Você está na página 1de 63

Treinamento CPE – FortiGate 30E

Telefônica / Danresa / Fortinet


Alessandro Cardoso – Outubro, 2018

© Copyright Fortinet Inc. All rights reserved.


Agenda

▪ Overview do Fortigate
» Interface WEB / CLI
▪ Configuração básica
▪ Uso de script
▪ Diagnósticos e troubleshooting

2
Visão Geral
Quem é Fortinet? Quem é Danresa?
Quem é a Danresa?
Fortinet Platinum Partner

35
Empresa premiada pela Fortinet em Las Vegas
como as melhores parceiras em 2016 para
América Latina.

6
Cases de Sucesso

▪ Projetos de Segurança de Redes


Suporte 7x 24 x 365
• Service Desk ITIL Solucionador
Missão Crítica
• Equipe Certificada Consultores
Especializados
• Engenheiros de Segurança
de Redes

• Monitoração 7x24 com NOC


Automatizado

7
Serviços Danresa

8
Quem é a Fortinet?
Fortinet
Fortinet is headquartered in Sunnyvale, California, with offices around the globe. Founded in 2000
by Ken Xie, the visionary founder and former president and CEO of NetScreen, Fortinet is led by a strong
management team with deep experience in networking and security.

10
Overview
Fortigate 30E
Overview Físico

- Bivolt (Automático);
- 5 Interfaces de rede;
- Todas interface 1Gbps;
- Porta console padrão;
- Gerência WEB / CLI;
- 1 Porta USB

12
Fortigate 30E
LED

Logo PWR - Power STA - Status


Verde: Equipamento Ligado Verde: Equipamento Ligado Verde: Equipamento Ligado
Off: Equipamento Desligado Verde Piscante: Inicializando
Off: Equipamento Desligado
Vermelho: Existe um problema de inicialização

ALARM
Vermeho: Existe um problema crítico
Amber: Existe um problema não crítico
Off: Não existe problema
Ethernet Ports Link / Act Ethernet Ports Speed
Verde: Conectado Verde: Conectado a 1Gbps
Verde Piscante: Transmitindo / Recebendo dados Amber: Conectado a 100Mbps
Off: Não conectado Off: Não conectado ou conectado a 10Mbps

13
FortiGate 30E – Arquitetura HW

14
Fortigate 30E
Primeiros passos

Por padrão o Fortigate vem com fimrware instalado (FortiOS) e as interfaces LAN em modo switch,
O acesso pode ser via SSH ou WEB pelo ip 192.168.1.99
Fortigate entrega DHCP para esta rede

Recomendamos o acesso via console no primeiro acesso para rodar o script de configuração
Telefônica

15
Fortigate 30E
Interface WEB

16
Fortigate 30E
Interface CLI Estrutura de comandos

Comando: Ação que a ser realizada:


execute / get / diag / show

Subcomando: Item a ser acessado:


system / route / firewall

Objeto: Objeto a ser configurado


interface / policy / SNMP

Exemplo: Exemplo: Exemplo: Table: Indexador


config system interface config firewall policy
edit "wan" edit 1 Pode ser conta de admin / policy / interface
config router static
set vdom "root" set srcintf "lan"
edit 1
set mode dhcp set dstintf "wan"
set allowaccess ping https set srcaddr "all"
set gateway 192.168.1.1 Filter: Configuração a ser aplicada
set device "wan"
set type physical set dstaddr "all"
next IP, hostname
set role wan set action accept
end
set snmp-index 1 set schedule "always"
next set service "ALL" Value: Valor a ser aplicado
end set nat enable
next
end Desafazer configuração unset
17
Configuração básica
Configuração básica
Formatação / Instalação limpa de firmware
Apenas com console
- Interrompa o P.O.S.T.
- Pressione a opção F (Format)
- Pressione a opção T (Transferência
via TFTP)
- Selecione a opção D (Default) para
salvar a imagem

Recomendado para primeira instalação


/ troca de cliente ou firmware
corrompido
Não necessário para upgrade /
downgrade

19
Configuração básica
Upgrade / Downgrade
-Upgrade/Downgrade pode ser feito via
WEB (mais simples)

- Importante ler o upgade path, existe


uma sequencia correta de paths
quando o equipamento fica muito
tempo sem atualizar.

https://cookbook.fortinet.com/sysadmin
s-notebook/supported-upgrade-paths-
fortios/

20
Configuração básica
Configuração de senha do equipamento

WEB
CLI

O usuário é case sensitive

21
Configuração básica
Endereçamento da interface

WEB
CLI

22
Configuração básica
- Backup / Restore

WEB
CLI

23
Configuração básica
- Reset do equipamento

Somente via CLI


Volta toda a configuração default de fábrica
Precisa estar logado para fazer o reset

24
Configuração básica
- Hostname / Configuração data/hora

WEB
CLI

25
Configuração básica
- Limitação de banda na interface

Somente via CLI


Limitação de inbound / outbound

26
Configuração básica
- MTU

Somente via CLI


Alterar valor MTU

27
Configuração básica
- NTP Server

Somente via CLI

config system ntp


set ntpsync enable
set type custom
set syncinterval 60
config ntpserver
edit 0
set server "200.160.7.186"
next
edit 0
set server "201.49.148.135"
next
end
set source-ip 172.16.0.5 #Endereço da interface Loopback
end

28
Configuração básica
- Interface VLAN

CLI / GUI

config system interface


edit "vlan.10"
set vdom "root"
set ip 20.20.20.1 255.255.255.248
set allowaccess ping
set description "Descrição"
set alias "VLAN FUNCAO"
set interface "lan1"
set vlanid 10
next
end

29
Configuração básica
- Interface 802.3 ad

CLI / GUI

config system interface


edit "LAG"
set vdom "root"
set ip 172.16.90.5 255.255.255.255
set allowaccess ping
set type aggregate
set member "lan3" "lan4"
next
end
end

30
Configuração básica
Speed – Velocidade da interface

Somente CLI

config system interface


edit “wan“
set speed ?
auto Automatically adjust speed.
10full 10M full-duplex.
10half 10M half-duplex.
100full 100M full-duplex.
100half 100M half-duplex.
1000full 1000M full-duplex.
end

31
Configuração básica
IP SLA - Probe
Somente CLI
config system link-monitor
edit "WAN" → Nome do Probe
set addr-mode ipv4
set srcintf "wan" → Interface de monitoração
set server "8.8.8.8" → Destino a ser monitorado (Probe)
set protocol ping → Protocolo de validação
set gateway-ip 201.86.86.1 → IP de roteamento
set interval 5
set timeout 1
set failtime 5
set recoverytime 5
set ha-priority 1
set update-cascade-interface disable
set update-static-route enable
set status enable
next

32
Configuração básica
VRRP – H.A.
Somente CLI
config system interface
edit "lan1" # get router info vrrp
set vdom "root" Interface: lan1, primary IP address: 10.10.10.2
set ip 10.0.0.2 255.255.255.248 UseVMAC: 0, SoftSW: 0, BrPortIdx: 0, PromiscCount: 0
set allowaccess ping HA mode: master (0:1)
set alias "LAN PRIMARIA COM VRRP“ VRID: 1 version: 2
set vrrp-virtual-mac enable vrip: 10.10.10.1, priority: 100 (100,0), state: MASTER
config vrrp adv_interval: 1, preempt: 1, start_time: 3
edit 1 master_adv_interval: 100, accept: 1
set vrgrp 1 → VRRP GRUPO vrmac: 90:6c:ac:41:68:20
set vrip 10.0.0.1 vrdst:
set priority 100 vrgrp: 1
set adv-interval 1
set start-time 3
set preempt enable
set status enable
end
end
33
Configuração básica
- Roteamento estático

WEB
CLI

34
Configuração básica
- Roteamento OSPF

- Estrutura OSPF CLI Básica


edit "Lo"
config router ospf set interface "Lo"
set router-id 172.16.0.5 next
config area end
edit 0.0.0.0 config network
next edit 0
end set prefix 172.16.0.5 255.255.255.255
config ospf-interface end
edit "lan1" end
set interface "lan1"
next

Mais informações sobre as configurações de roteamento em:


https://docs.fortinet.com/uploaded/files/4121/Networking-Handbook-5.6.3.pdf

35
Configuração básica
- Roteamento BGP
config network
edit 0
- Estrutura BGP CLI Básica
set prefix 172.16.0.5 255.255.255.255 → Declarar a
loopback no BGP
config router bgp next
set as 65000 end
set router-id 172.16.0.5 → Endereço ip da Loopback config redistribute "connected"
set keepalive-timer 3 end
set holdtime-timer 10 config redistribute "rip"
set ebgp-multipath enable end
set ibgp-multipath enable config redistribute "ospf"
set graceful-restart enable end
config neighbor config redistribute "static"
edit "192.168.255.190" end
set capability-graceful-restart enable config redistribute "isis"
set next-hop-self enable end
set soft-reconfiguration enable end
set description "WAN"
set remote-as 65000
next Mais informações sobre as configurações de roteamento em:
end https://docs.fortinet.com/uploaded/files/4121/Networking-Handbook-5.6.3.pdf
36
Configuração básica
- Roteamento RIP

- Estrutura RIP CLI Básica

config router rip


config network
edit 0
set prefix 30.0.0.0 255.255.255.254
next
end
config interface
edit "lan1"
set receive-version 2
set send-version 2
next
end
end
end

Mais informações sobre as configurações de roteamento em:


https://docs.fortinet.com/uploaded/files/4121/Networking-Handbook-5.6.3.pdf
37
Script VIVO
Script - Ativação
- Explicação Alterar apenas os itens em vermelho
edit "200.229.196.198"
config system interface set subnet 200.229.196.198/32
end set comment "VTT"
#Apagar regras de firewall edit “Lo"
config system virtual-switch next
config firewall policy set vdom "root"
delete lan edit "187.100.253.240/28"
purge set ip 172.16.0.5 255.255.255.255
end
y set allowaccess ping https telnet ssh snmp set subnet 187.100.253.240/28
end set type loopback set comment "Smart"
#Altera timeout de sessão de admin next
#Apagar DHCP Server set alias "LOOPBACK GERENCIA VIVO"
config system global edit "201.93.48.224/27"
config system dhcp server next
set admintimeout 60 set subnet 201.93.48.224/27
purge end
end set comment "Smart"
y
end config firewall address next
#Desabilitar interfaces LAN2,LAN3 E LAN4 edit "200.204.184.169/32"
#Altera o time Zone edit "200.153.1.150/32"
config system interface set subnet 200.204.184.169/32
config system global set subnet 200.153.1.150/32
edit lan2 set comment "Gerencia CPE MF"
set timezone 18 next
set status down next
end edit "200.204.184.169/32"
next edit "200.204.1.4/32"
#Remove o Virutal Switch, set subnet 200.204.184.169/32
edit lan3 set subnet 200.204.1.4/32
config system virtual-switch next
set status down set comment "CPE BBIP"
edit lan edit "187.100.14.194/32"
next next
config port set subnet 187.100.14.194/32
edit lan4 edit "186.238.116.5/32"
delete lan1 next
set status down set subnet 186.238.116.5/32
delete lan2 edit "186.239.130.1/32"
next set comment "CPE SOC GLOBAL"
delete lan3 set subnet 186.239.130.1/32
end next
delete lan4 set comment "Smart"
y next edit "187.100.14.194/32"
#Altera o Hostname set subnet 187.100.14.194/32
end
config system global set comment "Gerencia CPE MF"
set hostname NUM_DESIGNADOR_CLIENTE next
end end
39
Script - Ativação
- Explicação Alterar apenas os itens em vermelho
config system interface
config firewall local-in-policy #Interface wan
config firewall addrgrp edit "wan"
edit 0
edit "G_MONITORACAO" set vdom "root"
set intf “Lo"
set member "200.153.1.150/32" set mode static
set srcaddr "G_MONITORACAO"
"200.204.184.169/32" "187.100.14.194/32" set ip 201.86.86.2 255.255.255.252
set dstaddr “all"
"186.239.130.1/32" "200.229.196.198" set allowaccess ping
set action accept
"187.100.253.240/28" "201.93.48.224/27" set alias "WAN"
set service "ALL"
next # Alterar conforme banda contratada
set schedule "always"
edit "G_SUPORTE" set inbandwidth 40000
next
set member "201.93.48.224/27" set outbandwidth 40000
edit 0
"200.204.184.169/32" "200.204.1.4/32" config ipv6
set intf “Lo"
"186.238.116.5/32" "187.100.14.194/32" set ip6-address 2020::200:2020:2020:2020/127
set srcaddr "G_SUPORTE"
next set ip6-allowaccess ping
set dstaddr “all"
end end
set action accept
set service "ALL" next
set schedule "always" # ALTERAR A REDE 10.10.10.0 PELA REDE PUBLICA DO CLIENTE
next edit "lan1"
end set vdom "root"
set ip 10.10.10.1 255.255.255.248
set allowaccess ping
set alias "LAN Primaria"
config ipv6
set ip6-address 2804:1b0:1001:99::1/64
set ip6-allowaccess ping
end
end

40
Script - Ativação
Alterar apenas os itens em vermelho
- Explicação #Configura regra default de policy (ACL) config system admin
config firewall policy edit admin
edit 0 set password vivo12345
#Rota default IPV4
set name "INTERNET" end
config router static
set srcintf "any"
edit 0
set dstintf "any"
set dst 0.0.0.0 0.0.0.0
set srcaddr "all"
set gateway 201.86.86.3
set dstaddr "all"
set device "wan"
set action accept
next
set schedule "always"
end
set service "ALL"
set comments "ACL-INTERNET-SEM-NAT"
#Rota default IPV6
set nat disable
config router static6
next
edit 0
end
set dst ::/0
config firewall policy6
set gateway 2020::200:2020:2020:1
edit 0
set device "wan"
set name "INTERNET-ipv6"
next
set srcintf "any"
end
set dstintf "any"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set comments "ACL-INTERNET-SEM-NAT"
set nat disable
next
end
41
Troubleshooting
Troubleshooting
Troca de senha
Troca de senha local

- Apenas com cabo console


- Reiniciar o equipamento
- Usar login maintainer
- Senha bcpb + serial number do equipamento em letra maiúscula
- Funciona até 15 segundos após o início do sistema
- Trocar senha de admin

Exemplo:
FGT login: maintainer
bcpbFGT30E3U17025041

43
Troubleshooting
Monitoração de recursos - WEB

44
Troubleshooting
Monitoração de recursos - WEB
Consumo / destino de banda em tempo real (Visualização por admin)
Passo -3
Na GUI em Dashboard (no canto inferior direito da página possui um
desenho de engrenagem, clique nele e em Add Dashboard), depois de
criado o dashboard, entre nele e clique na engrenagem e add Widget.

Passo -1 Passo -2

Passo -5
Passo -4

45
Troubleshooting
Monitoração de recursos - WEB

Consumo / destino de banda em tempo real (Fortiview)

46
Troubleshooting
Monitoração de recursos - CLI
Comando: diagnose sys top-summary

47
Troubleshooting
Tabela de roteamento- CLI
Comando: get router info routing-table all

48
Troubleshooting
PING
Somente CLI

execute ping-options ? → Mostra as opções disponíveis

Exemplo Ping

execute ping-options data-size 1500


execute ping-options interface lan1
execute ping-options repeat-count 1000

execute ping 201.23.4.23

49
Troubleshooting
Desabilitar auto save
Default Fortigate é salvar na flash qualquer configuração aplicada

Existem 3 opções para salvar config na flash:

CLI

config system global


set cfg-save ?
automatic automatically save config
manual manually save config
revert manually save config and revert the config when timeout
set cfg-revert-timeout xx tempo em segs (Default 10 min)
end

Save = execute cfg save

50
Troubleshooting
GREP
Grep busca uma informação

-f (Mostra o contexto do item pesquisado)


-v (Nega um filtro)
-n (Listar a linha da ocorrência)
-i (Não diferencia letras maiúscula ou minúsculas)

Sintaxe: comando de saída + pipepline + grep

get system status | grep –i –f version

51
Troubleshooting
Sniffer – TCP Dump
diag sniffer packet <interface> <'filter'> <verbose> <count>
<interface> pode ser um nome de Interface ou "any" para todas as Interfaces.

src = origem
dst = destino
host = para um host independente de origem e destino
port = porta
ICMP = protocolo ICMP
1: imprimir cabeçalho de pacotes
2: imprimir cabeçalho e dados de ip de pacotes
3: imprimir cabeçalho e dados da Ethernet de pacotes (se disponível)
4: imprimir cabeçalho de pacotes com nome de interface
5: imprimir cabeçalho e dados de ip de pacotes com nome de interface
6: imprimir cabeçalho e dados da Ethernet de pacotes (se disponível) com o nome da interface

52
Troubleshooting
Contadores - Interface
Somente CLI

fnsysctl ifconfig lan3

diagnose netlink interface clear lan3


Remove os contadores

53
Diagnose debug
Aqui são todos os comandos de diagnose debug. Falaremos sobre os mais importantes:

54
Comando execute
Aqui são alguns comandos do execute.
Falaremos sobre os mais importantes:

Syntax:
•traceroute -- Traceroute {IP|hostname}..
execute + comando
•tracert6 -- Traceroute for IPv6. .
Options:
•usb-disk format -- Format the USB disk.
•usb-disk list -- Display the contents of the USB disk.
•factoryreset -- Reset to factory default now. .
•usb-disk eject -- Eject the USB disk.
•backup config ... --Backup da config.
•router restart -- Restart routing software.
•restore config ... -- Restore da config.
•router clear ospf process -- Clear and restart OSPF router.
•shutdown -- Desliga equipamento.
•router clear ospf6 process -- Clear and restart OSPF6 router.
•reboot -- Reinicia equipamento
•router clear bgp all -- Clear all BGP peers. .
•clear system arp table -- Clear system ARP table. .
•router clear bgp as -- Clear BGP peer by AS number.
•dhcp lease-clear -- Clear all DHCP leases..
•dhcp lease-list -- List leases on this interface.
•log display -- Display filtered log entries..
•ping-- PING command..
•ping6 -- PINGv6 command
•ping-options interface – Escolhe a interface para ping.
•ping-options repeat-count -- how many times to repeat PING. .
•restore image -- Load image from FTP server..

55
Comando get
Aqui são alguns comandos do get (obter)
Falaremos sobre os mais importantes:

Syntax: •system arp -- View the ARP table entries.


get + comando •system interface physical -- list information about the unit’s
Options: physical.
•system performance status -- Performance do equipamento.
•hardware cpu -- Informações CPU •system performance top-summary -- Verifica processos por
•hardware memory -- Memória consumo de CPU e memória
•hardware nic <interface name> -- Status Interface. •system status -- Resumo de informação do equipamento
•hardware status -- Resumo hardware.
•router info bgp summary -- Show information about BGP
neighbor status..
•router info6 bgp summary -- Show information about BGP
neighbor status ipv6
•router info ospf <keyword> -- Opções de status do ospf.
•router info routing-table all – Tabela de roteamento.
•router info6 routing-table – Tabela de roteamento ipv6.
•system admin list -- View a list of all the current
administration sessions..

56
Diagnose debug sys
Aqui são todos os comandos de diagnose sys. Falaremos sobre os mais importantes:

57
Comandos do dia dia
Aqui são todos os comandos de utilizado com mais frequência:
Como executar ping
Como ver a versão de firmware
execute ping <hostname|ip>
get system status
execute ping-options source <source-interface-IP>
Como ver consumo de CPU e memória
Como fazer traceroute get system performance status
execute traceroute <hostname|ip> Como listar todas as sessões estabelecidas
Como verificar data e hora diag system session list
execute date
Como ver um overview das interfaces
execute time
Como ver as configurações get system interface physical
show Como ver detalhes da interface de rede
Como ver as configurações completas get hardware nic <Nome da Interface>
show full-configuration Como ver detalhes de pacotes
enviados/recebidos/error
Como ver tabela arp
fnsysctl ifconfig <Nome da Interface>
get system arp table
Como ver a tabela de roteamento
Como remover paginação do output cli
get router info routing-table all
config system console
set output standard Como ver todos os endereços IP nas interfaces
end diagnose ip address list
58
Comandos do dia dia
Aqui são todos os comandos de utilizado com mais frequência:

Como ver a tabela de roteamento OSPF


get router info routing-table ospf
Como ver os neighbor OSPF
get router info ospf neighbor Como fazer troubleshooting de regras de firewall
Como ver o status do OSPF diagnose debug reset
get router info ospf status diagnose debug flow filter addr <Endereço IP>
Como ver a tabela de roteamento RIP diagnose debug enable
get router info routing-table rip diagnose debug flow trace start 20 #Número de pacotes
Como ver os route database RIP
a ser debugados
diagnose debug disable # Desabilita o debug
get router info rip database
Como ver o RIP interface
get router info rip interface

59
Troubleshooting
HQIP (Hardware Quick Inspection Package)
Comando diagnose hardware test suite all

Este comando serve para fazer um diagnóstico de hardware para identificar problemas de hardware

Comando muito utilizado em caso de suspeita de problema físico ou para garantir que todos os
componentes estão estáveis.

No final dos testes é gerado um report.

Testes executados:

- Interfaces de rede - Bios


- CPU / Memória - Sistema
- LED
- Disco
- USB

60
Material de apoio
Há um site disponível ao público, nele, temos todas estas opções e diversas outras para
troubleshooting e um guia completo de ítem a ítem o que tem de debug no fortigate.

Segue:
https://wiki.diagnose.fortinet.com

Vídeos com conteúdo sobre Fortinet em geral:


https://video.fortinet.com

Cookbooks:
http://cookbook.fortinet.com

Fórum:
https://forum.fortinet.com

Documentação:
https://docs.fortinet.com

61
Apêndice
Script – Manobra de porta (Ex: WAN para LAN4)

#remover IP da interface WAN e trocar para LAN4


#Ver endereço IP da WAN e copiar
config system interface
config system interface
edit "wan“
edit "wan" --> dar comando show #Trocar o gateway WAN para LAN4
unset ip
set ip 201.86.86.2 255.255.255.252 config router static
unset allowaccess
set allowaccess ping edit 1
unset inbandwidth
set inbandwidth 40000 set gateway 201.86.86.1
unset outbandwidth
set outbandwidth 40000 set device "lan4"
set alias “DEFEITO”
set alias "VIVO next
set status down
next end
next
end
edit "lan4“
set ip 201.86.86.2 255.255.255.252
set allowaccess ping
set inbandwidth 40000
set outbandwidth 40000
set alias "VIVO“
set status up
next
end

62
Obrigado !
Thank You !
Gracias !
Alessandro Cardoso
Engenharia de Pré-vendas
E-mail: acardoso@danresa.com.br
PABX: ++55 11 4452-6450

63

Você também pode gostar