wwfandy: 🧱 FortiGate 網路診斷全攻略：最實用的 CLI 介面、路由與封包抓取指令教學

FortiGate 是許多企業網路中不可或缺的防火牆設備。當遇到「無法上網」、「封包異常」或「路由錯誤」等狀況時，善用 CLI（Command Line Interface） 可更精準地掌握系統狀態。本篇彙整最常用的診斷指令，協助工程師快速定位並解決問題。

📍 一、查看網路介面狀態

用來檢查埠狀態、IP、連線品質與錯誤統計：

show system interface
get system interface physical
diagnose hardware deviceinfo nic port1
get system arp

✅ 建議：

若介面顯示 down，請檢查實體線路與 VLAN 設定。
若出現高錯誤值，可檢查交換器速率或線材品質。

🌐 二、檢查路由表與封包走向

確認封包從哪個介面發出、下一跳（Next Hop）為何：

get router info routing-table all
show router static
get router info routing-table details 10.1.1.0
execute traceroute 192.168.10.1

✅ 建議：

可用 execute ping 192.168.10.1 測試通訊是否可達。
若無匹配路由，請檢查 Default Route 或 Policy 放行狀態。

🧱 三、檢查 Firewall Policy

防火牆規則錯誤是許多流量異常的主因：

show firewall policy
show firewall policy 10
diagnose sys session list | grep 10.1.1.10

✅ 建議：

確認 Policy 順序與來源/目的符合實際需求。
若流量被阻擋，可搭配 diag debug flow 觀察匹配結果。

📡 四、封包抓取（Sniffer）

當懷疑封包被擋或轉送錯誤時，使用內建 Sniffer 工具最直覺：

diagnose sniffer packet any '(src host 10.1.1.10 or dst host 192.168.10.20)' 4 0

參數說明：

any： 代表所有介面。
4：顯示詳度（1~4 級）。
0：持續抓取直到手動停止。

✅ 建議：

若需輸出檔案，可於 GUI → Packet Capture 下載 .pcap 分析。
可搭配 diag debug flow 進行更深入除錯。

🧰 五、常用診斷輔助指令

get system status
get system performance status
diag sys session stat
execute ping 192.168.10.1
diag debug enable
diag debug flow show console enable
diag debug flow trace start 100

✅ 小技巧：

若 CPU 使用率高，可用 diag sys top 找出異常進程。
若 session 過多，可用 diag sys session clear 清除舊連線。

📘 總結

FortiGate CLI 是網管與資安工程師的強大助手。熟悉上述指令能快速排除故障、分析流量，並確保防火牆策略與實際行為一致。建議每次修改設定後，都搭配 CLI 驗證，以維持環境穩定與可預測性。

— WWFandy・網路與資安筆記

🔗 延伸閱讀

LIST

7_DAYS

LIST

ALL_TIME

🧱 FortiGate 網路診斷全攻略：最實用的 CLI 介面、路由與封包抓取指令教學

📍 一、查看網路介面狀態

🌐 二、檢查路由表與封包走向

🧱 三、檢查 Firewall Policy

📡 四、封包抓取（Sniffer）

🧰 五、常用診斷輔助指令

📘 總結

🔗 延伸閱讀

沒有留言:

張貼留言