobalには、「config global」で入る。vdomには、「config vdom」で入って、「edit <vdom名>」で設定できる。
・HA使用時のスタンバイ機
アクティブ-スタンバイ時での、スタンバイ機は基本的に通信をしない。おそらくFGCPのフレームのみ。
・show techのようなログの取得
→diagnose debug report