教程篇(6.4) 07. 诊断和故障排除 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE 5

 在本课中,你将学习如何诊断和排除与FortiManager和被管理设备相关的问题。

 在这节课中,你将学习这张幻灯片上显示的主题。

 完成此部分后,你应该能够实现此幻灯片上显示的目标。

  通过展示理解各种FortiManager部署场景的能力,存活报文,以及如何替换被管理FortiGate设备,你将能够在各种场景中部署FortiGate设备并管理FortiGate设备。

 在这张幻灯片显示的场景中,FortiManager在NAT设备后面运行。缺省情况下,只有FortiManager可以发现新设备。如果FGFM隧道被拆除,只有FortiManager将尝试重建FGFM隧道。这是因为在FortiGate集中管理中,默认没有配置nat的FortiManager IP地址。

  FortiGate如何向NAT的FortiManager宣布自己,或试图重建FGFM隧道,如果它被拆毁?

  你可以在中央管理配置的FortiGate上配置FortiManager nat IP地址。这允许FortiGate向FortiManager宣布自己的身份,并尝试在FGFM隧道被拆毁时重新建立它。通过在FortiGate上配置FortiManager的nat IP地址,FortiManager和FortiGate都可以重新建立FGFM隧道。此外,如果你在FortiManager系统管理员设置下配置了FortiManager nat IP地址,FortiManager会在发现过程中在FortiGate上设置该地址。

 在这个场景中,FortiGate在NAT设备后面操作。FortiManager可以通过FortiGate nat IP地址发现FortiGate。FortiGate也可以向FortiManager宣布自己。如果FGFM隧道中断了怎么办?如果FGFM隧道被拆除,只有FortiGate将尝试重新建立连接。FortiManager将NAT后的FortiGate视为不可达的设备,不尝试重新建立FGFM隧道。但是,可以通过单击FortiManager设备管理器中被管理设备的连接摘要小部件中的刷新图标强制一次连接尝试。

 如果两个设备(FortiManager和FortiGate)都位于NAT设备后面,该怎么办?然后,FortiManager通过FortiGate nat IP地址发现FortiGate设备。就像在NAT后的FortiManager场景中一样,这个场景中的FortiManager NAT IP地址不是在FortiGate中央管理配置下配置的。如果FGFM隧道中断,FortiManager将不会尝试重新建立到FortiGate nat地址的FGFM隧道。如果在中央管理配置下在FortiGate上配置了FortiManager nat IP地址,如果被拆除,FortiGate会尝试重新建立fgffm隧道。

 存活报文(包括配置校验和)以配置的间隔从FortiGate发送。消息中还显示了FortiGate设备的IPS版本。存活报文包括:

  ● fgfm-sock-timeout:最大FortiManager或FortiGate通信套接字空闲时间,单位为秒

  ● fqfm_keepalive_itvl:FortiGate向FortiManager设备发送存活信号以使FortiManager或FortiGate通信协议处于活动状态的时间间隔

  如果在sock超时时间内没有收到存活报文的响应,隧道将被拆除,两端都将尝试重新建立隧道。

 在从FortiManager到FortiGate执行安装时,FortiManager总是试图确保与被管理FortiGate的连接。如果连接失败,FortiManager会尝试通过取消导致隧道down的命令恢复FGFM隧道。

  对于每次安装,FortiManager都会向被管理的FortiGate设备发送以下命令:

  ● 设置命令,需要应用配置更改

  ● 取消设置命令,恢复配置更改

  当应用更改时,FortiGate:

  ● 应用设置命令,只使用内存,不写入配置文件

  ● 测试到FortiManager的FGFM连接

  如果重新建立连接失败。FortiGate在15分钟后应用unset命令(不可配置且不基于sock超时值)。如果连接仍然断开,并且在FortiManager上启用了允许回滚重新启动,那么FortiGate将重新启动以从其配置文件恢复以前的配置。

 FortiManager保存被管理设备的配置修订。但是,如果由于硬件故障或RMA而需要更换独立管理设备,该怎么办?

  在FortiManager上手动将故障独立设备的序列号修改为替换独立设备的序列号,即可替换故障独立设备。然后,重新部署配置。在每次管理连接之前,序列号会被验证,因为许可证是附加在FortiGate序列号上的。当替换FortiGate集群成员时,FortiManager将通过FGFM隧道学习新序列号。

 请注意,在执行execute device replace sn <devname> <serialnum>命令之前,替换FortiGate不应联系FortiManager。如果是,你必须在重新运行命令之前删除未注册的设备条目。

  使用新设备替换故障设备时,请执行以下步骤:

  1. 注意原始FortiGate的设备名称。如果替换的设备已经被列为未注册设备,那么你需要将其从根ADOM的未注册设备列表中删除。

  2. 添加更换FortiGate的序列号。执行replace命令后,FortiManager更新其数据库中的序列号。

  3.在FortiManager中查看新的设备序列号是否与故障设备相关联。你可以使用CLI或FortiGate的System Information小部件来实现这一点。

  4. 从替换设备发送请求向FortiManager注册它。

  如果更新序列号后连通性失败,可能需要回收管理隧道。设备名称是可选的。如果在没有设备名的情况下运行该命令,FortiManager将尝试从所有被管理的设备中回收隧道。

  可选地,你可以通过运行执行device replace pw <device name> <password>命令。

 知识检查

 知识检查

 非常好!现在你了解了部署场景。

  接下来,你将了解如何使用一些诊断命令来排除与FortiManager连接和性能有关的问题。

 完成此部分后,你应该能够实现此幻灯片上显示的目标。

  通过展示使用诊断和故障排除技术的能力,你将能够管理和维护网络中FortiGate设备的完整性。

 这张幻灯片显示了一些CLI命令,你可以使用它们来排除FortiManager连通性和资源问题。

  这些命令类似于FortiGate命令,你可以使用这些命令来诊断和排除常见问题。例如,要查看可以运行的top进程,请执行top。你可以使用execute iotop命令来识别I/O使用率高的系统进程(通常是磁盘活动)。你可以查看崩溃日志条目。如果FortiManager正在丢弃数据包或没有接收数据包,你可以运行数据包捕获(嗅闻器)来帮助诊断原因。设备可达性测试和FGFM隧道状态确认。

 get system performance命令提供系统资源使用情况,并按资源类型显示输出信息。

  ● CPU:概述系统的CPU使用信息。它将显示哪种类型的进程正在使用CPU的百分比

  ● 内存:提供可用于单元的总内存和当前使用的内存

  ● 硬盘:提供硬盘的使用情况,包括硬盘可用空间和用了多少

  ● Flash盘:显示Flash盘使用情况

  请始终查看Used列,以查看资源使用情况。如果资源利用率很高,你可能会遇到从FortiManager管理设备的问题。例如,添加设备或安装更改可能会花费较长时间。

 execute top命令显示对系统监控非常有用的实时系统统计信息。统计信息按行显示:

  第1行:当前时间、正常运行时间、用户会话、平均系统负载(最后一分钟、5分钟和15分钟)

  第2行:正在运行的进程、正在积极运行的进程、处于休眠状态的进程、已停止的进程和处于僵死状态的进程总数

  第3行:CPU使用率:用户进程、系统进程、优先级进程、CPU空闲进程、等待I/O进程。硬件控制,软件控制和窃取时间

  第4行和第5行:内存使用率

  第6行:进程ID、用户、优先级进程、进程的nice值、虚拟内存使用是一个交换文件、内存使用是RAM、CPU使用、内存使用百分比、总活动时间、进程状态和进程名称

  当你正在排除CPU或内存使用过高的问题时,请检查整个系统资源。然后检查各个进程是否有较高的CPU或内存使用。

 当你使用命令execute iotop时,FortiManager显示负责高I/O等待状态的各个进程。当你正在对与大量I/O使用相关的性能问题进行故障排除时,可以使用此命令识别导致高I/O使用的进程。

 你可能希望监视的另一个领域(纯粹是为了诊断)是崩溃日志。可以通过CLI获取崩溃日志。最近的崩溃日志将列在输出的底部。在这个示例中,进程fgdsvr以信号11重新启动。崩溃信息记录在崩溃日志文件中。崩溃日志在第一行显示固件信息,然后是进程名和信号信息。

  崩溃日志中的大部分日志都是正常的。崩溃日志中的一些日志可能指出问题。因此,为了排除故障,Fortinet技术支持可能会要求崩溃日志。

 数据包嗅探器命令对于排除连接和流量相关问题非常有用。本幻灯片中显示的数据包嗅探器命令被设置为在端口541上捕获来自主机192.168.1.99的数据包,并仅显示5个数据包的包头(详细1)和本地时间戳。与FortiOS不同,FortiManager只支持详细选项1、2和3。

  例如,如果你遇到FortiManager和FortiGate之间的连接问题,你可以嗅出TCP端口541上的管理流量,以查看两个设备之间是否有任何通信。

 diagnose systeme print df命令用于在FortiManager上显示磁盘分区信息。它显示了文件系统、大小、使用情况、可用磁盘空间、使用百分比和挂载点。当故障排除与磁盘相关的问题时,此命令可能很有用。了解这些分区在FortiManager上的用途是很有帮助的:

  ● /dev/shm 作为共享内存

  ● /tmp 是临时文件存储文件系统

  ● /data 是指向闪存分区的指针

  ● /var 用于FortiManager数据库存储

  ● /drive0 被用作FortiAnalyzer档案和postgres数据库

  ● /storage 用于FortiAnalyzer日志和报表存储

 在FortiManager上,进程锁定和解锁数据库,但它们不应该一直处于锁定状态。空闲系统上应该没有锁。

  如果FortiManager花了太长时间来完成一项任务怎么办?你可以使用proc list命令来识别卡住的任何进程或任务。一个被卡住的任务可能会阻止其他后续任务被处理。如果一个任务需要很长时间来处理,它将在这里列出。你可以在“系统设置”窗格的“任务监视器”中取消或删除挂起(卡住)的任务。

 你可以使用这些调试命令来排除FortiManager和FortiGate之间的问题。这些问题可能与添加、删除、刷新、自动更新和安装等操作有关。

  在执行调试命令前,请检查是否开启了其他调试命令。运行调试将显示所有其他启用的调试的输出,如果它们没有被禁用或重置。在启用任何新的调试之前,总是要重置调试级别。

 在FortiManager上不正常的关闭可能会导致文件系统和内部数据库的损坏。这适用于硬件和虚拟机。作为一种最佳实践,你应该检查Alert Message Console和事件日志,以查看重要消息。

  如果FortiManager失去电源,控制台连接上的消息将建议你修复文件系统。请记住,在修复文件系统之前,总是备份FortiManager。还强烈建议将FortiManager连接到不间断电源(UPS),以防止意外关机。

 为了确保FortiManager上的数据库完整性,你应该遵循以下最佳实践:

  ● 总是优雅地关闭FortiManager。使用不恰当的关闭可能会破坏内部数据库。

  ● 当有多个管理员在对FortiManager进行操作时,请开启ADOM锁定功能,避免配置冲突。

  ● 始终遵循正确的升级路径。如果不这样做,可能会导致数据库中的不一致。

  ● 确保所有管理员都已注销,并在执行固件升级前执行数据库完整性检查。

  如果无法解决数据完整性问题,可以在FortiManager上执行出厂重置,然后使用良好的备份配置恢复配置。

  如果你在FortiManager上遇到异常行为,请检查数据库完整性问题。数据库完整性命令修改发现的任何数据库错误。建议在执行数据库完整性命令之前进行备份。如果在执行完整性检查命令之前启用了工作空间模式,建议注销所有管理员并解锁所有ADOM。当你不想保留完整性命令所做的更改而需要恢复FortiManager配置时,备份是很有用的。

  作为最佳实践,配置FortiManager的计划备份。FortiManager在计划备份之前自动运行数据库完整性命令,并创建日志。如果数据库完整性有任何问题,你需要重新运行命令来修复问题。

 本幻灯片列出了可用于验证和维护数据库完整性的命令。如果你执行一个数据库完整性命令,对数据库进行了更改或修正,那么建议你重新运行该命令,以验证是否正确地进行了任何更改或修正。

