01
Sistema & Informações Gerais
Versão · status · admins · performance
Básico
Status geral do equipamento
# get system status # versão, build, serial, DBs
# get hardware status # hardware e temperatura
# diagnose hardware sysinfo vm full # detalhes em VM
# get system performance status # CPU, memória, sessões
# diagnose sys top # processos em tempo real
# get system uptime # uptime do equipamento
# get system arp # tabela ARP
Administração & configuração
| Comando | Uso |
|---|---|
| show full-configuration | Exibe a configuração completa |
| show | grep <texto> | Busca rápida em config |
| config global | Entra no contexto global |
| get system admin list | Lista administradores |
| get system interface physical | Lista interfaces físicas |
| diagnose debug config-error-log read | Lê erros de configuração |
| execute time | Data e hora atuais |
| execute reboot | Reinicia o equipamento |
Observação Em troubleshooting rápido, normalmente vale começar por
get system status, get system performance status e show system interface.02
Interfaces, VLANs & Endereçamento
IP · link · VLAN · DHCP
Básico
Consulta de interfaces
# show system interface
# get system interface ?
# get system interface physical
# diagnose netlink interface list
# diagnose ip address list
# get router info routing-table all # checar redes diretamente conectadas
Exemplos de configuração
# config system interface
edit "VLAN10-LAN"
set interface "port2"
set vlanid 10
set ip 192.168.10.1 255.255.255.0
set allowaccess ping https ssh
next
end
Dica Em validação de link, combine
get system interface physical com diagnose netlink interface list para ver speed/duplex e estado operacional.03
Rotas, Gateway & Routing
Static route · policy route · lookup
Intermediário
Tabela de roteamento
| Comando | Finalidade |
|---|---|
| get router info routing-table all | Mostra a tabela completa |
| get router info routing-table static | Apenas rotas estáticas |
| get router info routing-table database | Banco de rotas |
| get router info routing-table details <IP> | Lookup detalhado para destino |
| get router info routing-table details <IP> | Lookup detalhado para Origem |
| get router info routing-table all | grep <IP> | Ver rotas filtradas/td> |
| show router static | Configuração de rotas estáticas |
| show router policy | Policy routes |
Exemplo de rota estática
# config router static
edit 1
set dst 0.0.0.0 0.0.0.0
set gateway 200.0.0.1
set device "port1"
set distance 10
next
end
Atenção Quando houver mais de um link, valide distância, prioridade e se a rota está sendo realmente instalada. Configurada não significa ativa.
04
Firewall Policies, NAT & Objetos
Policies · addresses · services · VIP
Intermediário
Políticas e objetos
# show firewall policy
# show firewall address
# show firewall addrgrp
# show firewall service custom
# show firewall vip
# diagnose firewall iprope list # inspeciona policy engine
# diagnose sys session list # sessões atuais
Exemplo policy + NAT
# config firewall policy
edit 0
set name "LAN-to-WAN"
set srcintf "LAN"
set dstintf "WAN1"
set srcaddr "all"
set dstaddr "all"
set service "ALL"
set action accept
set schedule "always"
set nat enable
set logtraffic all
next
end
Cuidado Em análise de publicação via VIP, não olhe só a policy. Valide VIP, rota de retorno, ARP/next-hop e se o serviço realmente está escutando no host interno.
05
VPN IPsec & SSL-VPN
Phase1 · Phase2 · túnel · usuários
Intermediário
IPsec
# show vpn ipsec phase1-interface
# show vpn ipsec phase2-interface
# get vpn ipsec tunnel summary
# diagnose vpn tunnel list
# diagnose vpn ike gateway list
# diagnose vpn ike log-filter clear
# diagnose vpn ike log-filter name "TUNEL-XYZ"
SSL VPN
| Comando | Uso |
|---|---|
| show vpn ssl settings | Configuração geral da SSL VPN |
| show user local | Usuários locais |
| show user group | Grupos vinculados |
| diagnose vpn ssl list | Sessões SSL VPN ativas |
| get vpn ssl monitor | Monitor da SSL VPN |
Dica Em IPsec, valide na ordem: reachability, Phase1, Phase2, rotas, policy e retorno. Muitos incidentes fecham em policy ou seletor de Phase2.
