Диагностика работы FortiGate

Отладка потока пакетов

Отладка потока пакетов, когда сетевой трафик входит и выходит из FortiGate не так, как ожидалось. Отладка потока пакетов может быть выполнена только в CLI. Каждая команда настраивает часть действий по отладке. Последняя команда запускает отладку.

Чтобы отследить поток пакетов в CLI

diagnose debug flow trace start

Отслеживание потока пакетов путем установки фильтра потока

diagnose debug flow {filter | filter6} <option>

• Введите filter, если ваша сеть использует IPv4.
• Введите filter6, если ваша сеть использует IPv6.

Замените <option> одной из следующих переменных:

---

Если FortiGate подключен к FortiAnalyzer или FortiCloud, вывод потока отладки диагностики будет записан в виде сообщений журнала событий, а затем отправлен на устройства. Не запускайте эту команду дольше, чем необходимо, так как она генерирует значительный объем данных.

---

Пары интерфейсов FortiASIC NP4 или NP6, которые разгружают трафик, изменят поток пакетов. Перед отладкой интерфейсов NP4 или NP6 отключите разгрузку на этих интерфейсах. Для этого введите команду diagnose npu <interface pair> fastpath disable, где interface pair - np4, np6, np4lite или np6lite.

---

Чтобы начать мониторинг потока с определенного количества пакетов

diagnose debug flow trace start <N>

Чтобы остановить отслеживание потока в любое время

diagnose debug flow trace stop

---

В следующем примере показана трассировка потока для устройства с IP-адресом 1.1.1.1:

diagnose debug enable

diagnose debug flow filter addr 1.1.1.1

diagnose debug flow show function-name enable

diagnose debug flow trace start 100

Использование таблицы сессия

Чтобы отобразить таблицу сессий

diagnose sys session list

Чтобы настроить фильтр сессий

diagnose sys session filter <опции>

Несмотря на то, что UDP является протоколом без состояний, FortiGate все еще отслеживает 2 различных "состояния".