FortiGate

FortiGate

基于Fortinet专有的FortiASIC加速芯片
FortiAp

FortiAp

无线接入点的企业级、控制器管理设备
FortiWeb

FortiWeb

Web应用层防火墙
FortiMail

FortiMail

先进的反垃圾邮件和反病毒过滤功能

Fortigate Smart VPN 部署文档

Fortigate-30E结合Forticloud、Fortimanager,采用Smart VPN方式实现分支大规模部署。
Fortigate-30E结合Forticloud、Fortimanager,采用Smart VPN方式实现分支大规模部署。

FGT多运营商出口环境下导入运营商路由表指导(含一键导入脚本)

      经常FortiGate会遇到多运营商出口的网络环境,比如一条运营商出口是电信的,另外一条运营商出口是联通的,这样的场景下如果想要电信的数据走电信,联通的数据走联通,最简单的解决办法就是将电信/联通的路由统统刷进去,这样就可以实现电信数据走电信,联通数据走联通的目的。 
      方法是有了,但是在实际的操作过程中却困难重重,比如:运营商路由表去哪儿获取?路由的命令行脚本怎么做出来?防火墙规格支持那么多吗?命令行脚本导入防火墙的时候报错怎么办?...本文档与附件一次性解决这些问题,实现一键完成运营商路由表的成功导入,详细请见附件文档内容。
Router_ISP.png


 
继续阅读 »
      经常FortiGate会遇到多运营商出口的网络环境,比如一条运营商出口是电信的,另外一条运营商出口是联通的,这样的场景下如果想要电信的数据走电信,联通的数据走联通,最简单的解决办法就是将电信/联通的路由统统刷进去,这样就可以实现电信数据走电信,联通数据走联通的目的。 
      方法是有了,但是在实际的操作过程中却困难重重,比如:运营商路由表去哪儿获取?路由的命令行脚本怎么做出来?防火墙规格支持那么多吗?命令行脚本导入防火墙的时候报错怎么办?...本文档与附件一次性解决这些问题,实现一键完成运营商路由表的成功导入,详细请见附件文档内容。
Router_ISP.png


  收起阅读 »

FortiGate_Cacti_Zabbix_PRTG_SNMP监控模板及FGT_SNMP_OID参数说明表

Cacti_FTN_FortiGate_监控模板

Cacti_Moniter.png

Zabbix_FTN_FortiGate_监控模板

Zabbix_Moniter.png

PRTG_FortiGate_监控(PRTG无模板):
PRTG_Moniter.png


后续有时间会将这三个SNMP监控工具具体如何使用的文档写一下。
 
/////////////////////////
关于监控FGT接口流量:
Cacti 自带有“Interface - Traffic”数据模板及"Interface - Traffic (bytes/sec, Total Bandwidth)" 画图模板
Zabbix 自带有“Template SNMP Interfaces”模板
PRTG 自带有“SNMP流量”传感器
都可以使用自己的模板监控FGT接口IN/OUT的流量,无需手动去添加接口流量计算公式,公式比较复杂。
 
关于Zabbix/PRTG监控FOS 5.4/5.6的接口流量问题:
使用Zabbix/PRTG去监控FOS5.4/5.6接口的时候,读取的是接口描述信息(Description)和接口索引号(Index),默认FGT的接口没有配置描述信息(Description),因此软件只能读出接口索引号(Index),管理员只能看到接口索引号,同时也无法看到看不到接口名称(Name)如Port1/LAN/WAN/DMZ,这样实际上引起的问题是管理员无法根据接口索引号来判断想要监控的接口具体是什么,因此FOS5.4/5.6在使用Zabbix/PRTG监控接口流量时候,务必要在接口下面配置上描述信息(Description),否则将不知道自己监控的接口具体是什么。
Cacti无此现象,Cacti将接口的“Description”“Index”“Name”“Alias”统统都读出来,这样很容易就可以分辨你想要监控的接口。
FOS5.2及以下版本也没有此现象,5.2版本默认使用接口“Name”作为接口的“Description”,因此没有上述现象。

PRTG举例说明:
SNMP监控流量只能看到接口索引.png

Cacti举例说明:
Cacti统统都读出来.png

/////////////////////////

上述小附件全部打包后的大附件:
继续阅读 »
Cacti_FTN_FortiGate_监控模板

Cacti_Moniter.png

Zabbix_FTN_FortiGate_监控模板

Zabbix_Moniter.png

PRTG_FortiGate_监控(PRTG无模板):
PRTG_Moniter.png


后续有时间会将这三个SNMP监控工具具体如何使用的文档写一下。
 
/////////////////////////
关于监控FGT接口流量:
Cacti 自带有“Interface - Traffic”数据模板及"Interface - Traffic (bytes/sec, Total Bandwidth)" 画图模板
Zabbix 自带有“Template SNMP Interfaces”模板
PRTG 自带有“SNMP流量”传感器
都可以使用自己的模板监控FGT接口IN/OUT的流量,无需手动去添加接口流量计算公式,公式比较复杂。
 
关于Zabbix/PRTG监控FOS 5.4/5.6的接口流量问题:
使用Zabbix/PRTG去监控FOS5.4/5.6接口的时候,读取的是接口描述信息(Description)和接口索引号(Index),默认FGT的接口没有配置描述信息(Description),因此软件只能读出接口索引号(Index),管理员只能看到接口索引号,同时也无法看到看不到接口名称(Name)如Port1/LAN/WAN/DMZ,这样实际上引起的问题是管理员无法根据接口索引号来判断想要监控的接口具体是什么,因此FOS5.4/5.6在使用Zabbix/PRTG监控接口流量时候,务必要在接口下面配置上描述信息(Description),否则将不知道自己监控的接口具体是什么。
Cacti无此现象,Cacti将接口的“Description”“Index”“Name”“Alias”统统都读出来,这样很容易就可以分辨你想要监控的接口。
FOS5.2及以下版本也没有此现象,5.2版本默认使用接口“Name”作为接口的“Description”,因此没有上述现象。

PRTG举例说明:
SNMP监控流量只能看到接口索引.png

Cacti举例说明:
Cacti统统都读出来.png

/////////////////////////

上述小附件全部打包后的大附件: 收起阅读 »

FortiGate FortiOS最佳版本建议书 V1.1(2017.11.15更新)

FortiGate版本建议(2017年11月15日):

优先使用FOS 5.2.12
E系列型号使用FOS 5.4.6

FOS 5.6.2如非特殊功能必须使用,暂不建议部署。

详细见附件文档说明:

文档更新记录:
V1.0  2017年9月18日
V1.1  2017年11月15日(当前最新)

也可以详细见:
http://support.fortinet.com.cn/
继续阅读 »
FortiGate版本建议(2017年11月15日):

优先使用FOS 5.2.12
E系列型号使用FOS 5.4.6

FOS 5.6.2如非特殊功能必须使用,暂不建议部署。

详细见附件文档说明:

文档更新记录:
V1.0  2017年9月18日
V1.1  2017年11月15日(当前最新)

也可以详细见:
http://support.fortinet.com.cn/ 收起阅读 »

IPsec VPN隧道建立正常但VPN业务却不稳定 甚至不通怎么办?

IPsec VPN隧道建立正常,但是业务却不通或十分不稳定?
以下讨论有一个前提:并不是因为配置原因导致的VPN业务不通或不稳定,防火墙配置是正常的,而只是ESP报文在互联网上传输异常,也就是说运营商转发ESP报文的时候存在异常,或者运营商干脆就直接丢弃了ESP报文,这样的话IPsec VPN隧道看上去是好的,但是实际上业务却无法通信的这种情况。
不适用于IPsec VPN的其他故障环境下。

如何判断是ESP报文被丢弃的问题呢?
其实只需要在设备上抓对应的ESP报文即可,如果只有OUT方向的ESP而没有任何的IN方向的ESP,基本上就可以判断是运营商将ESP丢包导致的业务不通。
 
当然对于十分频繁的ESP ERROR故障此方法也是效果的。
继续阅读 »
IPsec VPN隧道建立正常,但是业务却不通或十分不稳定?
以下讨论有一个前提:并不是因为配置原因导致的VPN业务不通或不稳定,防火墙配置是正常的,而只是ESP报文在互联网上传输异常,也就是说运营商转发ESP报文的时候存在异常,或者运营商干脆就直接丢弃了ESP报文,这样的话IPsec VPN隧道看上去是好的,但是实际上业务却无法通信的这种情况。
不适用于IPsec VPN的其他故障环境下。

如何判断是ESP报文被丢弃的问题呢?
其实只需要在设备上抓对应的ESP报文即可,如果只有OUT方向的ESP而没有任何的IN方向的ESP,基本上就可以判断是运营商将ESP丢包导致的业务不通。
 
当然对于十分频繁的ESP ERROR故障此方法也是效果的。 收起阅读 »

BGP与OSPF之间重发布时使用 Route-Map进行路由过滤

我们可能在有很多场景下会用到BGP和OSPF,比如GRE Over IPsec场景、IPsec VPN直接运行路由协议场景、ADVPN场景、以及一些复杂路由的场景等,同时也可能会使用到路由重发布这个功能,将BGP的路由重发布进入OSPF,或将OSPF的路由重发布进入BGP,但是如果想要在其中进行路由的过滤,就需要用到route-map进行匹配和过滤,从而实现重发布过程中路由过滤的功能。
本文主要针对以上情况下FortiGate如何配置route-map和调用路由策略,要注意的是飞塔设备的BGP和OSPF之间的属性并不完全像 CISCO那样调用, Fortinet和Cisco的实现方法有一些差别,按照下文中的方法就可以避免问题了。
继续阅读 »
我们可能在有很多场景下会用到BGP和OSPF,比如GRE Over IPsec场景、IPsec VPN直接运行路由协议场景、ADVPN场景、以及一些复杂路由的场景等,同时也可能会使用到路由重发布这个功能,将BGP的路由重发布进入OSPF,或将OSPF的路由重发布进入BGP,但是如果想要在其中进行路由的过滤,就需要用到route-map进行匹配和过滤,从而实现重发布过程中路由过滤的功能。
本文主要针对以上情况下FortiGate如何配置route-map和调用路由策略,要注意的是飞塔设备的BGP和OSPF之间的属性并不完全像 CISCO那样调用, Fortinet和Cisco的实现方法有一些差别,按照下文中的方法就可以避免问题了。 收起阅读 »