熱門分類
載入中…
目錄0%

🧱 FortiGate 網路診斷全攻略:最實用的 CLI 介面、路由與封包抓取指令教學

    FortiGate 是許多企業網路中不可或缺的防火牆設備。 當遇到「無法上網」、「封包異常」或「路由錯誤」等狀況時, 善用 CLI(Command Line Interface) 可更精準地掌握系統狀態。 本篇彙整最常用的診斷指令,協助工程師快速定位並解決問題。


    📍 一、查看網路介面狀態

    用來檢查埠狀態、IP、連線品質與錯誤統計:

    show system interface
    get system interface physical
    diagnose hardware deviceinfo nic port1
    get system arp
      

    ✅ 建議:

    • 若介面顯示 down,請檢查實體線路與 VLAN 設定。
    • 若出現高錯誤值,可檢查交換器速率或線材品質。

    🌐 二、檢查路由表與封包走向

    確認封包從哪個介面發出、下一跳(Next Hop)為何:

    get router info routing-table all
    show router static
    get router info routing-table details 10.1.1.0
    execute traceroute 192.168.10.1
      

    ✅ 建議:

    • 可用 execute ping 192.168.10.1 測試通訊是否可達。
    • 若無匹配路由,請檢查 Default Route 或 Policy 放行狀態。

    🧱 三、檢查 Firewall Policy

    防火牆規則錯誤是許多流量異常的主因:

    show firewall policy
    show firewall policy 10
    diagnose sys session list | grep 10.1.1.10
      

    ✅ 建議:

    • 確認 Policy 順序與來源/目的符合實際需求。
    • 若流量被阻擋,可搭配 diag debug flow 觀察匹配結果。

    📡 四、封包抓取(Sniffer)

    當懷疑封包被擋或轉送錯誤時,使用內建 Sniffer 工具最直覺:

    diagnose sniffer packet any '(src host 10.1.1.10 or dst host 192.168.10.20)' 4 0
      

    參數說明:

    • any: 代表所有介面。
    • 4: 顯示詳度(1~4 級)。
    • 0: 持續抓取直到手動停止。

    ✅ 建議:

    • 若需輸出檔案,可於 GUI → Packet Capture 下載 .pcap 分析。
    • 可搭配 diag debug flow 進行更深入除錯。

    🧰 五、常用診斷輔助指令

    get system status
    get system performance status
    diag sys session stat
    execute ping 192.168.10.1
    diag debug enable
    diag debug flow show console enable
    diag debug flow trace start 100
      

    ✅ 小技巧:

    • 若 CPU 使用率高,可用 diag sys top 找出異常進程。
    • 若 session 過多,可用 diag sys session clear 清除舊連線。

    📘 總結

    FortiGate CLI 是網管與資安工程師的強大助手。 熟悉上述指令能快速排除故障、分析流量, 並確保防火牆策略與實際行為一致。 建議每次修改設定後,都搭配 CLI 驗證,以維持環境穩定與可預測性。

    — WWFandy・網路與資安筆記


    🔗 延伸閱讀

    LIST 7_DAYS 5 LIST ALL_TIME 5
    🔗 分享這篇 LINE Facebook X

    沒有留言:

    字級