FortiGateの運用において、現在の設定状態を確認することは最も基本的かつ重要な作業です。Cisco機器とは異なる独自のコマンド体系を持つため、初めて触れる方は戸惑うことも多いでしょう。本記事では、実務で必須となるshow系コマンドの使い方を体系的に解説します。
FortiGateの案件に初めて参画したとき、Ciscoの癖で「show running-config」と打って何も表示されず焦りました。FortiGateでは「show」と「get」を使い分ける独特のコマンド体系があるため、最初は戸惑います。
実際に夜間作業でコンフィグ確認が必要になったときも、どのコマンドを使えばいいか迷ってしまい、作業時間が延びた経験があります。事前に主要コマンドを把握しておくことが重要です。
showとgetの違い:FortiGate CLI の基本構造
FortiGateには「show」と「get」という2種類のコマンドが存在します。Ciscoに慣れている方にとって、この違いは最初に理解すべき重要なポイントです。
diagnoseコマンド(デバッグ・トラブルシューティング)
| コマンド | 用途 | 出力形式 |
|---|---|---|
| show | 設定内容の表示(コンフィグ確認) | CLI形式(設定投入可能) |
| get | 動作状態の確認(ステータス表示) | 人間が読みやすい形式 |
| diagnose | 詳細診断・トラブルシュート | デバッグ情報形式 |
getコマンド(ステータス確認)
例えば、インターフェース設定を確認したい場合、「show system interface」で設定内容を、「get system interface physical」で現在のステータスを確認します。この使い分けが実務では非常に重要です。
showコマンドでコンフィグを確認する
最も基本的なのが、全体設定を確認するコマンドです。作業前後の確認や、バックアップ取得時に使用します。
# 全設定の表示(running-config相当)
show
# 完全な設定表示(デフォルト値含む)
show full-configuration
# 現在のコンフィグツリー位置の設定のみ
show | grep -f "interface"実務では「show」コマンドの出力をテキストファイルに保存し、作業前後の差分を確認する作業が頻繁に発生します。SSHクライアントのログ機能を活用しましょう。
インターフェース設定やルーティング設定は、ネットワークトラブル時に最も確認頻度の高い項目です。
# インターフェース設定の確認
show system interface
# 特定インターフェースの設定確認
show system interface port1
# スタティックルートの確認
show router static
# ポリシールーティングの確認
show router policyトラブルシューティングやステータス確認では、getコマンドとdiagnoseコマンドが主役になります。現場で使用頻度の高いものを紹介します。
| コマンド | 確認内容 |
|---|---|
| get system status | システム情報(バージョン、シリアル等) |
| get system interface physical | 物理インターフェースのステータス |
| get router info routing-table all | ルーティングテーブル全体 |
| get system arp | ARPテーブル |
| get system performance status | CPU・メモリ使用率 |
インターフェースステータスの確認例を見てみましょう。リンクの状態やIPアドレスの付与状況が一目で確認できます。
FG-100F # get system interface physical
== [ port1 ]
name: port1 mode: static ip: 192.168.1.1 255.255.255.0 status: up
speed: 1000Mbps (Duplex: full)
== [ port2 ]
name: port2 mode: static ip: 10.0.0.1 255.255.255.0 status: down
speed: n/aこの出力から、port1はリンクアップして1Gbpsで稼働中、port2はリンクダウン状態であることが即座に判断できます。speedが「n/a」の場合はケーブル未接続を意味します。
通信ができない場合、まずセッションテーブルを確認します。diagnoseコマンドを使用します。
# セッション数の確認
diagnose sys session stat
# 特定IPアドレスのセッション確認
diagnose sys session filter src 192.168.1.100
diagnose sys session list
# セッションフィルタのクリア
diagnose sys session clearルーティングの問題を切り分ける際は、以下のコマンドを順番に実行していきます。
「get router info routing-table all」で宛先への経路が存在するか確認
「diagnose debug flow」でパケットがどのポリシーにマッチするか確認
「diagnose sys session list」でNAT変換が正しく行われているか確認
実務で活用するコマンド使用頻度
図1: 現場でのコマンド使用頻度(私の経験値)
設定変更作業では、作業前後のコンフィグを保存して差分を確認することが重要です。TeraTermやPuTTYのログ機能を使って自動保存する設定をしておきましょう。
executeコマンド(ping・バックアップ・再起動)
# 作業前のコンフィグ保存コマンド
execute backup config tftp before_config.conf 192.168.1.10
# または手動でコピー(TeraTerm等でログ開始)
show
show full-configuration「show full-configuration」は非常に長い出力になります。SSHセッションタイムアウトに注意し、必要に応じて「config system console」で「set output standard」を設定してページング機能を無効化してください。
主要確認項目とコマンドの対応表
| 確認項目 | 推奨コマンド | 確認頻度 |
|---|---|---|
| 機器情報 | get system status | 初回接続時 |
| インターフェース状態 | get system interface physical | 毎回 |
| ルーティング | get router info routing-table all | 通信不可時 |
| セッション状態 | diagnose sys session list | トラブル時 |
| リソース状況 | get system performance status | 定期確認 |
図2: トラブル発生時の確認手順フロー
- FortiGate diagnoseコマンド完全ガイド|debug flow・sniffer・session確認の実務テクニック
- FortiGateデバッグコマンド完全ガイド|debug flow・パケットキャプチャの使い方
- FortiGateセッションテーブルの確認コマンドと読み方
- FortiGateログ設定完全ガイド|ログの見方・種類・CLI確認コマンド
- FortiGateバックアップ・リストア手順|GUI/CLI対応
- FortiGateで通信が通らない時の一次切り分け手法
- FortiGateのCLIとGUIどっちを使う?運用効率を上げる使い分けのコツ
- FortiGateのCLIとGUIどっちを使う?運用効率を上げる使い分けのコツ
- FortiGate diagnoseコマンド完全ガイド
- FortiGateデバッグコマンド完全ガイド
- FortiGateバックアップ・リストア手順
- FortiGate NTP設定手順
FortiGate CLIコマンドに関するよくある質問(FAQ)
Q. showとshow full-configurationの違いは?
「show」はデフォルト値から変更された設定のみを表示します。「show full-configuration」はデフォルト値を含むすべての設定を表示します。通常のコンフィグ確認はshowで十分ですが、設定比較やバックアップ目的ではfull-configurationが便利です。
Q. FortiGateのコンフィグをバックアップするコマンドは?
CLIからは「execute backup config tftp [ファイル名] [TFTPサーバーIP]」でTFTPサーバーにバックアップできます。USB経由なら「execute backup config usb [ファイル名]」です。GUIではSystem > Backup > Backup configurationから取得可能で、暗号化オプションも選べます。
Q. diagnoseコマンドとgetコマンドの使い分けは?
getコマンドは現在のステータス情報(インターフェース状態、システム情報等)をシンプルに表示します。diagnoseコマンドはより深いレベルのデバッグ・診断情報を取得する際に使います。日常の確認作業はget、トラブルシューティング時はdiagnoseが基本の使い分けです。
Q. FortiGateでpingやtracerouteを実行するコマンドは?
「execute ping [宛先IP]」でping、「execute traceroute [宛先IP]」でtracerouteが実行できます。送信元インターフェースを指定する場合は「execute ping-options source [送信元IP]」を事前に設定してからpingを実行します。