06
Logs, Sessions & Monitoramento
Event log · traffic log · session table
Avançado
Logs
# execute log filter category 0
# execute log filter field srcip 10.10.10.10
# execute log display
# execute log display | grep policyid
# show log fortianalyzer setting
# show log syslogd setting
Sessões
# diagnose sys session stat
# diagnose sys session list
# diagnose sys session filter src 10.10.10.10
# diagnose sys session filter dst 8.8.8.8
# diagnose sys session filter dport 443
# diagnose sys session clear
# diagnose sys session filter clear
07
Debug de Tráfego & Flow
debug flow · sniffer · packets
Avançado
Debug flow clássico
# diagnose debug reset
# diagnose debug disable
# diagnose debug flow filter addr 10.10.10.10
# diagnose debug flow filter port 443
# diagnose debug flow show function-name enable
# diagnose debug flow trace start 100
# diagnose debug enable
# diagnose debug disable # parar ao finalizar
Atenção Sempre limpe filtros no final para não deixar debug residual:
diagnose debug reset e diagnose debug disable.Sniffer
| Comando | Uso |
|---|---|
| diagnose sniffer packet any 'host 8.8.8.8' 4 0 l | Captura pacotes para host específico |
| diagnose sniffer packet any 'port 53' 4 0 l | Captura DNS |
| diagnose sniffer packet port1 'icmp' 4 0 a | Captura ICMP em interface específica |
| diagnose sniffer packet any 'host 10.0.0.1 and port 443' 6 0 a | Mais detalhado |
Uso prático O sniffer mostra se o pacote entra e sai. O debug flow mostra por que ele foi aceito, NATeado, roteado ou dropado.
08
HA, Cluster & Failover
Status · sincronismo · prioridade
Avançado
Checagem de HA
# get system ha status
# diagnose sys ha status
# show system ha
# diagnose sys ha checksum cluster
# diagnose sys ha checksum show
# execute ha failover set 1 # usar com critério
Pontos para validar
- Role — quem está como primary e secondary
- Sync — estado de sincronismo da configuração
- Monitored interfaces — links que participam do failover
- Override / priority — comportamento esperado após retorno do link
- Session pickup — continuidade de sessões conforme cenário
Boa prática Antes de qualquer failover manual, valide janela, impacto e se há tráfego crítico em produção.
09
Diagnose Úteis de Campo
ping · traceroute · DNS · link
Especialista
Comandos rápidos
| Comando | Finalidade |
|---|---|
| execute ping 8.8.8.8 | Teste básico de reachability |
| execute ping-options source 192.168.1.1 | Define IP de origem |
| execute ping-options interface port1 | Força interface de saída |
| execute traceroute 8.8.8.8 | Rota até o destino |
| execute nslookup openai.com | Valida resolução DNS |
| get system dns | Servidores DNS configurados |
| diagnose test application dnsproxy 6 | Informação do DNS proxy |
| diagnose netlink brctl list | Estado de bridges, quando aplicável |
Sequência de troubleshooting
- 1. Verifique status do sistema e consumo de recursos
- 2. Valide interface, IP, gateway e tabela de rotas
- 3. Teste reachability com ping/traceroute
- 4. Revise policy, NAT, VIP e objetos
- 5. Consulte sessões e logs
- 6. Use sniffer e debug flow somente no alvo filtrado
Dica prática Quando o teste é a partir do próprio firewall, use
execute ping-options source. Isso evita conclusões erradas por origem inesperada.10
Backup, Restore & Manutenção
Backup config · firmware · revisão
Especialista
Backup e revisão
# execute backup config flash backup.conf
# execute backup full-config flash full-backup.conf
# execute restore config flash backup.conf
# execute restore image tftp <arquivo> <servidor>
# diagnose autoupdate versions
# get system firmware
Boas práticas
- Faça backup antes de qualquer mudança relevante
- Documente o motivo da alteração e janela aplicada
- Em upgrade, valide release notes, path suportado e uso de recursos
- Após mudanças, teste tráfego real e monitore sessões/logs
Importante Alguns comandos e comportamentos variam entre versões do FortiOS. Em ambiente crítico, valide a sintaxe no equipamento antes de executar.
11
SD-WAN
Helth check
Especialista
Diagnostico
# diagnose sys sdwan health-check
# diagnose sys sdwan service
# diagnose sys sdwan member
# get router info routing-table all
Boas práticas
- Não confie só no status “UP” → valide se o SLA realmente detecta degradação (latência, jitter, perda
- Sempre configure health-check com destino confiável (ex: 8.8.8.8 + outro IP)
- Evite depender da implicit rule → crie regras explícitas por tipo de tráfeg
- Revise prioridade/cost para evitar comportamento inesperado
- Após mudanças, limpe sessões para forçar reavaliação do caminho
- Sempre valide se existe rota estática competindo com SD-WAN
Importante Alguns comandos e comportamentos variam entre versões do FortiOS. Em ambiente crítico, valide a sintaxe no equipamento antes de executar.
12
BGP
Route, Neighbors
Especialista
Diagnostico
# get router info bgp routes
# get router info bgp summary
# get router info bgp neighbors
# get router info routing-table bgp
# diagnose ip router bgp
# diagnose ip router bgp level info
Boas práticas
- “BGP up” não significa sucesso → valide rotas recebidas e instaladas
- Use sempre prefix-list e route-map controlados (evite full table sem filtro)
- Padronize anúncios (ex: blocos /22 por filial, agregação)
- Valide next-hop reachability (problema clássico)
- Em VPN/BGP, garanta que o tráfego não está sendo afetado por NAT indevido
- Sempre documente ASN, neighbors e políticas (facilita troubleshooting)
Importante Alguns comandos e comportamentos variam entre versões do FortiOS. Em ambiente crítico, valide a sintaxe no equipamento antes de executar.
13
OSPF
Route, Neighbors, Database
Especialista
Diagnostico
# get router info ospf neighbor
# get router info ospf interface
# get router info ospf database
# diagnose ip router ospf all
Boas práticas
- Garanta consistência de area, network e MTU entre peers
- Use autenticação quando possível (segurança + estabilidade)
- Evite flood de LSAs em ambientes grandes → segmentar áreas
- Sempre valide LSDB (database) quando houver inconsistência
- Problemas de vizinhança geralmente estão ligados a:
- MTU mismatch
- network type errado
- timers diferentes
Importante Alguns comandos e comportamentos variam entre versões do FortiOS. Em ambiente crítico, valide a sintaxe no equipamento antes de executar.
14
SECURITY PROFILES
Web Filter, App control
Especialista
Visulização
# diagnose debug application wad -1
# diagnose test application ipsmonitor99
# show firewall ssl-ssh-profile
# show webfilter profile
# show antivirus profile
# show application list
Boas práticas
- Nunca aplique IPS/SSL Inspection direto em produção sem teste
- Use flow-based vs proxy-based conscientemente (impacto em performance)
- SSL Inspection pode quebrar aplicações → sempre validar certificado e exceções
- Use profiles diferentes por tipo de tráfego (não um genérico pra tudo)
- Em caso de problema:desative temporariamente profile para isolar causa
- Monitore logs → muitos bloqueios podem indicar falso positivo
Importante Alguns comandos e comportamentos variam entre versões do FortiOS. Em ambiente crítico, valide a sintaxe no equipamento antes de executar.