FortiGateの運用において、現在の設定状態を確認することは最も基本的かつ重要な作業です。Cisco機器とは異なる独自のコマンド体系を持つため、初めて触れる方は戸惑うことも多いでしょう。本記事では、実務で必須となるshow系コマンドの使い方を体系的に解説します。
FortiGateの案件に初めて参画したとき、Ciscoの癖で「show running-config」と打って何も表示されず焦りました。FortiGateでは「show」と「get」を使い分ける独特のコマンド体系があるため、最初は戸惑います。
実際に夜間作業でコンフィグ確認が必要になったときも、どのコマンドを使えばいいか迷ってしまい、作業時間が延びた経験があります。事前に主要コマンドを把握しておくことが重要です。
FortiGateには「show」と「get」という2種類のコマンドが存在します。Ciscoに慣れている方にとって、この違いは最初に理解すべき重要なポイントです。
| コマンド | 用途 | 出力形式 |
|---|---|---|
| show | 設定内容の表示(コンフィグ確認) | CLI形式(設定投入可能) |
| get | 動作状態の確認(ステータス表示) | 人間が読みやすい形式 |
| diagnose | 詳細診断・トラブルシュート | デバッグ情報形式 |
例えば、インターフェース設定を確認したい場合、「show system interface」で設定内容を、「get system interface physical」で現在のステータスを確認します。この使い分けが実務では非常に重要です。
最も基本的なのが、全体設定を確認するコマンドです。作業前後の確認や、バックアップ取得時に使用します。
# 全設定の表示(running-config相当)
show
# 完全な設定表示(デフォルト値含む)
show full-configuration
# 現在のコンフィグツリー位置の設定のみ
show | grep -f "interface"実務では「show」コマンドの出力をテキストファイルに保存し、作業前後の差分を確認する作業が頻繁に発生します。SSHクライアントのログ機能を活用しましょう。
インターフェース設定やルーティング設定は、ネットワークトラブル時に最も確認頻度の高い項目です。
# インターフェース設定の確認
show system interface
# 特定インターフェースの設定確認
show system interface port1
# スタティックルートの確認
show router static
# ポリシールーティングの確認
show router policyトラブルシューティングやステータス確認では、getコマンドとdiagnoseコマンドが主役になります。現場で使用頻度の高いものを紹介します。
| コマンド | 確認内容 |
|---|---|
| get system status | システム情報(バージョン、シリアル等) |
| get system interface physical | 物理インターフェースのステータス |
| get router info routing-table all | ルーティングテーブル全体 |
| get system arp | ARPテーブル |
| get system performance status | CPU・メモリ使用率 |
インターフェースステータスの確認例を見てみましょう。リンクの状態やIPアドレスの付与状況が一目で確認できます。
FG-100F # get system interface physical
== [ port1 ]
name: port1 mode: static ip: 192.168.1.1 255.255.255.0 status: up
speed: 1000Mbps (Duplex: full)
== [ port2 ]
name: port2 mode: static ip: 10.0.0.1 255.255.255.0 status: down
speed: n/aこの出力から、port1はリンクアップして1Gbpsで稼働中、port2はリンクダウン状態であることが即座に判断できます。speedが「n/a」の場合はケーブル未接続を意味します。
通信ができない場合、まずセッションテーブルを確認します。diagnoseコマンドを使用します。
# セッション数の確認
diagnose sys session stat
# 特定IPアドレスのセッション確認
diagnose sys session filter src 192.168.1.100
diagnose sys session list
# セッションフィルタのクリア
diagnose sys session clearルーティングの問題を切り分ける際は、以下のコマンドを順番に実行していきます。
「get router info routing-table all」で宛先への経路が存在するか確認
「diagnose debug flow」でパケットがどのポリシーにマッチするか確認
「diagnose sys session list」でNAT変換が正しく行われているか確認
実務で活用するコマンド使用頻度
図1: 現場でのコマンド使用頻度(私の経験値)
設定変更作業では、作業前後のコンフィグを保存して差分を確認することが重要です。TeraTermやPuTTYのログ機能を使って自動保存する設定をしておきましょう。
# 作業前のコンフィグ保存コマンド
execute backup config tftp before_config.conf 192.168.1.10
# または手動でコピー(TeraTerm等でログ開始)
show
show full-configuration「show full-configuration」は非常に長い出力になります。SSHセッションタイムアウトに注意し、必要に応じて「config system console」で「set output standard」を設定してページング機能を無効化してください。
主要確認項目とコマンドの対応表
| 確認項目 | 推奨コマンド | 確認頻度 |
|---|---|---|
| 機器情報 | get system status | 初回接続時 |
| インターフェース状態 | get system interface physical | 毎回 |
| ルーティング | get router info routing-table all | 通信不可時 |
| セッション状態 | diagnose sys session list | トラブル時 |
| リソース状況 | get system performance status | 定期確認 |
図2: トラブル発生時の確認手順フロー
FortiGateのCLI確認コマンドは、Ciscoとは異なる「show」「get」「diagnose」という3つの系統に分かれています。設定確認はshow、状態確認はget、詳細トラブルシュートはdiagnoseと使い分けることで、効率的な運用が可能になります。
- showコマンドは設定内容の確認に使用し、コンフィグ形式で出力される
- getコマンドは動作状態の確認に使用し、読みやすい形式で表示される
- トラブル時はインターフェース→ルーティング→ポリシー→セッションの順で確認する
