🧱 FortiGate 網路診斷全攻略：最實用的 CLI 介面、路由與封包抓取指令教學

🧱 FortiGate 網路診斷全攻略：最實用的 CLI 介面、路由與封包抓取指令教學

整理現場最常用的 FortiGate 診斷指令：介面、路由、會話、策略匹配、封包抓取與流量路徑分析，快速定位「哪裡不通、為何不通」。

一、介面與 Link 狀態

get system interface
diagnose netlink interface list
get hardware nic <port>

二、路由與可達性

get router info routing-table all
execute traceroute 8.8.8.8
diagnose ip route list
get router info bgp summary

三、策略匹配與會話

diagnose sys session list
diagnose sys session filter <cond>
diagnose debug flow filter add <cond>
diagnose debug flow show console enable
diagnose debug flow trace start 200
diagnose debug enable

四、封包抓取（內建 sniffer）

diagnose sniffer packet any 'host 1.1.1.1' 4 100
diagnose sniffer packet port1 'icmp' 3 0 a
# 停止：Ctrl + C

五、常見排障情境

• 策略未命中 → 檢查 debug flow；確認 src/dst/port。
• 回程不通 → 檢查路由與對端 SNAT。
• VPN 斷續 → 看 IKE/DPD 與對端相容性、時鐘同步。

📘 結語

用「介面→路由→策略→會話→抓包」五步驟，建立可複製的排障流程；把 CLI 守備動作變日常。

---

🔗 延伸閱讀

• FortiGate 常用 CLI 指令清單
• FortiGate 策略與物件管理實務
• Proxmox VE 網路 / VLAN / Bridge（延伸網管）

— WWFandy・主題筆記