🧱 FortiGate 網路診斷全攻略:最實用的 CLI 介面、路由與封包抓取指令教學
整理現場最常用的 FortiGate 診斷指令:介面、路由、會話、策略匹配、封包抓取與流量路徑分析,快速定位「哪裡不通、為何不通」。
一、介面與 Link 狀態
get system interface
diagnose netlink interface list
get hardware nic <port>
二、路由與可達性
get router info routing-table all
execute traceroute 8.8.8.8
diagnose ip route list
get router info bgp summary
三、策略匹配與會話
diagnose sys session list
diagnose sys session filter <cond>
diagnose debug flow filter add <cond>
diagnose debug flow show console enable
diagnose debug flow trace start 200
diagnose debug enable
四、封包抓取(內建 sniffer)
diagnose sniffer packet any 'host 1.1.1.1' 4 100
diagnose sniffer packet port1 'icmp' 3 0 a
# 停止:Ctrl + C
五、常見排障情境
- 策略未命中 → 檢查
debug flow;確認 src/dst/port。 - 回程不通 → 檢查路由與對端 SNAT。
- VPN 斷續 → 看 IKE/DPD 與對端相容性、時鐘同步。
📘 結語
用「介面→路由→策略→會話→抓包」五步驟,建立可複製的排障流程;把 CLI 守備動作變日常。
🔗 延伸閱讀
— WWFandy・主題筆記
沒有留言: