Differences

This shows you the differences between two versions of the page.

--- informatique:fortinet:start [2019/09/02 14:36] – [Interfaces] Port d'admin dédié pteu
+++ informatique:fortinet:start [2020/01/28 15:36] – [Interfaces] Création d'un switch logique pteu
@@ Line 175: / Line 175: @@
 attention les paramètres de l'agrégat doivent concorder avec la configuration de l'équipement d'en face !
 </WRAP>
+===Création d'un switch logique===
+Pour créer un bridge (un switch logique) entre plusieurs ports d'un Fortigate :
+<code bash>
+config system switch-interface
+   edit mon-switch-soft
+   set members port1 port2 port3 port4
+end
+</code>
+NB :
+  * ces interfaces doivent être vierges de toute configuration ;
+  * certaines fonctionnalités seront limitées sur ces interfaces
+  * des performances moindres sont également à prévoir
 ====Accélération hardware (NP)====
@@ Line 1351: / Line 1366: @@
 =====sniffer packet=====
-C'est une implémentation de tcpdump ; la syntaxe basique est : ''diagnose sniffer packet <interface> '<filter>' <verbose> <count> <time-format>'', par exemple pour sniffer TOUT le trafic :
+C'est une implémentation de tcpdump ; la syntaxe basique est : ''diagnose sniffer packet <interface> '<filter>' [ <verbose> <count> <time-format> ]'', par exemple pour sniffer TOUT le trafic :
 <code bash>
 diagnose sniffer packet any '' 4 0 l
@@ Line 1367: / Line 1382: @@
 <WRAP center round info 80%>
-Il est important de noter que les paquets accélérés par les Network Processors (NP1, 2 etc...)  __ne sont pas capturés__ par cette commande. Pour sniffer ces paquets, il faut au préalable [[informatique:fortinet:start#acceleration_hardware_np|désactiver l'accélération matérielle]] sur le flux qu'on veut sniffer.
+Il est important de noter que les paquets accélérés par les Network Processors (NP1, 2 etc...) ne sont pas capturés par cette commande, excepter les ouvertures de sessions. Pour sniffer tous ces paquets, il faut au préalable [[informatique:fortinet:start#acceleration_hardware_np|désactiver l'accélération matérielle]] sur le flux qu'on veut sniffer mais cela aura un impact sur les performances.
 </WRAP>
@@ Line 1406: / Line 1421: @@
 diagnose debug app hatalk 255
+# Afficher les paquets ICMP de type 3 code 4
+# (fragmentation nécessaire mais impossible à cause du drapeau (flag) DF)
+diagnose sniffer packet any 'icmp[0] = 3 and icmp[1] = 4' 4 0 l
+# alternative :
+diagnose sniffer packet any 'icmp[0:2] = 0x0304' 4 0 l
 </code>
@@ Line 1451: / Line 1472: @@
 </code>
-NB : il n'est (à priori) pas/plus possible, dans les dernières versions de firmware (5.x et +), d'uploader une image sur le Fortigate sans l'activer : le coup le firewall reboot systématiquement à chaque upload de firmware.
+NB : il n'est (à priori) pas/plus possible, dans les dernières versions de firmware (5.x et +), d'uploader une image sur le Fortigate sans l'activer : le firewall reboot systématiquement à chaque upload de firmware.
@@ Line 1735: / Line 1756: @@
 </code>
+=====Where used ?=====
+Pour pouvoir supprimer un objet (adresse, interface, VDOM, etc...) il faut que toutes ses références, dans d'autres objets, soient supprimées.
+Par exemple pour supprimer une interface, il faut au préalable supprimer les routes statiques, les tunnels, les objets addresse, etc... qui en font mention. Cela peut se faire en webUI, dans le menu "Network > Interfaces" en affichant la colonne ''Ref.'' :
+{{ :informatique:fortinet:forti_refs_col.png?600 |}}
+On peut aussi lister les objets utilisés directement en CLI, avec la (nouvelle) commande :
+<code bash>
+fgt600e (global) # diagnose sys cmdb refcnt show system.interface:name ico_extranet
+entry used by table system.interface:name 'VISIO'
+entry used by table system.interface:name 'WIFI'
+</code>
 ======Liens utiles======
   * [[http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_enhance_security.html|Enhancing FortiGate Security (fortinet.com)]]