informatique:fortinet:start
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
informatique:fortinet:start [2024/10/14 08:07] – [iperf] pteu | informatique:fortinet:start [2025/02/10 08:58] (current) – [Reset factory] restauration pteu | ||
---|---|---|---|
Line 549: | Line 549: | ||
</ | </ | ||
- | =====Sauvegarde===== | + | =====Enregistrement de la configuration===== |
- | Il existe 3 modes de sauvegarde | + | Il existe 3 modes d' |
* '' | * '' | ||
- | * '' | + | * '' |
- | * '' | + | * '' |
<code bash> | <code bash> | ||
config global | config global | ||
| | ||
- | set cfg-save revert | + | set cfg-save revert |
- | set cfg-revert-timeout 300 | + | set cfg-revert-timeout 300 |
end | end | ||
</ | </ | ||
- | <WRAP center round important | + | <WRAP center round important |
- | il faut bien penser à désactiver le mode revert après la maintenance sinon il redémarrera à chaque modif (et ne la prendra pas en compte) ! | + | //Ça va sans dire, mais ça va mieux en le disant// : il faut bien désactiver le mode revert après la maintenance sinon le firewall |
</ | </ | ||
+ | =====Sauvegarde de la configuration===== | ||
+ | |||
+ | Les fortis peuvent __sauvegarder__ leur configuration (l' | ||
+ | <code bash> | ||
+ | config global | ||
+ | config system global | ||
+ | set revision-backup-on-logout | ||
+ | set revision-image-auto-backup enable # sauvegarde lors d'une mise à jour | ||
+ | end | ||
+ | end | ||
+ | end | ||
+ | </ | ||
+ | On retrouvera toutes les versions dans la webUI en cliquant sur l’icône en haut à droite : < | ||
======Routage====== | ======Routage====== | ||
Line 1201: | Line 1214: | ||
</ | </ | ||
- | Normalement l'IP de management du master devient l'IP virtuelle d' | + | Normalement l'IP de management du master devient l'IP virtuelle d' |
<code bash> | <code bash> | ||
- | # se connecter sur le membre d'id=1 du HA à partir du master | + | # se connecter sur le membre d'id=1 du HA à partir du master |
- | execute ha manage 1 | + | execute ha manage 1 < |
</ | </ | ||
Line 1229: | Line 1242: | ||
</ | </ | ||
- | ====Vérifications==== | + | ====Diagnostique==== |
+ | Rappel: pour obtenir un prompt sur le membre passif d'un cluster, il faut se connecter en SSH sur le membre actif, puis : | ||
<code bash> | <code bash> | ||
- | # activer/ | + | c g |
+ | execute ha manage <ID> < | ||
+ | # ex: execute ha manage 1 networkadmin | ||
+ | </code> | ||
+ | |||
+ | //à réaliser en mode global si les VDOMs sont activés.// | ||
+ | <code bash> | ||
+ | # état du HA (état de la configuration et status) | ||
+ | get system ha | ||
+ | get system ha status | ||
+ | |||
+ | # sensiblement identique à la commande précédente | ||
+ | diagnose sys ha status | ||
+ | </ | ||
+ | |||
+ | Si désynchro, détermination de la zone non synchro (également visible en GUI en plaçant le curseur sur "Not Synchronized" | ||
+ | <code bash> | ||
+ | # détermination du VDOM (ou global) non synchro | ||
+ | diagnose sys ha checksum cluster | ||
+ | |||
+ | # pour le VDOM non synchro (ex: global), détermination de la portion de conf non synchro | ||
+ | diagnose sys ha checksum show global | ||
+ | [...] | ||
+ | firewall.internet-service-name: | ||
+ | rule.fmwp: 00000000000000000000000000000000 | ||
+ | </ | ||
+ | à comparer avec la conf du membre désynchro; dans mon cas j'ai 2 portions de conf désynchro. | ||
+ | |||
+ | Plus rapidement, si comme dans l' | ||
+ | <code bash> | ||
+ | config system console | ||
+ | set output standard | ||
+ | end | ||
+ | </ | ||
+ | |||
+ | On peut resynchroniser la conf en saisissant manuellement les commandes manquantes sur le bon member ; si cela ne se fait pas tout seul (attendre quelques minutes quand même...), on relance le process de synchro : | ||
+ | < | ||
+ | # désactiver/ | ||
execute ha synchro stop | execute ha synchro stop | ||
execute ha synchro start | execute ha synchro start | ||
- | # reset l'âge des membres d'un cluster (pour palier certains vieux bug..) | + | diagnose sys ha checksum recalculate |
- | diagnose sys ha reset-uptime | + | |
</ | </ | ||
- | Diagnostique | + | Si toujours KO, remonter le cluster from scratch pour resynchroniser le backup sur le primaire (pas de coupure normalement, |
+ | |||
+ | |||
+ | ====Diag avancé / prise de trace==== | ||
<code bash> | <code bash> | ||
- | # état du HA | + | # sur le primaire |
- | get system | + | execute |
- | # informations détaillées | + | diag debug reset |
- | get system | + | diag debug enable |
+ | diag debug console timestamp enable | ||
+ | diag debug application hasync -1 | ||
+ | diag debug application hatalk -1 | ||
+ | execute | ||
- | # cmdes avancées (tshoot) | + | # sur le backup |
- | diagnose sys ha status | + | diag debug reset |
+ | diag debug enable | ||
+ | execute | ||
+ | diag debug console timestamp enable | ||
+ | diag debug application hasync -1 | ||
+ | diag debug application hatalk -1 | ||
+ | execute ha synchronize start | ||
+ | </ | ||
+ | A la fin du process (10m), désactiver le debug : | ||
+ | <code bash> | ||
+ | diag debug disable | ||
+ | diag debug reset | ||
+ | </ | ||
+ | |||
+ | <code bash> | ||
+ | # diag avancé | ||
diagnose sys ha dump 1 | diagnose sys ha dump 1 | ||
diagnose sys ha dump 2 | diagnose sys ha dump 2 | ||
Line 1257: | Line 1329: | ||
diagnose sys ha showcsum 2 | diagnose sys ha showcsum 2 | ||
diagnose sys ha showcsum 3 | diagnose sys ha showcsum 3 | ||
+ | |||
+ | # relancer le HA " | ||
+ | fnsysctl killall hasync | ||
+ | fnsysctl killall hatalk | ||
</ | </ | ||
+ | Liens : | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
======Log / Syslog====== | ======Log / Syslog====== | ||
Line 2063: | Line 2143: | ||
=====Reset factory===== | =====Reset factory===== | ||
+ | Pour effectuer un restauration d' | ||
<code bash> | <code bash> | ||
execute factoryreset | execute factoryreset |
informatique/fortinet/start.1728893274.txt.gz · Last modified: 2024/10/14 08:07 by pteu