- 配置设备级别的设置
- 受管设备状态
- 安装配置更改
- 修订记录
- 脚本
- 设备组
我们首先看一下为管理的FortiGate配置设备级别设置。
- 计划并进行与设备级设置相关的配置更改。
通过展示配置托管设备的能力,你将能够更高效地使用FortiManager。
全局显示选项页面允许你在ADOM级别自定义设备选项卡。你可以启用或禁用你希望在FortiManager GUI中为受管设备显示的功能。
你可以启用某个类别中的所有功能,也可以将其全部重置为其默认设置,而不是单独启用每个功能。你也可以通过单击全部选中来启用所有功能,或者通过单击重置为默认值将全部重设为默认值。
仪表板工具栏上的可用选项因设备而异,具体取决于设备支持的功能。
你还可以在设备级别自定义设备选项卡,该选项卡提供从ADOM级别继承配置的显示选项的选项,或者可以根据特定设备需求进行自定义。
它由四个无法删除或添加的小部件组成。
管理的FortiGate的设备级设置可以从顶部的工具栏查看和配置,例如Dashboard,它允许查看或配置接口、HA、DNS等等。要配置或查看路由,请选择Router选项卡。
在这个例子中,创建了一个新的静态路由。
这些设置中的大部分与设备配置具有一对一的关系,如果你使用FortiGate GUI或CLI在本地登录,将会看到设备配置。
请注意,工具栏(仪表板和路由器)中只有很少的选项。你可以单击“显示选项”以在设备级别自定义设备选项卡。
请注意,可用选项取决于设备、支持的功能和固件版本。
“设备管理器”和“策略和对象”窗格中提供了“仅CLI对象”菜单。
现在,让我们检查一下FortiManager上受管设备的状态。
- 了解FortiManager和FortiGate配置状态
- 了解托管FortiGate的同步和设备设置状态
- 预览从FortiManager到受控FortiGate的配置变更
- 描述刷新命令
- 根据状态过滤设备
通过展示理解FortiGate配置状态和同步行为的能力,你将能够根据FortiGate的状态诊断和采取行动。
了解受管理设备的整体配置状态有助于管理员识别问题并从FortiManager中采取适当的措施:
- 同步/未修改/自动更新:最新的修订历史记录配置条目(无论是安装、检索还是自动更新)与FortiGate配置一致。
- 待处理/已修改:FortiGate配置与FortiManager不同,正在等待安装操作以返回到未修改状态。安装操作将创建新的修订历史记录。
- 不同步:由于FortiGate本地进行的配置更改或之前的部分安装失败,最新的修订历史配置条目与FortiGate的配置不匹配。建议你从FortiManager执行检索。
- 冲突:如果更改是在FortiGate本地进行的,并且没有被检索到,但是也是由FortiManager进行更改,则状态将处于冲突状态。根据配置更改,你可以检索配置或从FortiManager安装更改。
- 未知:FortiManager无法确定同步状态,因为FortiGate无法访问,或者由于部分安装失败。建议你从FortiManager执行检索。
同步状态将正在运行的设备配置与修订历史记录中的当前版本进行比较。有三种同步状态:
- 同步:当前修订历史记录配置条目(无论是安装还是检索)与FortiGate的运行配置同步。
- 不同步:当前的修订历史记录配置条目与FortiGate上的运行配置不匹配。 这可能是由于安装失败或FortiGate对 自动更新的直接改变造成的。
- 未知:FortiManager系统无法检测到设备上当前正在运行的版本(在修订历史记录中)。
有三种设备设置状态:
- 未修改:设备级别数据库中的FortiGate配置与修订历史中的当前修订版本同步。 这意味着设备数据库没有更改,也没有任何要安装的设备。
- 修改:如果设备是通过设备管理器配置的,则设备数据库会更改,设备设置状态会被标记为已修改,因为它与该设备的修订历史记录不匹配。如果安装了更改,则会将设备恢复为未修改状态。
- 自动更新:配置更改直接在FortiGate上进行,并自动更新设备数据库。
预设配置时,我们配置了一个新的静态路由。这就是设备设置状态标记为已修改的原因。在这个例子中,静态路由配置将在下次安装时推送到FortiGate。
它还提供信息,如序列号、连接IP、固件、HA模式以及设备级别和策略包的状态。
你还可以检查FortiGate和FortiManager之间的FGFM隧道是否启动或关闭。
你可以基于以下条件过滤状态:
- 连接
- 设备配置(设备数据库状态)
- 策略包(ADOM数据库状态)
例如,单击设备配置菜单并选择修改。内容窗格仅显示具有修改的设备级配置文件的设备。
你可以通过单击“连接摘要”小组件中的“刷新”图标或选择设备管理器中的设备,然后从更多下拉菜单中选择刷新设备来刷新连接。
现在,我们来看看如何从FortiManager安装配置更改。
- 描述安装向导中提供的安装类型
- 使用安装向导将设备级别的更改安装到FortiGate中
- 描述安装配置选项的用途
通过学习安装配置更改的能力,你将成功通过FortiManager对受管设备进行更改。
当安装新的配置时,FortiManager会比较设备上运行的最新版本历史记录与FortiManager所做的更改。FortiManager然后在修订历史记录中创建一个新的修订版,并在受管设备上安装这些修改。
在安装过程中,你会被要求在两种不同的安装类型中进行选择。
如果选择安装设备设置(仅),向导将仅安装FortiManager进行的设备级配置更改。如果你更改了策略包中的设备级别配置和策略,则可以选择安装策略包和设备设置,以便安装策略包更改和任何设备特定设置。
接下来的几张幻灯片将仅查看仅安装设备设置的阶段。
当安装向导打开时,你需要选择你想要用来安装设置的选项。在这个例子中,我们选择安装设备设置(仅)。
此选项仅安装与设备级设置相关的配置更改。由于我们以前添加了一个新的路由到托管的FortiGate,所以配置状态显示为已修改。在此安装过程中,设备配置项目安装在受管设备上。完成后,FortiManager和FortiGate同步,并且配置状态从修改更改为同步。
点击预览查看将要安装在托管的FortiGate上的配置更改。你可以点击下载下载预览。该文件以.txt格式保存。
作为最佳实践,你应该总是预览并验证将要提交给FortiGate的更改。如果发生冲突,你可以取消安装。然后,你可以查看并更正设备管理器下的冲突配置,然后重新启动安装向导。
在这个例子中,我们添加了一个新的静态路由。
该日志还显示安装过程中发生的任何错误或警告。单击“安装日志”查看在管理的FortiGate上安装的配置更改。如果安装失败,安装日志会提供失败发生阶段的指示。
在这个例子中,安装成功了,FortiManager为安装创建了一个新的修订历史记录。
如果不确定这些更改,鼓励管理员使用安装向导,以便他们可以在提交之前预览更改。
现在,让我们检查一下FortiManager上托管的FortiGate的修订历史记录库。
- 了解何时创建新的修订历史记录
- 使用修订历史记录功能解决受管设备配置问题
- 确定哪个操作创建了修订历史记录
- 比较修订历史找出差异
- 查看安装日志
- 使用检索功能更新修订历史中的FortiGate配置
- 了解如何自动更新
- 将FortiGate配置恢复到之前的版本
通过学习使用修订历史功能的能力,你将能够诊断和排除与FortiGate配置更改相关的常见问题
这允许FortiManager管理员查看和下载受管设备的配置修订版,检查配置修订版之间的配置更改,查看安装历史记录,以及查看创建新配置修订版的管理员或进程。
如果从FortiManager向受管理设备进行更改,则在执行安装时,它会将校验和与最新的修订历史记录进行比较,并创建新的修订历史记录。
因此,当检测到配置更改时,FortiManager会创建一个新的修订历史记录并使用版本/ ID号对其进行标记。选择设备,然后在“配置和安装”小部件中,可以查看,下载或比较修订之间的差异。 修订历史还允许你查看从FortiManager执行的安装。
你可以选择修订版本ID来查看或下载配置修订版。这是受管设备的完整配置,包括设备级别、策略和对象配置。
在每次检索和安装操作之后,FortiManager将FortiGate的配置校验和输出存储在修订历史记录中。这是如何计算不同步的条件。
你还可以通过单击Revision Diff来比较修订历史记录之间的差异。你可以将修订历史记录与先前版本进行比较,选择特定版本或可以与出厂默认配置进行比较。就输出而言,你可以选择显示具有差异的完整配置,仅显示差异,或者可以将差异捕获到脚本中。
你可以通过选择修订ID并单击查看安装日志来查看为该修订ID发送的命令。如果由于没有回滚而导致安装失败,则此历史记录非常有用,因为它显示了哪些命令已发送到设备,以及哪些命令未被接受。
你也可以单击下载以.txt格式下载此文件。
- 修改FortiManager上的配置,然后将其安装到受管设备
- 直接在受管设备上修改配置
- 检索配置
- 恢复到以前的配置
- 从本地计算机导入FortiGate配置。
请注意,FortiManager支持只导入从FortiManager下载的配置文件。
该选项可以用来与FortiGate设备数据库重新同步FortiGate设备。但是,检索配置时,需要将防火墙策略更改导入到“策略和对象”窗格。
如果执行检索操作,则注释列会自动生成注释。
你可以禁用自动更新行为,允许FortiManager管理员选择接受或拒绝自动更新。
如果发生自动更新,FortiManager不再可能确保选定的策略包与正在运行的防火墙策略相同。因此,Policy Package Status会返回一个Out of Sync错误。
你必须在FortiManager上运行导入策略向导来同步策略包。
修订历史中的还原操作会将设备数据库配置更改为先前的配置状态。你必须将这些恢复的更改安装到FortiGate,它会创建一个新的修订条目。这个新版本将是已恢复版本的副本,并与FortiGate配置同步。
你可以通过右键单击该条目然后单击还原来恢复到以前的任何修订版本。所选的上一个还原条目将自动将“安装”列更新为版本还原。FortiManager还更新了评论栏,说明它从哪个版本恢复并且需要安装。
现在,我们来看看脚本。
- 通过了解脚本的功能
- 确定FortiManager支持的脚本类型
展示学习使用脚本,你将能够使用脚本对托管的FortiGate进行许多更改。
FortiManager支持两种类型的脚本:
命令行界面(CLI):CLI脚本仅包含FortiOS CLI命令,因为它们是在FortiGate设备的命令行提示符下输入的。
TCL语言:TCL是一种动态脚本语言,它扩展了CLI脚本的功能。在FortiManager TCL脚本中,脚本的第一行是数字符号(#)加上感叹号(!)#!,它用于标准的TCL脚本。不要包含通常结束TCL脚本的exit命令;它会阻止脚本运行。你必须熟悉TCL语言和正则表达式。有关TCL脚本的更多信息,请参阅官方TCL网站:http://www.tcl.tk
在FortiManager的GUI中,脚本在管理设置下启用,并从设备管理器进行配置。对于TCL脚本,你还需要从FortiManager CLI为TCL脚本启用show命令。
在本课中,我们将仅涵盖CLI脚本。
- 使用完整的FortiOS CLI命令。可以使用部分语法; 但是,它可能会导致脚本失败。
- 注释行以数字符号(#)开头,不会执行。
- 在FortiGate CLI中,确保控制台输出设置为标准。否则,长度超过屏幕的脚本和其他输出将无法正确执行或显示。
- 设备数据库:默认情况下,在设备数据库上执行脚本。建议你在设备数据库上运行更改(默认设置),因为这允 许你检查将发送到受管设备的配置更改。一旦脚本在设备数据库上运行,你就可以使用安装向导将更改安装 到受管设备上。
- 策略包ADOM数据库:如果脚本包含与ADOM级别对象和策略相关的更改,则可以将默认选择更改为在策略 包ADOM数据库上运行,然后使用安装向导进行安装。
- 直接(通过CLI)远程FortiGate:脚本可以直接在设备上执行,你不需要使用安装向导安装更改。由于更改直接 安装在受管设备上,因此在执行前没有提供任何选项来验证和检查通过FortiManager的配置更改。
你还可以在高级设备过滤器中应用选项,只有当设备符合设置标准时,才可以使用该选项来限制脚本在受管设备 上运行。
如果脚本在设备数据库或策略包上运行,则必须从FortiManager执行安装。
如果脚本直接在远程设备上运行,则会发生自动更新并创建新修订版,并更新设备级数据库。
如果从FortiManager执行检索或发生自动更新,FortiManager会创建新的修订历史记录。如果更改与策略或对象相关,则必须运行“导入策略”向导以在ADOM数据库中导入策略和对象。
要立即运行脚本,请选择脚本并单击立即运行脚本。
你还可以安排脚本在特定时间运行,例如,在工作时间之外。 如果你不想在工作时间内干扰生产网络,这非常有用。要打开可以计划脚本运行的窗口,请右键单击该脚本并单击计划脚本。
右键单击菜单还提供了其他选项,如创建新脚本,编辑,克隆和删除现有脚本。你也可以通过单击导出来导出脚本。导出的脚本可以以.txt格式保存在本地计算机上。通过单击导入,脚本也可以从本地计算机导入为文本文件。
脚本执行历史记录表还允许你重新运行该脚本。 单击表格最右侧列中的立即运行脚本图标重新运行该脚本。
FortiManager支持接口和对象的动态映射,以便它们可以与多个策略包一起使用。你可以在Policy&Object窗格下的FortiManager GUI中配置这些动态映射。
但是如果你需要为一个地址对象或接口配置数百个FortiGate的动态映射呢?
你可以使用需要特殊CLI语法的脚本,该语法在内部适用于FortiManager,并用于创建动态映射。它是两部分脚本:
最上面的部分是定义对象的常规FortiOS CLI语法
底部是特殊的FortiManager CLI语法,用于为在顶部定义的对象或接口创建动态映射
脚本失败的常见错误和常见原因是:
- 命令解析错误:无法将脚本的这一行解析为有效的FortiGate CLI命令,并且通常是由拼写错误的关键字或不正确的命令格式引起的。
- 未知操作:通常,此消息表示脚本的上一行未执行,导致以下CLI命令无法正确执行。
- Device <name> failed-1:通常意味着脚本结束时出现问题。 <name>是执行脚本的FortiGate的名称。如果脚本没有结束语句或该行有错误,你可能会看到此错误消息。如果FortiGate设备尚未通过部署当前配置进行同步,你也可能会看到此消息。
要解决脚本故障问题,请使用脚本历史记录,其中显示了CLI命令的执行情况以及执行失败的CLI命令。
FortiManager上执行fmscript命令树为脚本提供了各种命令,例如删除预定脚本,在ADOM之间复制脚本,导入脚本,将所有配置的脚本列在ADOM中,或显示设备的脚本日志。
现在,我们来检查设备组。
- 了解设备组的使用
- 配置设备组
通过学习设备组的能力,你将能够更有效地管理和管理FortiGate。
你可以通过单击设备组>添加并选择要在此组中添加的设备来创建新的设备组。
请注意,要删除设备组,必须先从设备组中删除所有设备。同样,要删除ADOM,你必须首先从中删除所有设备组。
- 配置设备级别的设置
- 了解FortiGate配置状态和同步行为
- 将配置更改推送到FortiGate
- 使用修订历史记录进行诊断和故障排除
- 在托管设备上配置和安装脚本
- 使用设备组简化FortiGate的管理
234
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
