FortiGate 是許多企業網路中不可或缺的防火牆設備。 當遇到「無法上網」、「封包異常」或「路由錯誤」等狀況時, 善用 CLI(Command Line Interface) 可更精準地掌握系統狀態。 本篇彙整最常用的診斷指令,協助工程師快速定位並解決問題。
📍 一、查看網路介面狀態
用來檢查埠狀態、IP、連線品質與錯誤統計:
show system interface get system interface physical diagnose hardware deviceinfo nic port1 get system arp
✅ 建議:
- 若介面顯示
down,請檢查實體線路與 VLAN 設定。 - 若出現高錯誤值,可檢查交換器速率或線材品質。
🌐 二、檢查路由表與封包走向
確認封包從哪個介面發出、下一跳(Next Hop)為何:
get router info routing-table all show router static get router info routing-table details 10.1.1.0 execute traceroute 192.168.10.1
✅ 建議:
- 可用
execute ping 192.168.10.1測試通訊是否可達。 - 若無匹配路由,請檢查 Default Route 或 Policy 放行狀態。
🧱 三、檢查 Firewall Policy
防火牆規則錯誤是許多流量異常的主因:
show firewall policy show firewall policy 10 diagnose sys session list | grep 10.1.1.10
✅ 建議:
- 確認 Policy 順序與來源/目的符合實際需求。
- 若流量被阻擋,可搭配
diag debug flow觀察匹配結果。
📡 四、封包抓取(Sniffer)
當懷疑封包被擋或轉送錯誤時,使用內建 Sniffer 工具最直覺:
diagnose sniffer packet any '(src host 10.1.1.10 or dst host 192.168.10.20)' 4 0
參數說明:
- any: 代表所有介面。
- 4: 顯示詳度(1~4 級)。
- 0: 持續抓取直到手動停止。
✅ 建議:
- 若需輸出檔案,可於 GUI → Packet Capture 下載
.pcap分析。 - 可搭配
diag debug flow進行更深入除錯。
🧰 五、常用診斷輔助指令
get system status get system performance status diag sys session stat execute ping 192.168.10.1 diag debug enable diag debug flow show console enable diag debug flow trace start 100
✅ 小技巧:
- 若 CPU 使用率高,可用
diag sys top找出異常進程。 - 若 session 過多,可用
diag sys session clear清除舊連線。
📘 總結
FortiGate CLI 是網管與資安工程師的強大助手。 熟悉上述指令能快速排除故障、分析流量, 並確保防火牆策略與實際行為一致。 建議每次修改設定後,都搭配 CLI 驗證,以維持環境穩定與可預測性。
— WWFandy・網路與資安筆記
沒有留言: