在本课中,你将学习如何配置设备级更改,了解FortiManager上托管FortiGate的状态,并为托管FortiGate设备安装更改。你还将学习如何使用修订历史记录进行故障排除,并将了解脚本和设备组的功能。
在本课中,你将了解上图显示的主题。
通过展示理解FortiGate配置状态和同步行为的能力,你将能够根据FortiGate的状态进行诊断和采取行动。
要配置已注册的设备,请在设备管理器中选择设备或VDOM。在本例中,选择了名为Local的FortiGate设备。
托管FortiGate的设备级设置可以从仪表板顶部的工具栏中查看和配置。你可以查看或配置接口、HA、DNS等。要配置或查看路由,请选择路由器选项卡。
在本例中,创建了一个新的静态路由。
你在本示例中看到的大多数设置与设备配置具有一对一的相关性,如果你使用FortiGate GUl或CLI在本地登录,你将看到该配置。
请注意,工具栏(仪表板和路由器)中只有几个选项。你可以单击显示选项,在设备级别自定义设备选项卡。
CLI-Only Objects菜单允许你配置通常可用且仅通过FortiGate CLI配置的设备设置。
请注意,可用选项因设备、支持的功能和固件版本而异。默认隐藏,此菜单可以在显示选项中启用。
CLI-Only Objects菜单在设备管理器和策略和对象窗格中可用。
你可以从设备管理器窗格将VDOM添加到托管设备中。添加VDOM是配置更改,因此你需要在托管设备上安装这些更改。
上图显示了托管FortiGate的状态。FortiManager在修订历史记录中保留了FortiGate配置。将最新的修订历史记录与FortiGate配置进行比较,以提供配置状态。最新的修订历史记录也与FortiGate的设备级数据库进行了比较,该数据库表明FortiGate配置是否在FortiManager上发生了变化。
了解托管设备的总体配置状态有助于管理员识别问题,并从FortiManager采取适当的行动:
● 同步/自动更新:最新的修订历史记录配置条目(无论是安装、检索还是自动更新)与FortiGate上的配置一致。
● 已修改:配置在FortiManager上进行修改,在FortiManager和托管设备之间不同步。
● 异步:由于在FortiGate上进行本地配置更改或之前的部分安装失败,最新的修订历史配置条目与FortiGate上的配置不匹配。建议你从FortiManager执行检索。
● 冲突:如果更改是在FortiGate本地进行的,并且没有被检索,但也是从FortiManager进行的,则状态将处于冲突状态。根据配置更改,你可以从FortiManager检索配置或安装更改。冲突状态也可以指示安装失败。
● 未知:由于无法访问FortiGate或部分安装失败,FortiManager无法确定同步状态。建议你从FortiManager执行检索。
在设备管理器窗格上,单击托管的FortiGate以选择它并查看其仪表板。你可以在配置和安装小部件下看到配置状态字段。
配置状态将正在运行的设备配置与修订历史记录中的当前版本进行比较。可能的同步状态很少:
● 同步:当前版本历史记录配置条目(无论是安装还是检索)与FortiGate上的运行配置同步。
● 异步:当前修订历史配置条目与FortiGate上的运行配置不匹配。它可能是由于安装失败或在FortiGate上进行的未自动更新的直接更改造成的。
● 未知:由于连接问题,FortiManager系统无法检测设备上当前运行的哪个版本(在修订历史记录中)。未知状态还可以指示你添加了模型设备,该设备不会生成修订。
● 冲突:当安装失败或在FortiManager和托管设备上修改配置时,不会与FortiManager自动同步。
配置状态指示FortiManager上设备设置的状态。有三种配置状态:
● 已修改:如果设备是从设备管理器配置的,则设备数据库将更改,设备设置状态被标记为已修改,因为它与该设备的运行配置或最新修订历史记录不匹配。如果安装了更改,它会将设备恢复到同步状态。
● 自动更新:配置更改直接在FortiGate上进行,设备数据库会自动更新。
● 已修改(最近自动更新):配置在FortiManager上修改,在托管设备上修改的配置自动与FortiManager同步。
在配置和安装小部件下,单击安装预览以查看FortiManager上对设备数据库所做的更改。这些是执行下一次安装时将在此FortiGate上安装的确切命令。
之前,我们配置了一个新的静态路由。这就是为什么配置状态被标记为已修改。在本例中,静态路由配置将在下次安装时推送到FortiGate。
diagnose dvm device list命令提供托管和未注册设备的所有设备或VDOM的列表。它还提供序列号、连接IP、固件、HA模式以及设备级设置和策略包的状态等信息。
上图的示例显示,FortiGate配置与最新的运行修订历史记录同步。然而,对设备级设置进行了更改。这就是为什么CLI输出显示db:modified,而cond显示为pending。在FortiGate上安装更改后,它将显示db: not modified和cond: OK。
你可以使用diagnose fgfm session-list命令来验证FortiManager和FortiGate设备之间的FGFM隧道正常运行时间,显示所有托管设备的连接IP地址,并显示FortiManager分配给FortiGate设备用于管理流量的链路级地址。
当你刷新设备时,你将尝试在所选设备和FortiManager之间建立连接。此操作检索有关托管设备的基本信息,例如序列号、固件版本、支持合同和FortiGate HA集群成员信息。
你可以通过单击连接摘要小部件中的刷新图标,或在设备管理器中选择设备,然后从更多下拉列表中选择刷新设备来刷新连接。
答案:A
答案:B
非常好!你现在了解了FortiManager上托管设备的设备级设置和状态。现在来,你将学习如何从FortiManager安装配置更改。
通过展示安装配置更改的能力,你将通过FortiManager成功更改托管设备。
上图说明了将更改从设备管理器窗格推送到设备的安装过程。为了完整起,本插图中也包含策略和对象窗格。
安装新配置时,FortiManager会将设备上运行的最新修订历史记录与FortiManager上的更改进行比较。然后,FortiManager在修订历史记录中创建一个新的修订,并在托管设备上安装这些更改。
安装过程涉及FortiManager安装向导。从设备管理器进行的配置更改不会立即生效,它们必须安装。在安装它们之前,设备设置状态保持为已修改状态。
在安装过程中,你被要求在两种不同的安装类型之间进行选择。
如果你选择安装设备设置(仅限),向导将仅安装从FortiManager进行的设备级配置更改。如果你对策略包中的设备级配置和策略进行了更改,你可以选择安装策略包和设备设置,这会安装策略包更改和任何特定于设备的设置。
要启动安装向导,请单击工具栏上的安装向导,或单击安装并选择安装向导。
当安装向导打开时,你需要选择要使用哪个选项来安装设置。在本例中,我们选择安装设备设置(仅限)。此选项仅安装与设备级设置相关的配置更改。由于我们之前向托管的FortiGate添加了一条新路由,因此配置状态显示为已修改。在此安装过程中,设备配置项安装在托管设备上。完成后,FortiManager和FortiGate将同步,配置状态从已修改为同步。
在下一步中,你需要选择要安装更改的设备。如果你在设备管理器下对多个设备进行了设备级更改,你可以选择安装这些更改的多个设备。
下一步是验证。安装向导检查设备设置,并将其与最新运行的修订历史记录进行比较。
单击安装预览以查看将在托管FortiGate上安装的配置更改。你可以通过单击下载来下载预览。该文件以.txt格式保存。
作为最佳实践,你应该始终预览和验证将提交给FortiGate的更改。如果发生冲突,你可以取消安装。然后,你可以在设备管理器下查看和更正冲突的配置,并重新启动安装向导。
在上图显示的示例中,添加了一个新的静态路由。
使用安装向导时,你现在可以在多达10台设备上预览设备设置和策略包。设备管理器和策略与对象磁贴中提供了多个设备选择。
上图显示的示例中,你可以看到两个选定的FortiGate设备的预览。
使用安装向导执行的最后一步是安装。安装完成后,你可以查看安装日志以查看安装配置更改的设备列表。
日志还显示安装过程中发生的任何错误或警告。单击查看安装日志以查看托管FortiGate上安装的配置更改。如果安装失败,安装日志会指示发生故障的阶段。
在上图显示的示例中,安装成功,FortiManager为安装创建了新的修订历史记录。
快速安装选项允许你快速安装设备级设置,而无需启动安装向导。当你使用此选项时,你无法在提交之前预览更改。管理员在使用此安装选项之前应确定更改,因为在启动该过程后无法取消安装。
如果不确定更改,鼓励管理员使用安装向导,以便在提交之前预览更改。
答案:B
答案:A
非常好!你现在了解了安装设备级配置更改所涉及的步骤。现在来,你将了解FortiManager上托管FortiGate的修订历史记录存储库。
通过展示使用修订历史记录功能的能力,你将能够诊断和排除与FortiGate配置更改相关的常见问题。
修订历史记录由许多不同的操作创建,例如添加设备、安装更改、检索配置或自动更新的发生。
FortiManager维护一个对托管设备进行的配置修订的存储库。
这允许FortiManager管理员查看和下载托管设备的配置修订版,检查配置修订版之间的配置更改,查看安装历史记录,并查看哪个管理员或进程创建了新的配置修订版。
如果托管的FortiGate设备配置直接从FortiGate修改,FortiManager会将校验和与最新的修订历史记录与FortiGate上的运行配置进行比较,并在其存储库中创建新的修订历史记录。然后,它更新FortiManager数据库,该数据库仅包括设备级设置。使用导入策略向导更新策略和对象。
如果从FortiManager更改到托管设备,在执行安装时,它会将校验和与最新的修订历史记录比较到FortiManager数据库,并创建新的修订历史记录。
因此,当检测到配置更改时,FortiManager会创建一个新的修订历史记录,并用版本号或ID号标记它。选择设备,在配置和安装小部件中,你可以查看、下载或比较修订版之间的差异。修订历史记录还允许你查看从FortiManager执行的安装。
修订历史记录存储库存储设备的所有配置修订,并用版本或ID号标记每个修订。安装和按列创建提供了有关创建修订的操作、过程或管理员的详细信息。
你可以选择修订ID来查看或下载配置修订。这是托管设备的完整配置,包括设备级别、策略和对象配置。
每次检索和安装操作后,FortiManager都会将FortiGate配置校验和输出与修订历史记录一起存储。这就是异步条件的计算方式。
你还可以通过单击修订差异来比较修订历史记录之间的差异。你可以将修订历史记录与之前的版本进行比较,选择特定版本,或将其与出厂默认配置进行比较。在输出方面,你可以选择显示带有差异的完整配置,仅差异,也可以将差异捕获到脚本中。
当从FortiManager完成安装时,安装日志会显示进行更改的管理员的姓名。执行安装时,安装列会自动填充已安装条目。这些是你可以查看安装日志的修订版。
你可以通过选择修订ID并单击查看安装日志来查看为该修订ID发送的命令。如果安装因没有回滚而失败,此历史记录是有用的,因为它显示了哪些命令被发送到设备并被设备接受,以及哪些命令未被接受。
你也可以单击下载以.txt格式下载此文件。
如果你对正在运行的配置不满意,有多种方法可以解决配置问题。你可以:
● 修改FortiManager上的配置,然后将其安装到托管设备上
● 直接在托管设备上修改配置
● 检索配置
● 恢复到之前的配置
● 从本地计算机导入FortiGate配置
请注意,FortiManager仅支持导入从FortiManager下载的配置文件。
修订历史记录还允许你从设备的运行配置中创建新的修订。单击检索配置。FortiManager检查并比较托管设备上的配置和FortiManager上的当前修订历史记录。如果有差异,FortiManager会使用新的ID号创建新的修订历史记录。
此选项可用于将FortiGate设备与FortiManager设备数据库重新同步。但是,在检索配置时,防火墙策略更改需要导入到策略和对象窗格中。
如果执行检索操作,注释列会自动生成注释。
默认情况下,直接在FortiGate设备上进行的所有更改都会由FortiManager自动更新(检索),并反映在设备管理器中该设备的修订历史记录和配置状态中。
你可以禁用自动更新行为,这允许FortiManager管理员选择接受或拒绝自动更新。
如果发生自动更新,FortiManager无法再确保所选策略包与正在运行的防火墙策略相同。因此,策略包状态返回异步错误。
你必须在FortiManager上运行导入策略向导才能同步策略包。
修订历史记录中的绿色勾号表示哪个修订历史配置与设备管理器数据库配置相对应。它通常是顶部条目,与FortiGate配置同步。
修订历史记录中的恢复操作将设备数据库配置更改为之前的配置状态。你必须在FortiGate上安装这些恢复的更改,然后创建一个新的修订条目。此新修订版是恢复版的副本,与FortiGate配置同步。恢复后安装只会恢复设备级别的更改。请记住,恢复不会恢复策略包;你需要导入策略和对象。
你可以通过右键单击该条目,然后单击恢复来恢复到之前的任何修订版。选定的上一个恢复条目将自动将安装列更新为修订恢复。FortiManager还用恢复的修订版的编号更新评论列,并且需要安装。
答案:B
答案:A
非常好!你现在了解了修订历史记录的目的以及如何使用它。接下来,你将了解脚本和设备组。
通过展示使用脚本的能力,你将能够使用脚本对托管FortiGate设备进行许多更改。使用设备组,你将能够更有效和高效地管理你的FortiGate设备。
脚本可以对托管设备进行许多更改,并且对于跨多个托管设备的批量配置更改和一致性非常有用。
FortiManager支持两种类型的脚本:
● CLI:CLI脚本仅包括FortioS CLI命令,因为它们在FortiGate设备上的命令行提示符处输入。
● TCL:TCL是一种动态脚本语言,扩展了CLI脚本的功能。在FortiManager TCL脚本中,脚本的第一行是数字符号(#)和感叹号(!),用于标准TCL脚本。不要包含通常结束TCL脚本的退出命令;它将阻止脚本运行。你必须熟悉TCL语言和正则表达式。有关TCL脚本的更多信息,请访问TCL官方网站:http://www.tcl.tk
默认情况下,脚本已启用。对于TCL脚本,你还需要从FortiManager CLI启用show_tcl_script命令。
请注意,TCL脚本不像CLI脚本那样通过FGFM隧道运行。TCL脚本使用SSH通过FGFM进行隧道,并且需要SSH身份验证才能这样做。如果FortiManager在设备管理器中没有使用正确的管理凭据,TCL脚本将失败。CLl脚本使用FGFM隧道,FGFM隧道使用FortiManager和FortiGate序列号进行身份验证。
在本课中,你将仅了解CLI脚本。
创建CLI脚本时,请遵循以下最佳实践:
● 使用完整的FortiOS CLI命令。可以使用部分语法;但是,它可能会导致脚本失败。
● 以数字符号(#)开头的注释行将不会执行。
● 在FortiGate CLI中,确保控制台输出设置为标准。否则,长度超过屏幕的脚本和其他输出将无法正确执行或显示。
脚本可以以三种不同的方式运行:
● 设备数据库:默认情况下,脚本在设备数据库上执行。建议你在设备数据库上运行更改(默认设置),因为这允许你检查将向托管设备发送哪些配置更改。脚本在设备数据库上运行后,你可以使用安装向导在托管设备上安装更改。
● 策略包,ADOM数据库:如果脚本包含与ADOM级对象和策略相关的更改,你可以更改默认选择以在策略包,ADOM数据库上运行,然后可以使用安装向导安装更改。
● 远程FortiGate直接(通过CLI):脚本可以直接在设备上执行,你无需使用安装向导安装更改。由于更改直接安装在托管设备上,因此在执行之前没有通过FortiManager验证和检查配置更改的选项。
你还可以在高级设备过滤器中应用选项,仅当设备符合设置条件时,你可以使用这些选项限制脚本在托管设备上运行。
上图的图表显示了FortiManager-FortiGate的交互。如上图所示,当你执行从FortiManager到FortiGate的安装时,FortiGate会创建一个新的修订历史记录。
如果你在设备数据库或策略包上运行脚本,则必须在托管设备上执行安装。
如果你直接在远程设备上运行脚本,则会发生自动更新,创建新的修订版,并更新设备级数据库。
如果你从FortiManager执行检索,或者发生自动更新,FortiManager将创建新的修订历史记录。如果更改与策略或对象有关,你必须运行导入策略向导将策略和对象导入ADOM数据库。
