fc2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

FortiGate-VM 5.6系のトライアル版でHA構成が組めるようになった 仮想環境ESXi

2018.06.07 (Thu)

VMware ESXi6.7上にFortiGate-VM FortiOS 5.6.3を
インストールして動作検証をしているが、
これまで使用していた5.4系のトライアル版では、HA構成が組めなかったが、
FortiOS 5.6系ではHAが組めるようになった模様。

期間の制限はあるものの、エンタープライズ環境でよく使われるHA構成を
VMトライアル版で評価できるのは非常にありがたい。










まずは、ESXiの設定から。

HA専用のvSwitchを作成する必要がある。

また、HA専用のvSwitchでは、セキュリティ設定の
「MACアドレスの変更」、「偽装転送」を許可する必要がある。





◯設定変更手順

1.ESXiのWebUIにログイン。
2.左側のペインでVMwareサーバーを選択し、右側のペインで[ 構成 ]タブを選択。
3.ハードウェアのネットワークを選択。
4.HA専用のvSwitchを新規作成
5.作成したvSwitchの[プロパティ]ウィンドウの左ペイン、vSwitchを選択し、[編集]をクリック。
6.[セキュリティ]タブを選択し、「無作為モード」「MACアドレスの変更」「偽装転送」を[ 承諾 ]に設定し、[ OK]を選択。





次に、FortiGate-VMの設定変更だが、
アプライアンス版と同じ手順なので割愛します。




[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]

FortiGate完全攻略 [ 椎屋淳伸 ]
価格:3024円(税込、送料無料) (2018/6/7時点)







スポンサーサイト



FortiGate ファイアウォールポリシーのカウントをリセットする方法 FortiOS CLIコマンド GUI

2018.06.01 (Fri)


FortiGateのポリシーにはポリシー毎に、
通過したパケット/バイト数のカウンターがついています。

これをクリアする方法をご紹介します。


◯GUI

1)ポリシー&オブジェクト → ポリシー IPv4と進みます。
2)ファイアウォールポリシーの「カウント」フィールドの値を右クリックします。
3)「カウンタをクリア」をクリックします。

※「カウント」フィールドが表示されていない場合は、
 カラムの一番右端にある歯車マークをクリックして「カウント」にチェックをいれます。













◯CLI

次のCLIコマンドを実行して、
特定のファイアウォールポリシーのカウンタをリセットします。


FGT200E# diagnose firewall iprope clear 100004 「ポリシーID」




例)ポリシーID 500の「カウント」フィールドの値をリセットする場合

#diagnoseファイアウォールiprope clear 100004 500


※ポリシーID番号は、GUIの「Seq#」列に表示されているポリシー順序番号とは異なります。
 ファイアウォールポリシーのインデックス番号である
 ポリシーID番号は、GUIの「ID」列にあります。




すべてのポリシーのカウントフィールドをリセットするには、
単にポリシーIDを省略するだけです。


FGT200E# diagnose firewall iprope clear 100004



[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]

FortiGate完全攻略 [ 椎屋淳伸 ]
価格:3024円(税込、送料無料) (2018/6/1時点)








FortiGateのセッションをクリアする方法 すべてのセッションまたは特定のセッション CLI

2018.05.29 (Tue)

◯VDOM環境の場合はVDOMに遷移

config vdom
edit VDOM名




◯カレントセッション確認


FGT2000E # get system session status
The total number of sessions for the current VDOM: 4


FGT2000E # get system session list
PROTO EXPIRE SOURCE SOURCE-NAT DESTINATION DESTINATION-NAT
udp 73 10.0.0.200:44462 - 10.0.1.254:161 -
udp 73 10.0.0.200:49698 - 10.0.1.254:161 -
udp 73 10.0.0.200:52823 - 10.0.1.254:161 -
udp 73 10.0.0.200:57240 - 10.0.1.254:161 -












◯特定のセッションをクリア

まずはセッションクリアしたい通信をフィルタする

フィルタ一覧
------------------------------------------------------------------
FGT2000E # diagnose sys session filter ?
vd Index of virtual domain. -1 matches all.
sintf Source interface.
dintf Destination interface.
src Source IP address.
nsrc NAT'd source ip address
dst Destination IP address.
proto Protocol number.
sport Source port.
nport NAT'd source port
dport Destination port.
policy Policy ID.
expire expire
duration duration
proto-state Protocol state.
session-state1 Session state1.
session-state2 Session state2.
clear Clear session filter.
negate Inverse filter.
------------------------------------------------------------------



宛先ポート161をクリアするためのフィルタを定義

diagnose sys session filter dport 161



セッションクリア実行

FGT2000E # diagnose sys session clear



カレントセッション確認

FGT2000E # get system session list
PROTO EXPIRE SOURCE SOURCE-NAT DESTINATION DESTINATION-NAT







◯すべてのセッションをクリア

セッションフィルタをクリア

FGT2000E # diagnose sys session filter clear


セッションクリア実行

FGT2000E # diagnose sys session clear

※SSHセッションもクリアされるので要注意


 | HOME |  Next »