教程篇(6.4) 09. FortiManager 设备级配置和安装 ❀ Fortinet 网络安全专家 NSE5

Posted 2021-05-20 meigang2012

 在本节课中，你将学习如何配置设备级更改，了解FortiManager上被管理FortiGate的状态，以及如何在被管理FortiGate设备上安装更改。你还将了解如何使用修订历史进行故障排除，并了解脚本和设备组的功能。

 在这节课中，你将学习这张幻灯片上显示的主题。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示理解FortiGate配置状态和同步行为的能力，你将能够根据FortiGate的状态进行诊断并采取行动。

 若要配置已注册的设备，请在设备管理器中选择设备或VDOM。本例中选择名为Local-FortiGate的FortiGate设备。

　　管理FortiGate的设备级设置可以通过Dashboard顶部的工具栏查看和配置接口、HA、DNS，举几个例子。配置或查看路由，请选择路由页签。

　　本例中新建一条静态路由。

　　如果你使用FortiGate GUl或CLI本地登录，你在本例中看到的大多数设置都与设备配置具有一对一的相关性。

　　请注意，工具栏中只有几个选项(仪表板和路由器)。单击显示选项，可以自定义设备级的设备选项卡。

 CLI- Only对象菜单允许你配置设备设置，这些设置通常只能通过FortiGate命令行进行配置。

　　请注意，根据设备、支持的特性和固件版本的不同，可用选项有所不同。默认隐藏，这个菜单可以在显示选项中启用。

　　在设备管理器和策略与对象窗格中可以找到CLI-Only对象菜单。

 你可以从设备管理器窗格中添加一个VDOM到被管理设备。添加VDOM是一个配置更改，因此需要在被管理设备上安装这些更改。

 此图显示了被管理FortiGate的状态。FortiManager将FortiGate配置保存在修订历史中。将最新的修订历史与FortiGate配置进行比较，以提供同步状态。最新的修订历史记录还会与FortiGate的设备级数据库(设备设置状态)进行比较，这表明FortiManager上的FortiGate配置是否发生了更改。

　　了解被管理设备的总体配置状态有助于管理员识别问题，并从FortiManager采取适当的行动：

　　● 同步/未修改/自动升级：最新版本历史配置项(无论是安装、检索还是自动更新)与FortiGate上的配置保持一致。

　　● 持起/修改：与FortiManager不同的FortiGate配置正在等待安装操作，以便返回到未修改的状态。安装操作将创建新的修订历史记录。

　　● 不同步：由于本地FortiGate上的配置更改或以前的部分安装失败，最新版本历史配置项与FortiGate上的配置不匹配。建议你从FortiManager执行检索。

　　● 冲突：如果在FortiGate上本地进行的更改没有被检索，但也从FortiManager进行了更改，则状态将处于冲突状态。根据配置更改，你可以检索配置或从FortiManager安装更改。

　　● 未知：由于FortiGate不可达或部分安装失败，FortiManager无法确定同步状态。建议你从FortiManager执行检索。

 在设备管理器窗格中，单击一个被管理FortiGate，选择它并查看它的仪表板。你可以在配置和安装状态小部件下看到同步状态字段。

　　同步状态将当前设备配置与修订历史中的当前版本进行比较。有三种可能的同步状态：

　　● 同步：当前修订历史配置项(无论是安装还是检索)与FortiGate上运行的配置同步。

　　● 不同步：当前修订历史配置项与FortiGate上的运行配置不匹配。这可能是由于安装失败或在FortiGate上进行的没有自动更新的直接更改造成的。

　　● 未知：FortiManager系统无法检测当前在设备上运行的版本(在版本历史中)。

 设备设置状态字段可以在配置和安装状态小部件下找到。

　　设备设置状态表示FortiManager中设备设置的状态。有三种设备设置状态：

　　● 未修改：设备级数据库中的FortiGate配置与修订历史中的当前修订是同步的。这意味着对设备数据库没有任何更改，也不需要安装任何东西。

　　● 修改：如果设备从设备管理器中配置，设备数据库会发生变化，设备设置状态会被标记为修改，因为它与该设备的修订历史不匹配。如果安装了更改，它会将设备放回未修改状态。

　　● 自动更新：配置更改直接在FortiGate上进行，并自动更新设备数据库。

 在配置和安装状态窗口小部件下，单击Preview以查看FortiManager上对设备数据库所做的更改。这些就是下次执行安装时将安装在这个FortiGate上的命令。

　　之前，我们配置了一个新的静态路由。这就是为什么设备设置状态被标记为修改。在本例中，静态路由配置将在下一个安装时推送到FortiGate。

 diagnose dvm device list命令用来提供被管理和未注册设备的所有设备或VDOM列表。它还提供设备级设置和策略包的信息，如序列号、连接IP、固件、HA模式和状态。

 diagnose dvm device list命令用来提供被管理和未注册设备的所有设备或VDOM列表。它还提供设备级设置和策略包的信息，如序列号、连接IP、固件、HA模式和状态。

 本幻灯片上的示例显示了FortiGate配置与最新的运行修订历史同步。但是，对设备级设置进行了更改。这就是CLI输出显示db:modified和cond显示为pending的原因。当你在FortiGate上安装更改后，它会显示db: unmodified和cond: OK。

　　你也可以查看FortiGate和FortiManager之间的FGFM隧道是up还是down。

 知识检查

 知识检查

 非常好！现在你了解了FortiManager上被管理设备的设备级设置和状态。

　　现在，你将学习如何从FortiManager安装配置更改。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过演示安装配置更改的能力，你将通过FortiManager成功地更改被管理的设备。

 此关系图说明了将更改从设备管理器窗格推到设备的安装过程。为了完整起见，策略与对象窗格也包含在这个插图中。

　　当安装新配置时，FortiManager将在设备上运行的最新修订历史与在FortiManager上所做的更改进行比较。然后，FortiManager在修订历史中创建一个新的修订，并将这些更改安装到管理设备上。

 安装过程包括FortiManager安装向导。进行的配置更改设备管理器不会立即生效—它们必须被安装。在安装之前，设备设置状态仍为修改。

　　在安装过程中，你会被要求在两种不同的安装类型中进行选择。

　　如果选择安装设备设置(仅)，向导将只安装从FortiManager所做的设备级配置更改。如果你已经更改了策略包中的设备级配置和策略，你可以选择安装策略包和设备设置，这将安装策略包更改和任何特定于设备的设置。

　　要启动安装向导，单击工具栏上的安装向导，或单击安装并选择安装向导。

　　当安装向导打开时，你需要选择要使用哪个选项来安装设置。在本例中，我们选择安装设备设置(仅)。此选项只安装与设备级设置相关的配置更改。因为我们之前添加了一个到被管理FortiGate的新路由，所以配置状态显示为Modified。在安装过程中，设备的配置项会安装在被管理设备上。一旦完成，FortiManager和FortiGate就同步了，配置状态也从Modified变为Synchronized。

 在下一步中，你需要选择要安装更改的设备。如果你在设备管理器下对多个设备进行了设备级更改，那么你可以选择要在其上安装这些更改的多个设备。

　　下一步是验证。安装向导检查设备设置，并将其与最新的运行修订历史进行比较。

　　单击Install Preview以查看将安装在被管理FortiGate上的配置更改。你可以通过点击下载来下载预览。文件格式为txt。

　　作为一种最佳实践，你应该总是预览和验证将提交给FortiGate的更改。如果有冲突，可以取消安装。然后，你可以检查并纠正驱动管理下的冲突配置，并重新启动安装向导。

　　在本幻灯片所示的示例中，添加了一个新的静态路由。

 当使用安装向导时，你现在可以预览最多10个设备的设备设置和策略包。在设备管理器和策略&对象窗格中有多个设备选择。

　　在本幻灯片所示的示例中，你可以看到两个所选FortiGate设备的预览。

 使用安装向导执行的最后一步是安装。安装完成后，可以通过安装日志查看安装了配置更改的设备列表。

　　该日志还显示安装过程中发生的任何错误或警告。单击查看安装日志，可以查看被管理FortiGate上安装的配置更改。如果安装失败，安装日志将提供失败发生阶段的指示。

　　在本幻灯片显示的示例中，安装是成功的，FortiManager为安装创建了一个新的修订历史。

 快速安装选项允许你在不启动安装向导的情况下快速安装设备级设置。使用此选项时，无法在提交之前预览更改。管理员应该在使用这个安装选项之前确定更改，因为安装不能在流程启动后取消。