 这张幻灯片显示了一个数据库完整性检查的示例。FortiManager发现设备管理器数据库没有问题。第二个例子展示了如何检查单个ADOM上的数据库完整性。

 知识检查

 知识检查

 非常好!现在你了解了如何使用FortiManager诊断和排除各种问题。

  进下来,你将了解设备和ADOM数据库的故障排除。

 完成此部分后,你应该能够实现此幻灯片上显示的目标。

  通过展示理解如何使用与设备级和ADOM级数据库相关的CLI命令的能力,你将了解如何排除设备级和ADOM级问题。

 如果你需要验证哪些模板应用于哪个FortiGate设备,你可以从Provisioning templates小部件或从单个设备配置和安装状态小部件进行检查。

  本例中Local-FortiGate和Remote-FortiGate使用默认系统模板进行DNS配置。

 可以使用该命令查看模板的CLI配置。你可以看到哪些CLI命令将被推送到FortiGate。

  提示:使用?寻求帮助。本例中,默认系统模板中配置了主DNS表项和备DNS表项。请记住,默认系统模板应用于Local-FortiGate和Remote-FortiGate,如前一张幻灯片所示。

 你可以通过CLI命令查看被管理设备的整体配置,也可以查看单个对象的配置。

  execute fmpolicy print-device-database命令显示设备配置,包括从FortiManager进行的设备级更改。它不显示应用系统模板引起的更改。此外,也不会显示从FortiManager所做的ADOM级配置更改,比如防火墙策略和对象。这些更改将在安装时应用(复制)到设备级数据库。

  如果你从配置和安装状态小部件对一个被管理的设备执行安装预览,它将显示设备级的配置更改,但有以下异常:

  ● 系统模板

  ● ADOM级配置更改

 这张幻灯片显示了Local-FortiGate的DNS设置示例。Local-FortiGate是本地配置的,使用这里显示的DNS配置。本例中使用的DNS表项与系统默认模板中使用的DNS表项不同。安装Local-FortiGate的设备级配置时,安装会跳过主DNS表项,只安装备DNS表项。这是因为基于应用的默认系统模板和Local-FortiGate,主DNS表项是相同的。

 在前面的幻灯片中,你学习了如何查看与特定被管理设备相关的配置。你还可以使用本幻灯片中显示的命令在ADOM级别查看策略和对象。

 这张幻灯片显示了查看特定策略包中的一个或多个策略的示例。在本例中,Local-FortiGate策略包最初只有一个名为Ping Access的策略。FortiManager管理员在Local-FortiGate策略包中配置了一个名为Full Access的新策略。当从ADOM级别查看策略时,它会显示两个策略—现有策略和需要安装的新策略。

  如果查看设备级的Local-FortiGate策略,是否会显示新配置的防火墙策略?在设备级,在policy & objects安装完成后,从FortiManager中做出的ADOM级(防火墙策略和相关对象)配置更改才会显示出来。

 这张幻灯片显示了在设备级别上为特定设备查看一个或多个策略的示例。在本例中,Local-FortiGate策略是在设备级别上查看的。在执行policy & Object安装之前,不会显示ADOM级别的配置更改。

 知识检查

 知识检查

 非常好!你现在了解了在FortiManager上如何诊断和故障排除设备和ADOM据库问题。

  接下来,你将了解如何排除导入和安装问题。

 完成此部分后,你应该能够实现此幻灯片上显示的目标。

  通过展示理解导入和安装问题的能力,你将能够在网络中出现这些问题时进行故障排除。

 在本例中,配置被正确地检索并保存在修订历史中;但是在更新设备数据库时出现问题。通常,这种问题是由不一致或损坏的FortiGate配置引起的。

  你可以对重新加载失败进行故障排除,以查看配置在哪个阶段未能加载到设备级数据库中。

  当你执行重新加载失败命令时,FortiManager连接到FortiGate并下载其配置文件。然后,FortiManager对设备数据库执行重新加载操作。

  有两种可能的结果:

  ● 如果FortiGate配置中没有错误,则重新加载成功,设备级数据库将使用FortiGate配置更新。但是,请注意,没有创建新的修订历史条目。

  ● 如果FortiGate配置有错误,重新加载命令的输出表明配置中设备级数据库更新失败的点。

  你还可以检查事件日志,看看它们是否包含有关失败原因的详细信息。

 当你使用“添加设备”向导添加FortiGate或使用“导入策略”向导导入策略时,请始终确保策略和对象已成功导入。

  在本例中,FortiManager ADOM数据库有一个名为Test PC的防火墙地址对象,该对象与接口any相关联。

  第二个FortiGate也有一个名为Test PC的防火墙地址对象,它与接口端口6相关联。该防火墙地址对象在第二个FortiGate上的防火墙策略中被引用。

  在第二个FortiGate上添加或导入策略包时,导入防火墙地址对象“测试PC”及相关防火墙策略失败。FortiManager下载导入报告提供了对象或策略导入失败的原因。

  如果地址对象名称相同,但本地包含不同的值,那么FortiManager可以为地址对象创建动态映射。但是,有一个限制—关联的接口不能不同。这是因为,在ADOM级别,这个地址对象可能被其他策略包使用,它们可能没有相同的接口。

  部分政策包的导入会有什么影响?

 当你从FortiManager对部分导入的策略包进行配置更改,并尝试使用policy & Objects的安装向导安装它之后,FortiManager将删除失败的对象和策略。这是因为策略包不知道丢失的或失败的策略和对象。

  有两种方法可以解决这个问题:

  ● 你可以删除接口绑定,使其与FortiManager ADOM对象相同

  ● 如果需要保留FortiGate的接口绑定,而FortiGate有部分策略导入问题,则可以将地址对象重命名为不属于ADOM数据库的唯一名称

  要使用这两种方法中的任何一种,你可以使用Remote FortiGate Directly (Via CLI)选项从FortiManager运行一个脚本,或者你可以本地登录到FortiGate进行配置更改。

 在执行策略包安装时,复制操作是FortiManager在实际安装之前的第一个操作。它是FortiManager试图将adom级对象或策略复制到设备数据库的操作。它与进口操作相反。复制失败问题通常是由于从ADOM数据库复制到设备数据库时存在不正确或丢失的对象依赖项造成的。不正确或缺失的对象依赖关系是由FortiManager数据库中的损坏或不一致引起的。

  查看进度报告部分将帮助你识别失败的问题。

  当复制失败发生时,设备数据库将恢复到尝试复制之前的原始状态。

 总是检查视图安装日志,看看哪些CLI命令没有被执行或被FortiGate接受。通常是由以下原因引起的:

  ● 一个ADOM和FortiGate不匹配的版本,它使用不正确的CLI语法创建了一个对象

  ● 由于数据库损坏而错误地修改现有对象的ADOM升级

  ● 没有按照FortiManager上正确的操作顺序操作。例如,在FortiManager上推送SD-WAN策略而不启用SD-WAN

 这是安装失败的安装日志。在幻灯片中显示的示例中,由于FortiGate上的虚拟wan-link接口不可用,所以没有添加新的名为SD-WAN的防火墙策略(失败)。在这种情况下,管理员没有按照正确的步骤开启SD-WAN接口才推送SD-WAN策略,FortiGate拒绝了添加SD-WAN防火墙策略。

 验证报告显示了预期安装的配置与在FortiGate设备上安装的配置之间的差异。

  由于虚拟链路不可用,导致FortiGate设备上没有创建防火墙策略。

 有多种方法可以修复安装失败问题。

  第一。验证FortiGate版本是否与。或由ADOM版本支持。

  如果FortiGate版本不被ADOM版本支持,或者如果FortiManager不支持FortiGate CLI的一些特性,那么:

  1. 将FortiGate设备移动到支持的ADOM上,或者使用脚本解决这个问题。

  2. 重新安装。

  如果ADOM版本是正确的或执行了ADOM升级,则:

  1. 检索FortiGate配置,以便FortiManager用正确的语法更新设备数据库。

  2. 做一个小的设备级更改并安装它,以确保不存在设备数据库问题。

    ● 如果安装不成功,请检查并修复设备级设置。

    ● 如果安装成功,请检查并重新创建对象或策略(如果需要)。

  3.重新安装。

  请确保在FortiManager上遵循正确的操作顺序。例如,在创建或推送SD-WAN防火墙策略前,需要先启用SD-WAN。

  作为最后的手段,您可以隔离和修复安装失败问题;

  1. 创建一个新的ADOM与匹配的固件在FortiGate。

  2. 移动FortiGate到新的ADOM。

  3. 检索配置和导入策略包。

  4. 从FortiManager GUI(如果支持的话)或使用脚本重新创建对象或策略,然后执行安装。

 知识检查

 知识检查

 恭喜你!你已经完成了这一课。

  接下来,你将回顾你在本课中涉及到的目标。

 这张幻灯片显示了你在本课中涉及的目标。

  通过掌握本课涉及的目标,你学习了如何诊断和排除与FortiManager和被管理设备相关的问题。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值