informatique:fortinet:start
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionLast revisionBoth sides next revision | ||
informatique:fortinet:start [2022/10/07 13:59] – [Sessions] modifier le default TTL des sessions pteu | informatique:fortinet:start [2023/12/21 14:15] – [Agrégation de routes] pteu | ||
---|---|---|---|
Line 18: | Line 18: | ||
# récupérer la charge du système et son uptime | # récupérer la charge du système et son uptime | ||
- | get system performance status | + | (global) |
# affiche les informations des processus les plus consommateurs en CPU/mem | # affiche les informations des processus les plus consommateurs en CPU/mem | ||
Line 363: | Line 363: | ||
</ | </ | ||
- | Pour lister les IPs/logins bloqués : dans la GUI, " | + | Pour lister les IPs/logins bloqués |
<code bash> | <code bash> | ||
diagnose user quarantine list | diagnose user quarantine list | ||
+ | </ | ||
+ | |||
+ | Et pour débloquer un blocage : | ||
+ | <code bash> | ||
+ | diagnose user quarantine delete src4 x.x.x.x | ||
+ | </ | ||
+ | |||
+ | ====Configurer un serveur Radius==== | ||
+ | |||
+ | Pour centraliser les comptes/ | ||
+ | |||
+ | 1) déclarer le serveur Radius sur le VDOM de management (root par défaut) : en GUI c'est dans "User & Authentication > RADIUS servers" | ||
+ | <code bash> | ||
+ | config user radius | ||
+ | edit " | ||
+ | set server " | ||
+ | set secret blablabla | ||
+ | next | ||
+ | end | ||
+ | </ | ||
+ | |||
+ | 2) créer le groupe "Admin fortis" | ||
+ | <code bash> | ||
+ | config user group | ||
+ | edit "Admin fortis" | ||
+ | set member " | ||
+ | next | ||
+ | end | ||
+ | </ | ||
+ | |||
+ | 3) Créer chaque login en mode global : créer le login dans " | ||
+ | <code bash> | ||
+ | config system admin | ||
+ | edit " | ||
+ | set remote-auth enable | ||
+ | set accprofile " | ||
+ | set vdom " | ||
+ | set remote-group "Admin fortis" | ||
+ | set password ENC MASCARADE | ||
+ | next | ||
+ | end | ||
+ | </ | ||
+ | |||
+ | NB : on pourra définir un mot de passe de secours pour chaque compte, en cas d' | ||
+ | |||
+ | Diagnostique : | ||
+ | <code bash> | ||
+ | diagnose test auth radius pap < | ||
</ | </ | ||
======Configuration====== | ======Configuration====== | ||
Line 436: | Line 484: | ||
config system global | config system global | ||
set hostname mon_forti | set hostname mon_forti | ||
+ | set timezone 28 | ||
+ | #28 (GMT+1:00) Brussels, Copenhagen, Madrid, Paris | ||
| | ||
Line 660: | Line 710: | ||
====Agrégation de routes==== | ====Agrégation de routes==== | ||
- | Pour simplifier les tables de routage, on peut agréger les routes sur les ABR (Area Border Router) ou les routeurs | + | Pour simplifier les tables de routage, on peut agréger les routes sur les ABR (Area Border Router) ou les ASBR (Autonomous System Border Router). Cela consiste, sur ledit routeur, à fusionner plusieurs annonces en une seule, de préfixe plus court (par exemple 10.0.0.0/24 et 10.0.1.0/24 => 10.0.0.0**/ |
- | L' | + | L' |
* sur un ABR, pour agréger des routes apprises de l'aire 1 (c'est un exemple) : | * sur un ABR, pour agréger des routes apprises de l'aire 1 (c'est un exemple) : | ||
<code bash> | <code bash> | ||
config router ospf | config router ospf | ||
- | | + | |
- | edit 0.0.0.1 | + | edit 0.0.0.1 |
- | config range | + | config range |
- | edit 1 | + | edit 0 |