　　如果对更改不确定，建议管理员使用安装向导，以便在提交之前预览更改。

 知识检查

 知识检查

 非常好！现在你了解了安装设备级配置更改所涉及的步骤。

　　接下来，你将了解FortiManager上被管理FortiGate的修订历史存储库。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示使用修订历史特性的能力，你将能够诊断和排除与FortiGate配置更改相关的常见问题。

 修订历史记录是由许多不同的操作创建的，例如添加设备、安装更改、检索配置或自动更新的发生。

　　FortiManager维护一个存储库，存储对被管理设备所做的配置修订。

　　这允许FortiManager管理员查看和下载被管理设备的配置修订，检查配置修订之间的配置更改，查看安装历史，以及查看哪个管理员或进程创建了新的配置修订。

 如果被管理FortiGate设备配置直接从FortiGate修改，FortiManager会将最新修订历史的校验和与FortiGate上的运行配置进行比较，并在其存储库中创建一个新的视图历史。然后更新FortiManager数据库，其中只包括设备级设置。使用导入策略向导更新策略和对象。

　　如果更改是从FortiManager到被管理设备，那么在执行安装时，它会将校验和与FortiManager数据库的最新修订历史进行比较，并创建一个新的修订历史。

　　因此，当检测到配置中的更改时，FortiManager将创建一个新的修订历史，并使用版本或ID号对其进行标记。选择设备，在配置和安装状态小部件中，你可以查看、下载或比较修订之间的差异。修订历史还允许你查看从FortiManager执行的安装。

 Revision History存储库存储设备的所有配置修订，并为每个修订标记一个版本或ID号。安装和创建列提供了关于创建修订的操作、过程或管理员的详细信息。

　　你可以选择修订ID来查看或下载配置修订。这是被管设备的完整配置，包括设备级、策略和对象配置。

　　在每次检索和安装操作之后，FortiManager会将FortiGate配置校验和输出与修订历史一起存储。这就是不同步条件是如何计算的。

　　你还可以通过单击Revision Diff来比较修订历史记录之间的差异。你可以将修订历史记录与以前的版本进行比较，选择特定的版本，或将其与工厂默认配置进行比较。就输出而言，你可以选择显示具有差异的完整配置。只有差异，或者可以将差异捕捉到脚本中。

 当从FortiManager完成安装时，安装日志将显示进行更改的管理员的名称。当执行安装时，安装列将自动填充已安装条目。你可以查看这些版本的安装日志。

　　你可以通过选择修订ID并单击view Install Log来查看为该修订ID发送的命令。如果安装因为没有回滚而失败，那么这个历史记录是有用的，因为它显示了哪些命令被发送到设备并被设备接受，以及哪些命令没有被接受。

　　你也可以单击下载，下载txt格式的文件。

 如果你对当前运行的配置不满意，有多种方法可以解决配置问题。你可以：

　　● 修改FortiManager上的配置，然后安装到被管理设备上

　　● 直接在被管理设备上修改配置

　　● 获取配置

　　● 恢复到以前的配置

　　● 从本地计算机导入FortiGate配置

　　注意，FortiManager只支持导入从FortiManager下载的配置文件。

 修订历史还允许你从设备的运行配置创建一个新的修订。点击检索配置。FortiManager检查并比较被管理设备上的配置和FortiManager上的当前修订历史。如果存在差异，FortiManager将使用新的ID号创建新的修订历史。

　　此选项可用于将FortiGate设备与FortiManager设备数据库重新同步。但是，在检索配置时，需要将防火墙策略更改导入到策略与对象窗格中。

　　如果执行检索操作，Comments列会自动生成注释。

 默认情况下，FortiGate设备上直接进行的所有更改都由FortiManager自动更新(检索)，并反映在设备管理器中该设备的Revision History和Config Status中。

　　你可以禁用自动更新行为，这将允许FortiManager管理员选择接受或拒绝自动更新。

　　如果发生自动更新，FortiManager将无法确保所选策略包与正在运行的防火墙策略相同。因此，策略包状态返回一个Out-of-Sync错误。

　　必须在FortiManager上运行Import Policy向导来同步策略包。

 修订历史中的绿色复选标记表示哪个修订历史配置对应于设备管理器数据库配置。它通常是顶部的条目，与FortiGate配置同步。

　　修订历史中的还原操作将把设备数据库配置更改为以前的配置状态。你必须在FortiGate上安装这些恢复的更改，这将创建一个新的修订条目。这个新版本将是恢复的版本的副本，并与FortiGate配置同步。在安装之后进行恢复只能恢复设备级更改。请记住，revert并不还原策略包，你将需要导入策略和对象。

　　你可以通过右键单击该条目，然后单击revert来恢复到以前的任何修订。选中的前一个恢复项将自动将“安装”列更新为“修订恢复”。FortiManager还更新Comments列，说明从哪个版本恢复它，以及需要安装。

 知识检查

 知识检查

 非常好！现在你了解了修订历史的用途以及如何使用它。

　　接下来，你将了解脚本和设备组。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示使用脚本的能力，你将能够使用脚本对所管理的FortiGate设备进行许多更改。通过使用设备组，你将能够更有效地管理和管理FortiGate设备。

 脚本可以对被管理设备进行许多更改，对于跨多个被管理设备的批量配置更改和一致性非常有用。

　　FortiManager支持两种类型的脚本：

　　● CLI：CLI脚本只包含Fortios CLI命令，因为它们是在FortiGate设备的命令行提示符中输入的。

　　● TCL：TCL是一种动态脚本语言，扩展了CLI脚本的功能。在FortiManager TCL脚本中，脚本的第一行是数字符号(#)加上感叹号(!)，这是标准TCL脚本的标志。不要包含通常结束TCL脚本的exit命令；它将阻止脚本运行。你必须熟悉TCL语言和正则表达式。有关TCL脚本的更多信息，请访问TCL官方网站:http://www.tcl.tk

　　缺省情况下，脚本是启用的。对于TCL脚本，还需要从FortiManager CLI启用show TCL script命令。

　　注意，TCL脚本不像CLI脚本那样通过FGFM隧道运行。TCL脚本使用SSH来通过FGFM进行调优，并且它们需要SSH身份验证才能做到这一点。如果FortiManager没有在设备管理器中使用正确的管理凭据，则TCL脚本将失败。CLI脚本使用FGFM隧道，FGFM隧道通过FortiManager和FortiGate序列号验证。

　　在这节课中，你将只学习CLI脚本。

 在创建CLI脚本时，请遵循以下最佳实践：

　　● 使用完整的FortiOS CLI命令。可以使用部分语法；但是，它可能会导致脚本失败。

　　● 以数字符号(#)开头的注释行将不会执行。

　　● 在FortiGate CLI中，确保控制台输出设置为标准。否则，超过屏幕长度的脚本和其他输出将无法正确执行或显示。

 脚本可以以三种不同的方式运行：

　　● 设备数据库：默认情况下，在设备数据库上执行脚本。建议你在设备数据库上运行更改(默认设置)，因为这允许你检查将发送给被管理设备的配置更改。一旦脚本在设备数据库上运行，你就可以使用安装向导将更改安装到被管理设备上。

　　● 策略包，ADOM数据库：如果脚本包含与ADOM级对象和策略相关的更改，你可以更改默认选择，以在策略包、ADOM数据库上运行，然后可以使用安装向导进行安装。

　　● Remote FortiGate Directly(通过CLI)：脚本可以直接在设备上执行，不需要使用安装向导安装更改。由于更改直接安装在被管理设备上，因此在执行配置更改之前，不提供通过FortiManager验证和检查配置更改的选项。

　　你还可以应用高级设备筛选器中的选项，你可以使用该选项来限制脚本只在与设置的条件匹配的设备上运行。

 这张幻灯片上的图表显示了FortiManager-FortiGate交互。如本幻灯片所示，当你执行从FortiManager到FortiGate的安装时，FortiGate将创建一个新的修订历史记录。

　　如果在设备数据库或策略包上运行脚本，则必须在被管理设备上执行安装。

　　如果直接在远程设备上运行脚本，则会发生自动更新，创建新的修订，并更新设备级数据库。

　　如果从FortiManager执行检索，或发生自动更新，则FortiManager将创建新的修订历史记录。如果更改与策略或对象相关，则必须运行Import Policy向导将策略和对象导入到ADOM数据库中。