配置完脚本后,你可以浏览包含你想要运行的脚本的ADOM的ADOM脚本列表。
要立即运行脚本,请选择脚本,然后单击立即运行脚本。
你还可以将脚本安排在特定时间运行;例如,在工作时间之外。当你不想在工作时间干扰生产网络时,这非常有用。要打开可以安排脚本运行的窗口,请右键单击脚本,然后单击计划脚本。计划不能用于带有目标策略包或ADOM数据库的脚本。
右键单击菜单还提供其他选项,例如创建新脚本、编辑、克隆和删除现有脚本。你也可以通过单击导出来导出脚本。导出的脚本可以以.txt格式保存在本地计算机上。脚本也可以通过单击导入从本地计算机导入为文本文件。
要查看脚本历史记录,请转到设备仪表板。在配置和安装状态小部件下,单击查看历史记录以打开运行脚本历史记录表。此表提供了其他信息,例如名称、执行时间和脚本状态。单击执行日志图标以查看该特定脚本的执行日志,并确认该脚本运行没有任何问题。
脚本执行历史记录表还允许你重新运行脚本。单击表格最右栏中的再次运行图标以重新运行脚本。
你还可以使用脚本从FortiGate设备获取信息。这些类型的脚本通常是使用show命令的单行脚本,应该选择直接在远程FortiGate上运行(通过CLI)。在设备或ADOM数据库上运行脚本不会提供任何有用的信息。
FortiManager支持接口和对象的动态映射,以便它们可以与多个策略包一起使用。你可以从策略和对象窗格下的FortiManager GUl配置这些动态映射。
但是,如果你需要为数百个FortiGate设备配置地址对象或接口的动态映射,该怎么办?
你可以使用需要特殊CLI语法的脚本,这些语法在内部适用于FortiManager,并用于创建动态映射。这是由两部分组成的脚本:
● 顶部是定义对象的常规FortioS CLI语法。
● 底部是特殊的FortiManager CLI语法,用于为顶部定义的对象或接口创建动态映射。
在执行脚本时,还可以在FortiManager上运行实时调试,显示执行的请求和请求的结果。
这些是脚本失败的常见错误和常见原因。你可以使用这些来诊断和故障排除脚本故障问题,并可以使用常见的解决方案来解决问题。
脚本失败的常见错误和常见原因是:
● 命令解析错误:无法将脚本的这一行解析为有效的FortiGate CLI命令。这通常是由于关键字拼写错误或命令格式不正确造成的。
● 未知操作:通常此消息表示脚本的上一行未执行,导致以下CLI命令无法正常执行。
● 设备<名称>失败-1:这通常意味着脚本的结尾有问题。<name>是执行脚本的FortiGate的名称。如果脚本没有结束语句或该行中存在错误,你可能会看到此错误消息。如果FortiGate单元尚未通过部署其当前配置进行同步,你也可能会看到此消息。
要解决脚本故障问题,请使用脚本历史记录来显示执行了哪些CLl命令以及执行失败了哪些命令。
在对脚本进行故障排除时,你可以查看脚本历史记录以查看有关脚本的详细信息。任务监视器还提供与执行的其他任务相同的信息。你还可以将日志记录级别更改为对事件日志进行调试,从而为执行的操作创建日志。
你可以使用FortiManager上的execute fmscript命令树来执行脚本。
FortiManager上的execute fmscript命令树为脚本提供了各种命令,例如删除计划脚本,在ADOM之间复制脚本,导入脚本,在ADOM中列出所有已配置的脚本,或显示设备的脚本日志。
你可以在ADOM中创建设备组。你可以使用设备组来简化管理操作,方法是提供一个代表多个设备的目标,用于脚本、固件升级和配置更改。
你可以通过单击设备组>创建新组并选择要添加到此组的设备来创建新的设备组。
请注意,要删除设备组,你必须先从设备组中删除所有设备。同样,要删除ADOM,你必须先从ADOM中删除所有设备组。
答案:A
答案:A
恭喜!你已经完成了本课。接下来,你将复习本课中涵盖的目标。
通过掌握本课中涵盖的目标,你学习了如何配置设备级更改,了解FortiManager上托管FortiGate的状态,以及为托管FortiGates安装更改。你还学习了如何使用修订历史记录进行故障排除,以及脚本和设备组的功能。
扫一扫
198
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