- | set prefix 10.0.0.0 255.255.254.0 | + | set prefix 10.0.0.0 255.255.254.0 |
- | end | + | |
end | end | ||
+ | end | ||
end | end | ||
</ | </ | ||
- | * sur un ASBR, pour agréger des routes | + | * sur un ASBR, pour agréger des routes redistribuées |
<code bash> | <code bash> | ||
config router ospf | config router ospf | ||
- | | + | |
- | edit 1 | + | edit 0 |
- | set prefix 10.0.0.0 255.255.254.0 | + | set prefix 10.0.0.0 255.255.254.0 |
- | end | + | end |
end | end | ||
</ | </ | ||
- | Ces routes sont visibles dans la table de routage sous la forme : | + | Ces routes sont visibles dans la table de routage |
<code bash> | <code bash> | ||
get router info routing-table ospf | get router info routing-table ospf | ||
Line 693: | Line 743: | ||
</ | </ | ||
- | source | + | On voit les réseaux dans la database |
+ | <code bash> | ||
+ | get router info ospf database brief | ||
+ | [..] | ||
+ | Summary Link States (Area 0.0.0.0) | ||
+ | |||
+ | Link ID ADV Router | ||
+ | 10.0.0.0 | ||
+ | [..] | ||
+ | |||
+ | |||
+ | get router info ospf database summary lsa 10.0.0.0 | ||
+ | [..] | ||
+ | Summary Link States (Area 0.0.0.0) | ||
+ | |||
+ | LS age: 309 | ||
+ | Options: 0x2 (*|-|-|-|-|-|E|-) | ||
+ | LS Type: summary-LSA | ||
+ | Link State ID: 10.0.0.0 (summary Network Number) | ||
+ | Advertising Router: 10.0.10.1 | ||
+ | LS Seq Number: 800002df | ||
+ | Checksum: 0x60e2 | ||
+ | Length: 28 | ||
+ | Network Mask: /23 | ||
+ | TOS: 0 Metric: 11 | ||
+ | </ | ||
+ | |||
+ | sources : | ||
+ | * [[http:// | ||
+ | * https:// | ||
====Redistribution de route==== | ====Redistribution de route==== | ||
Line 1222: | Line 1301: | ||
# générer des messages de log pour test : | # générer des messages de log pour test : | ||
diagnose log test | diagnose log test | ||
+ | </ | ||
+ | |||
+ | Pour debugguer le process de gestion des logs, miglogd : | ||
+ | <code bash> | ||
+ | diagnose debug application miglogd -1 | ||
+ | diagnose debug enable | ||
</ | </ | ||
Line 1671: | Line 1756: | ||
</ | </ | ||
======MAJ du firmware====== | ======MAJ du firmware====== | ||
+ | |||
+ | =====Choisir le bon===== | ||
+ | |||
+ | Ces quelques lignes non contractuelles vous donnerons des pistes pour déterminer la bonne version à installer dans votre environnement. | ||
+ | |||
+ | Il est globalement recommandé, | ||
+ | |||
+ | A la différence d' | ||
+ | |||
+ | Plus une version (majeure = les 2 premier chiffres dans le numéro de version, par exemple 7.2) est récente, plus elle dispose de fonctionnalités mais plus elle risque de comporter des bugs. De ce fait il est officieusement recommandé de ne pas installer en production des versions "trop jeunes", | ||
+ | |||
+ | Pour accéder aux outils Fortinet, on se log sur le portail [[https:// | ||
+ | |||
+ | * " | ||
+ | |||
+ | * " | ||
+ | |||
+ | Les versions **NPI** (New Product Integration) possèdent | ||
+ | |||
+ | Depuis la version 7.2, les versions même mineures sont tagguées en **Feature ou Mature release** ; ces flags sont indiqués dans le nom de l' | ||
+ | |||
+ | Une fois la bonne version trouvée, jetez un œil aux release notes de celle-ci afin d' | ||
+ | |||
+ | |||
+ | =====Mise en œuvre===== | ||
On peut récupérer la version courante en mode global : | On peut récupérer la version courante en mode global : |
informatique/fortinet/start.txt · Last modified: 2024/02/28 14:55 by pteu