informatique:fortinet:start
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
informatique:fortinet:start [2022/11/25 10:13] – [Log / Syslog] miglogd pteu | informatique:fortinet:start [2024/02/28 14:55] (current) – [Interfaces] MTU / TCP-MSS pteu | ||
---|---|---|---|
Line 18: | Line 18: | ||
# récupérer la charge du système et son uptime | # récupérer la charge du système et son uptime | ||
- | get system performance status | + | (global) |
# affiche les informations des processus les plus consommateurs en CPU/mem | # affiche les informations des processus les plus consommateurs en CPU/mem | ||
Line 184: | Line 184: | ||
set mtu-override enable | set mtu-override enable | ||
set mtu 9000 | set mtu 9000 | ||
+ | next | ||
+ | # modifier la TCP MSS (doit être = MTU - 40 (20 d' | ||
+ | config system interface | ||
+ | edit " | ||
+ | set tcp-mss 8960 | ||
+ | next | ||
+ | </ | ||
+ | <WRAP center round tip 80%> | ||
+ | Rappel: la MTU IP est de 1500 octets par défaut. Pour la vérifier entre 2 machines, il faut lancer un PING en interdisant la fragmentation (bit " | ||
+ | </ | ||
+ | |||
+ | <code bash> | ||
+ | # Sous Linux: | ||
+ | ping -M do -s 1473 10.10.10.10 | ||
+ | > ping: local error: Message too long, mtu=1500 | ||
+ | # Sous Windows: | ||
+ | ping -f -l 1473 | ||
+ | > Le paquet doit être fragmenté mais paramétré DF. | ||
+ | # Sous FortiOS : | ||
+ | execute ping-options df-bit yes | ||
+ | execute ping-options data-size 1473 | ||
+ | execute ping 10.10.10.10 | ||
+ | > sendto failed | ||
</ | </ | ||
+ | //A noter que les erreurs affichées ci-dessus sont locales car détectées directement par ma machine cliente, dans la mesure ou l'on dépasse sa propre MTU. En général ce test est réalisé pour détecter la MTU sur le réseau entre 2 machines distantes quand on suspecte une MTU réduite (< 1500).// | ||
Afficher les caractéristiques des modules GBIC/SFP* connectés et reconnus : | Afficher les caractéristiques des modules GBIC/SFP* connectés et reconnus : | ||
Line 363: | Line 387: | ||
</ | </ | ||
- | Pour lister les IPs/logins bloqués : dans la GUI, " | + | Pour lister les IPs/logins bloqués |
<code bash> | <code bash> | ||
diagnose user quarantine list | diagnose user quarantine list | ||
+ | </ | ||
+ | |||
+ | Et pour débloquer un blocage : | ||
+ | <code bash> | ||
+ | diagnose user quarantine delete src4 x.x.x.x | ||
+ | </ | ||
+ | |||
+ | ====Configurer un serveur Radius==== | ||
+ | |||
+ | Pour centraliser les comptes/ | ||
+ | |||
+ | 1) déclarer le serveur Radius sur le VDOM de management (root par défaut) : en GUI c'est dans "User & Authentication > RADIUS servers" | ||
+ | <code bash> | ||
+ | config user radius | ||
+ | edit " | ||
+ | set server " | ||
+ | set secret blablabla | ||
+ | next | ||
+ | end | ||
+ | </ | ||
+ | |||
+ | 2) créer le groupe "Admin fortis" | ||
+ | <code bash> | ||
+ | config user group | ||
+ | edit "Admin fortis" | ||
+ | set member " | ||
+ | next | ||
+ | end | ||
+ | </ | ||
+ | |||
+ | 3) Créer chaque login en mode global : créer le login dans " | ||
+ | <code bash> | ||
+ | config system admin | ||
+ | edit " | ||
+ | set remote-auth enable | ||
+ | set accprofile " | ||
+ | set vdom " | ||
+ | set remote-group "Admin fortis" | ||
+ | set password ENC MASCARADE | ||
+ | next | ||
+ | end | ||
+ | </ | ||
+ | |||
+ | NB : on pourra définir un mot de passe de secours pour chaque compte, en cas d' | ||
+ | |||
+ | Diagnostique : | ||
+ | <code bash> | ||
+ | diagnose test auth radius pap < | ||
</ | </ | ||
======Configuration====== | ======Configuration====== | ||
Line 436: | Line 508: | ||
config system global | config system global | ||
set hostname mon_forti | set hostname mon_forti | ||
+ | set timezone 28 | ||
+ | #28 (GMT+1:00) Brussels, Copenhagen, Madrid, Paris | ||
| | ||
Line 660: | Line 734: | ||
====Agrégation de routes==== | ====Agrégation de routes==== | ||
- | Pour simplifier les tables de routage, on peut agréger les routes sur les ABR (Area Border Router) ou les routeurs | + | Pour simplifier les tables de routage, on peut agréger les routes sur les ABR (Area Border Router) ou les ASBR (Autonomous System Border Router). Cela consiste, sur ledit routeur, à fusionner plusieurs annonces en une seule, de préfixe plus court (par exemple 10.0.0.0/24 et 10.0.1.0/24 => 10.0.0.0**/ |
- | L' | + | L' |
* sur un ABR, pour agréger des routes apprises de l'aire 1 (c'est un exemple) : | * sur un ABR, pour agréger des routes apprises de l'aire 1 (c'est un exemple) : | ||
<code bash> | <code bash> | ||
config router ospf | config router ospf | ||
- | | + | |
- | edit 0.0.0.1 | + | edit 0.0.0.1 |
- | config range | + | config range |
- | edit 1 | + | edit 0 |
- | set prefix 10.0.0.0 255.255.254.0 | + | set prefix 10.0.0.0 255.255.254.0 |
- | end | + | |
end | end | ||
+ | end | ||
end | end | ||
</ | </ | ||
- | * sur un ASBR, pour agréger des routes | + | * sur un ASBR, pour agréger des routes redistribuées |
<code bash> | <code bash> | ||
config router ospf | config router ospf | ||
- | | + | |
- | edit 1 | + | edit 0 |
- | set prefix 10.0.0.0 255.255.254.0 | + | set prefix 10.0.0.0 255.255.254.0 |
- | end | + | end |
end | end | ||
</ | </ | ||
- | Ces routes sont visibles dans la table de routage sous la forme : | + | Ces routes sont visibles dans la table de routage |
<code bash> | <code bash> | ||
get router info routing-table ospf | get router info routing-table ospf | ||
Line 693: | Line 767: | ||
</ | </ | ||
- | source | + | On voit les réseaux dans la database |
+ | <code bash> | ||
+ | get router info ospf database brief | ||
+ | [..] | ||
+ | Summary Link States (Area 0.0.0.0) | ||
+ | |||
+ | Link ID ADV Router | ||
+ | 10.0.0.0 | ||
+ | [..] | ||
+ | |||
+ | |||
+ | get router info ospf database summary lsa 10.0.0.0 | ||
+ | [..] | ||
+ | Summary Link States (Area 0.0.0.0) | ||
+ | |||
+ | LS age: 309 | ||
+ | Options: 0x2 (*|-|-|-|-|-|E|-) | ||
+ | LS Type: summary-LSA | ||
+ | Link State ID: 10.0.0.0 (summary Network Number) | ||
+ | Advertising Router: 10.0.10.1 | ||
+ | LS Seq Number: 800002df | ||
+ | Checksum: 0x60e2 | ||
+ | Length: 28 | ||
+ | Network Mask: /23 | ||
+ | TOS: 0 Metric: 11 | ||
+ | </ | ||
+ | |||
+ | sources : | ||
+ | * [[http:// | ||
+ | * https:// | ||
====Redistribution de route==== | ====Redistribution de route==== |
informatique/fortinet/start.1669371217.txt.gz · Last modified: 2022/11/25 10:13 by pteu