NW enginner note: 2014

2014年6月2日月曜日

v5.0　→ v4.0へダウングレードする時のお作法(FG100Dの場合)

2013年くらいを境にFortigateのBIOSが変わってるとのこと。

GUIから実行すると

Downgrading to the given image is not supported. Please burn the image from BIOS

というエラーが出る。

これはBIOSのversion問題なんだろうね。

解決方法としてはtftpでDowngradeを実行するしかないみたい。

[準備]

０．configのバックアップを取得する。コレ大事。

１．シリアルコンソールを接続する。

２．MGMTポートに接続する。

３．tftpサーバの所定フォルダにファームウェアを格納しておく

４．tftpサーバを起動しておく

５．tftpサーバとFG間の疎通を確認しておく。

[手順]

１．Teraterm起動

２．FG100D起動

３．起動中、"Press any key to display configuration menu..."ていうメッセージが出たらスペースキーか何かを押す

４．tftpサーバのIPアドレスを入力する。

　Enter TFTP server address [192.168.1.168]: 192.168.1.100

５．ローカルのIPアドレスを適当に入力する。

　Enter local address [192.168.1.188]: 192.168.1.101

６．ファイル名を入力する。

　Enter firmware image file name [image.out]: FGT_100D-v400-build0665-FORTINET(MR3-P14).out

すると以下のようなメッセージが流れ、v4.0系のファームウェアで起動する。

MAC:00090F9CE02E
#######################
Total 24912410 bytes data downloaded.
Verifying the integrity of the firmware image.

Total 262144kB unzipped.

７．Dを押す。
　Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?D

Programming the boot device now.
................................................................................................................................................................................................................................................................
Reading boot image 1565890 bytes.
Initializing firewall...
System is started.

８．configを戻す。

これで完了。

2014年5月21日水曜日

hp MSM 無線コントローラのWEPについて

ドキュメントには書いていないけど仕様上、WEPキーは
一つしか持てない模様、、、、、

１．VSC-1を作ってWEPキーを設定する。
２．VSC-2を作ってWEPキーを設定する。
※この段階でVSC-1のWEPキーがシステム的には上書き
されている模様、、、、

同様の事象はWPAでも発生するかも。
結論はWPA2で。

とは言え、エンドユーザーの強い要望でWEPにすること
だってあるのに、、、、、

2014年5月16日金曜日

Fortigate Platform matrix

Fortigate v5.0系と機種のマトリックス

v5.0系にバージョンアップすると有効・無効になる機能が
有るので注意を、、、、、

出典 Fortinet )
http://docs-legacy.fortinet.com/fgt/fortigate-platform-matrix.pdf

2014年5月15日木曜日

Fortigate v5.0 インターフェースのspeed／duplex

Fortigate、GUIではspeedとduplexを変更できません。。。。
CUIからは設定変更出来ます。
※ONUとの接続はあんまり意識してないのかなぁ、、、、

v5.0はインターフェースのタイプが"物理"じゃないとCUIで
設定変更出来ません。ハードウェアスイッチやソフトウェア
スイッチだと駄目。

ex) "物理"インターフェースにspeedとduplexを設定する。

edit "port15"
set vdom "root"
set type physical
set snmp-index 14
set speed 100full
next

2014年5月14日水曜日

Fortigate GUIのタイムアウト時間延長

GUIのタイムアウト時間を延ばすコマンド
ex)20分でタイムアウト

config system session-ttl
set default 1200
end

2014年5月12日月曜日

Fortigate v5.0 AVのプロファイルを新規で作った場合の注意点

v5.0でAVのプロファイルを新規作成した場合、logへ出力されない、、、
以下のコマンドを投入すること。

# config antivirus profile
# edit プロファイル名
# set extended-utm-log enable
# set av-virus-log enable
# set av-block-log enable
# end

これでようやくlogが出力される、、、、、

2014年5月10日土曜日

Fortigate v5.0系のsyslog設定例

v5.0系からはGUIでsyslog設定が出来ない模様、、、、
なので、CUIで。

設定例）
config log syslogd setting
set status enable
set server "192.168.100.110"
set reliable disable
set port 514
set csv disable
set facility local7
set source-ip 0.0.0.0
end

2014年5月9日金曜日

Fortigate BIOS versionを調べるコマンド

FortigateのBIOS versionを調べるコマンド
get sys status

FG100D # get sys status
Version: FortiGate-100D v5.0,build4429,140409 (GA)
Virus-DB: 16.00560(2012-10-19 08:31)
Extended DB: 1.00000(2012-10-17 15:46)
IPS-DB: 4.00345(2013-05-23 00:39)
IPS-ETDB: 0.00000(2001-01-01 00:00)
Serial-Number: FG100D3G13829399
Botnet DB: 1.00000(2012-05-28 22:51)
BIOS version: 04000030
System Part-Number: P11510-03
Log hard disk: Available
Internal Switch mode: interface
Hostname: FG100D3G13829399
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 271
Release Version Information: GA
FortiOS x86-64: Yes
System time: Thu May 8 19:24:53 2014

2014年4月30日水曜日

非機能要求グレードの俯瞰図

非機能要求グレード（IPAより）
http://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html

俯瞰してみると

可用性、移行性、性能・拡張性、セキュリティ、運用・保守性、システム
環境・エコロジーの6大項目から成り立つ。

システムの中でもインフラに要求されるグレードを定義したものであり、
手本である。けど、こんなに見ることあるんだ.....と圧倒された。

2014年4月4日金曜日

広域イーサを使ってRSTPが回せるか？

中部圏の某電力会社系の広域イーサを使ってみた。
結果はOK。但し、事業者側のスイッチにBPDUを透過する機能が有効に
なっていないと、見事にループする。

2014年3月10日月曜日

Cisco SNMP設定

Internetに公開されているCisco routerのSNMP設定
意外と外部からSNMP接続されるようで、、、、

１．ACL作成
access-list 10 permit ip 192.168.255.xxx 0.0.0.0

２．ACLを適用
snmp-server community private RW 10

これで特定ホストからのSNMPしか応えなくなる。。。。

2014年2月27日木曜日

HP 1810-24の初期化方法

１．Reset / Clearを同時に押す。
２．Restを離す
３．Clearを離す

※デフォルトのIPアドレスは192.168.2.10