Fortinet – Diagnostique du routage sur un UTM FORTIGATE

L’ensemble des commandes fournies dans ce billet permet  une aide  au diagnostique du  processus de routage d’un UTM Fortigate.Pour information la configuration que j’ai utilisé est en mode multi VDOM (un VDOM est instance virtulle, équivaut à un context sur un pare-feu ASA ou une VRF sur un routeur en terme de routage).

La commande ci-dessous permet de consulter quelles sont les IP affectées par interfaces :

PRO_test (root) # diagnose ip address list
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=6 devname=root
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=8 devname=office
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=10 devname=proxy
IP=10.250.0.1->10.250.0.1/255.255.255.128 index=12 devname=internal
IP=172.31.232.197->172.31.232.197/255.255.255.252 index=14 devname=link0
IP=172.31.232.198->172.31.232.198/255.255.255.252 index=15 devname=link1
IP=172.30.100.100->172.30.100.100/255.255.255.255 index=17 devname=if-proxy1
IP=2.10.186.234->2.1.86.234/255.255.255.255 index=18 devname=LoopMetier
IP=2.10.187.97->2.1.87.97/255.255.255.255 index=19 devname=Loopnet
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=21 devname=vsys_ha
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=23 devname=vsys_fgfm

La commande ci-dessous permet de consulter la table ARP :

PRO_test (office) # get system arp
Address           Age(min)   Hardware Addr      Interface
10.250.0.4        0          00:1d:09:a5:0e:38 internal

La commande ci-dessous permet de diagnostiquer la table ARP :

PRO_test (root) # diagnose ip arp list
index=6 ifname=root 0.0.0.0 00:00:00:00:00:00 state=00000040 use=71482 confirm=71482 update=71756 ref=2
index=14 ifname=link0 0.0.0.0  state=00000040 use=2324901 confirm=2330901 update=2324901 ref=4
index=15 ifname=link1 0.0.0.0  state=00000040 use=2324901 confirm=2330901 update=2324901 ref=2
index=12 ifname=internal 10.250.0.4 00:1d:09:a5:0e:38 state=00000004 use=32 confirm=6032 update=32 ref=0

La commande ci-dessous permet de consulter les paramètres de configuration du boitier :

PRO_test (root) # show router static
config router static
edit 1
set device « wan1 »
set distance 5
set dst 10.0.0.0 255.0.0.0
set dynamic-gateway enable
next
edit 2
set device « wan1 »
set distance 5
set dst 172.16.0.0 255.240.0.0
set dynamic-gateway enable
next
edit 3
set device « wan1 »
set distance 5
set dst 192.168.0.0 255.255.0.0
set dynamic-gateway enable
next
edit 4
set device « wan1 »
set distance 5
set dst 88.246.206.0 255.255.255.248
set dynamic-gateway enable
next
edit 5
set device « wan1 »
set distance 5
set dst 196.22.181.24 255.255.255.255
set dynamic-gateway enable
next
edit 6
set device « wan1 »
set distance 5
set dst 199.16.18.25 255.255.255.255
set dynamic-gateway enable
next
edit 8
set device « tunnelBackupP1 »
set dst 10.0.0.0 255.0.0.0
next
edit 9
set device « tunnelBackupP1 »
set dst 172.16.0.0 255.240.0.0
next
edit 10
set device « tunnelBackupP1 »
set dst 192.168.0.0 255.255.0.0
next
edit 11
set device « tunnelBackupP1 »
set dst 88.246.249.0 255.255.255.248
next
edit 12
set device « tunnelBackupP1 »
set dst 198.226.81.240 255.255.255.255
next
edit 13
set device « tunnelBackupP1 »
set dst 17.226.81.252 255.255.255.255
next
……………………………………
end

La commande ci-dessous permet de lister les routes dans le VDOM :

PRO_test (root) # diagnose ip route list
tab=254 vf=0 scope=0 proto=11 prio=0 0.0.0.0/0.0.0.0/0->172.29.235.254/32  pref=0.0.0.0 gwy=172.31.232.197 dev=15(link1)
tab=254 vf=0 scope=0 proto=11 prio=0 0.0.0.0/0.0.0.0/0->172.31.232.253/32  pref=0.0.0.0 gwy=172.31.232.197 dev=15(link1)
tab=254 vf=0 scope=253 proto=2 prio=0 0.0.0.0/0.0.0.0/0->172.31.232.196/30 pref=172.31.232.198 gwy=0.0.0.0 dev=15(link1)
tab=255 vf=0 scope=254 proto=2 prio=0 0.0.0.0/0.0.0.0/0->172.31.232.198/32  pref=172.31.232.198 gwy=0.0.0.0 dev=15(link1)
tab=255 vf=0 scope=253 proto=2 prio=0 0.0.0.0/0.0.0.0/0->172.31.232.199/32 pref=172.31.232.198 gwy=0.0.0.0 dev=15(link1)
tab=255 vf=0 scope=253 proto=2 prio=0 0.0.0.0/0.0.0.0/0->127.255.255.255/32 pref=127.0.0.1 gwy=0.0.0.0 dev=6(root)
tab=255 vf=0 scope=253 proto=2 prio=0 0.0.0.0/0.0.0.0/0->172.31.232.196/32 pref=172.31.232.198 gwy=0.0.0.0 dev=15(link1)
tab=255 vf=0 scope=254 proto=2 prio=0 0.0.0.0/0.0.0.0/0->2.1.86.234/32 pref=2.10.186.234 gwy=0.0.0.0 dev=18(LoopMetier)
tab=255 vf=0 scope=254 proto=2 prio=0 0.0.0.0/0.0.0.0/0->2.1.87.97/32 pref=2.10.187.97 gwy=0.0.0.0 dev=19(LoopInternet)
tab=255 vf=0 scope=253 proto=2 prio=0 0.0.0.0/0.0.0.0/0->127.0.0.0/32 pref=127.0.0.1 gwy=0.0.0.0 dev=6(root)
tab=255 vf=0 scope=254 proto=2 prio=0 0.0.0.0/0.0.0.0/0->127.0.0.1/32 pref=127.0.0.1 gwy=0.0.0.0 dev=6(root)
tab=255 vf=0 scope=254 proto=2 prio=0 0.0.0.0/0.0.0.0/0->127.0.0.0/8 pref=127.0.0.1 gwy=0.0.0.0 dev=6(root)

La commande ci-dessous permet de procéder à la consultation de la table de session de l’UTM :

PRO_test (office) # diagnose sys session list
session info: proto=17 proto_state=00 duration=222 expire=134 timeout=0 flags=00000000 sockflag=00000000 sockport=0 av_idx=0 use=3
origin-shaper=
reply-shaper=
per_ip_shaper=
ha_id=0 hakey=53643
policy_dir=0 tunnel=/
state=local
statistic(bytes/packets/allow_err): org=75776/1190/0 reply=13924/151/1 tuples=2
orgin->sink: org out->post, reply pre->in dev=6->15/15->6 gwy=0.0.0.0/172.31.232.198
hook=out dir=org act=noop 172.31.232.198:34662->172.31.232.197:53(0.0.0.0:0)
hook=in dir=reply act=noop 172.31.232.197:53->172.31.232.198:34662(0.0.0.0:0)
misc=0 policy_id=0 auth_info=0 chk_client_info=0 vd=0 serial=0002d801 tos=ff/ff imp2p=0 app=0

La commande ci-dessous permet de procéder à la consultation de la table de routage de l’UTM :

PRO_test (office) # get router info routing-table details
Codes: K – kernel, C – connected, S – static, R – RIP, B – BGP
O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area
* – candidate default
S*      0.0.0.0/0 [10/0] via 172.31.232.198, link0
C       10.250.0.0/25 is directly connected, internal
S       172.30.100.100/32 [10/0] is directly connected, if-proxy0
C       172.31.232.196/30 is directly connected, link0
C       172.31.232.197/32 is directly connected, link0

La commande ci-dessous permet de procéder à la consultation de l’ensemble de la table de routage de l’UTM avec l’affichage des routes sélectionnées :

PRO_test (root) # get router info routing-table database
Codes: K – kernel, C – connected, S – static, R – RIP, B – BGP
O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area
> – selected route, * – FIB route, p – stale info
C    *> 2.1.86.234/32 is directly connected, LoopMetier
C    *> 2.1.87.97/32 is directly connected, LoopInternet
S       2.254.254.0/24 [10/0] is directly connected, tunnelBackupP1 inactive
S       10.0.0.0/8 [10/0] is directly connected, tunnelBackupP1 inactive
S       84.246.216.0/29 [10/0] is directly connected, tunnelBackupP1 inactive
S       172.16.0.0/12 [10/0] is directly connected, tunnelBackupP1 inactive
S    *> 172.29.235.254/32 [10/0] via 172.31.232.197, link1
S       172.31.231.0/25 [10/0] is directly connected, wan2 inactive
S       172.31.231.128/25 [10/0] is directly connected, wan1 inactive
C    *> 172.31.232.196/30 is directly connected, link1
C    *> 172.31.232.198/32 is directly connected, link1
S    *> 172.31.232.253/32 [10/0] via 172.31.232.197, link1
S       192.168.0.0/16 [10/0] is directly connected, tunnelBackupP1 inactive
S       194.51.201.6/32 [10/0] is directly connected, tunnelBackupP1 inactive
S       194.206.181.240/32 [10/0] is directly connected, tunnelBackupP1 inactive
S       194.206.181.252/32 [10/0] is directly connected, tunnelBackupP1 inactive
S       194.250.6.218/32 [10/0] is directly connected, tunnelBackupP1 inactive
dd_type=0 dd_rule_id=0

Vérifier le RTCACHE:

PRO_test (office) #diagnose ip rtcache list
family=02 tab=254 vf=0 tos=0 flag=00000200
10.176.0.23@17(to3600)->10.177.0.21@9(port1) gwy=0.0.0.0 prefsrc=0.0.0.0ci: ref=2 lastused=41 expire=0 err=00000000 used=0 br=0 pmtu=1500
family=02 tab=254 vf=0 tos=0 flag=00000200
10.177.0.21@9(port1)->10.176.0.23@17(to3600) gwy=0.0.0.0 prefsrc=0.0.0.0 ci: ref=2 lastused=111 expire=0 err=00000000 used=0 br=0 pmtu=1436

La commande ci-dessous permet de recharger l’instance de routage:

PRO_test (root) # execute router restart

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *