FortiGate で CLI を使ってみる

FortiGate の設定案件があったので、手元にあったシリアルケーブルで接続してみた。

接続

工場出荷時状態に戻してから、シリアルコンソールで接続してみた。

シリアル番号をがホスト名としてログインプロンプトが表示される。

工場出荷時状態では、管理者アカウント名が admin でパスワードは設定されていないので何も入力せずに ENTER キーを押下する。

1
2
3
4
5
FGT50E5XXXXXXXXX login: admin
Password:
Welcome !

FGT50E5XXXXXXXXX #

設定階層

他のネットワーク機器と同様に FortiGate でも設定は各階層に移動して行う。

階層のイメージはだいたい、こんな感じ。

1
2
3
+- config
+- edit
+- set

階層を移動する

ルーティングの設定をする階層に移動し、設定後に上の階層に戻って見る。

1
2
3
4
FGT50E5XXXXXXXXX # config router static
FGT50E5XXXXXXXXX (static) #
...
FGT50E5XXXXXXXXX (static) # end

help 表示

入力するコマンドに困ったら help コマンドで実行可能なコマンドの一覧が表示される。

1
2
3
4
5
6
7
FGT50E5XXXXXXXXX # ?
config Configure object.
get Get dynamic and system information.
show Show configuration.
diagnose Diagnose facility.
execute Execute static commands.
exit Exit the CLI.

設定内容を表示する

show コマンドで保存されている設定内容を表示する

1
FGT50E5XXXXXXXXX # show full-configuration

grep <キーワード>でキーワードを含む行だけを表示することもできる。

1
2
FGT50E5XXXXXXXXX # show full-configuration | grep -f <キーワード>
`

ping コマンド

ネットワーク機器なので、ping コマンドを使える。

1
2
3
4
5
6
7
8
9
10
11
FGT50E5XXXXXXXXX # execute ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1): 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=64 time=0.3 ms
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.3 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.2 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=0.3 ms
64 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=0.3 ms

--- 192.168.1.1 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.3 ms

インターフェース設定

インターフェースに IP アドレスを設定する

1
2
3
4
# config system interface            // インターフェース設定の階層に移動する
# edit wan1 // インターフェースを指定する
# set ip 192.168.1.244 255.255.255.0 // IP アドレスを設定する
# end // 設定を保存し、元の階層に戻る

※ 設定を保存せずに元の階層に戻るには、abort コマンドを実行する。

インターフェースの IP アドレスを確認する

設定後には、設定が正しく保存されたかを確認したい。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
FGT50E5XXXXXXXXX # config system interface

FGT50E5XXXXXXXXX (interface) # show

config system interface
edit "mgmt"
set vdom "root"
set ip 192.168.21.200 255.255.255.0
set allowaccess ping https ssh snmp
set type physical
set dedicated-to management
set role lan
set snmp-index 1
next
edit "wan1"
set vdom "root"
set mode dhcp
set allowaccess ping fgfm
set status down
set type physical
set role wan
set snmp-index 2
next
  ...
edit "test-lag"
set vdom "root"
set ip 172.20.11.254 255.255.255.0
set allowaccess ping https
set type aggregate
set member "port5" "port6" "port7" "port8"
set role lan
set snmp-index 23
next
  ...
end

インターフェースのリンクアップ状態を確認する

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
FGT50E5XXXXXXXXX # get system interface physical
== [onboard]
==[dmz1]
mode: static
ip: 10.10.10.1 255.255.255.0
ipv6: ::/0
status: down
speed: n/a
==[dmz2]
mode: static
ip: 0.0.0.0 0.0.0.0
ipv6: ::/0
status: down
speed: n/a
==[mgmt]
mode: static
ip: 192.168.21.200 255.255.255.0
ipv6: ::/0
status: up
speed: 1000Mbps (Duplex: full)
...

システム関連

ファームウェアバージョンを確認する

これを一番最初に確認するべきか?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
FGT50E5XXXXXXXXX # get system status
Version: FortiGate-200D v5.4.4,build1117,170209 (GA)
Virus-DB: 1.00123(2015-12-11 13:18)
Extended DB: 1.00000(2012-10-17 15:46)
IPS-DB: 6.00741(2015-12-01 02:30)
IPS-ETDB: 0.00000(2001-01-01 00:00)
Serial-Number: FG200D4Q16816747
IPS Malicious URL Database: 1.00638(2017-05-08 05:31)
Botnet DB: 3.00373(2017-05-08 10:08)
BIOS version: 05000004
System Part-Number: P11545-07
Log hard disk: Available
Hostname: FGT50E5XXXXXXXXX
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 1117
Release Version Information: GA
FortiOS x86-64: Yes
System time: Fri Jul 14 11:46:43 2017

ASICバージョンを確認する

別の機器で確認したので Model name が上記とは変わっている。

1
2
3
4
5
6
7
8
9
10
Model name: FortiGate-200D
ASIC version: CP8
ASIC SRAM: 64M
CPU: Intel(R) Celeron(R) CPU G540 @ 2.50GHz
Number of CPUs: 2
RAM: 3951 MB
Compact Flash: 15331 MB /dev/sda
Hard disk: 61057 MB /dev/sdb
USB Flash: not available
Network Card chipset: Intel(R) PRO/1000 Network Connection (rev.0000)