 配置完脚本后，可以浏览包含要运行的脚本的ADOM脚本列表。

　　要现在运行脚本，选择脚本并单击run Scripts now。

　　你还可以安排脚本在特定的时间运行；例如，在工作时间之外。当你不想在工作时间干扰生产网络时，这很有用。要打开可以调度脚本运行的窗口，右键单击脚本并单击schedule Scripts。不能在带有目标策略包或ADOM数据库的脚本上使用调度。

　　右键菜单还提供了其他选项，如创建新脚本、编辑、克隆和删除现有脚本。你也可以通过单击export导出脚本。导出的脚本可以以txt格式保存在你的本地计算机上。脚本也可以通过单击以文本文件的形式从本地计算机导入。

 查看脚本历史记录。进入设备仪表板。在configuration and Installation Status小部件下，单击View History打开运行脚本历史表。该表提供了其他信息，如脚本的名称、执行时间和状态。单击Execution Log图标以查看特定脚本的执行日志，并确认脚本运行时没有任何问题。

　　脚本执行历史表还允许你重新运行脚本。单击表最右侧列中的Run Again图标重新运行脚本。

 你还可以使用脚本从FortiGate设备获取信息。这些类型的脚本通常是一行脚本，使用show命令，应该选择在Remote FortiGate上直接运行(通过CLI)，在设备或ADOM数据库上运行不会提供任何有用的信息。

　　FortiManager支持接口和对象的动态映射，以便它们可以与多个策略包一起使用。你可以从Policy & object窗格下的FortiManager GUl配置这些动态映射。

　　但是，如果需要为一个地址对象或接口配置数百个FortiGate设备的动态映射，该怎么办呢?

　　你可以使用需要特殊CLI语法的脚本，这些语法适用于FortiManager内部，并用于创建动态映射。这是两部分脚本：

　　● 顶部是定义对象的常规FortiOS CLI语法

　　● 底部是特殊的FortiManager CLI语法，用于为顶部定义的对象或接口创建动态映射

 在执行显示所执行的请求和请求结果的脚本时，还可以在FortiManager上运行实时调试。

 这些是脚本失败的常见错误和常见原因。你可以使用它们来诊断和排除脚本故障问题，也可以使用通用解决方案来修复问题。

　　脚本失败的常见错误和常见原因如下：

　　● 命令解析错误：无法将脚本的这一行解析为有效的FortiGate CLI命令。这通常是由于拼写错误的关键字或不正确的命令格式造成的。

　　● 不知道的动作：通常这条消息表示脚本的前一行没有执行。导致以下CLI命令无法正常执行。

　　● 设备<名称>无效：这通常意味着脚本的结尾有问题。<name>是执行脚本的FortiGate的名称。如果脚本没有end语句或该行中有错误，你可能会看到此错误消息。如果没有通过部署当前配置同步FortiGate单元，你还可能看到此消息。

　　要解决脚本失败的问题，请使用脚本历史，显示哪些CLI命令执行和哪些命令执行失败。

 当对脚本进行故障排除时，你可以查看脚本历史，以查看脚本的详细信息。任务监视器还提供相同的信息以及执行的其他任务。你还可以将日志级别更改为调试事件日志，这将为所执行的操作创建日志。

 你可以在FortiManager上使用execute fmscript命令树来执行脚本。

　　FortiManager上的execute fmscript命令树为脚本提供了各种命令，如删除定时脚本、在ADOM之间复制脚本、导入脚本、列出ADOM中所有已配置的脚本、显示设备的脚本日志等。

 总的来说，这张幻灯片展示了对被管理FortiGate的设备级设置进行配置更改的方法。

 可以在ADOM中创建设备组。通过为脚本、固件升级和配置更改提供代表多个设备的目标，可以使用设备组简化管理操作。

　　单击 设备组>创建新组，选择需要添加到该组的设备。

　　说明删除设备分组时，必须先删除设备分组中的所有设备。同样，要删除一个ADOM，必须先删除该ADOM中的所有设备组。

 知识检查

 知识检查

 恭喜你！你已经完成了这一课。

　　现在，你将回顾你在本课中涉及到的目标。

 这张幻灯片显示了你在本课中涉及的目标。

　　通过掌握本课涉及的目标，你学习了如何配置设备级更改、理解FortiManager上被管理FortiGate的状态以及如何安装对被管理FortiGate的更改。你还了解了如何使用修订历史进行故障排除，以及脚本和设备组的功能。