本記事について
本記事では、Fortinet 社のファイアウォール製品である FortiGate において、複数のバージョンのコンフィグを保存することであるリビジョン管理を行う方法と、保存されている過去バージョンのコンフィグから設定をリストアする方法について説明します。
動作確認環境
本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。
- FortiGate-60F
- バージョン 7.4.3
コンフィグのリビジョン管理
FortiGate では 512 MB 以上のフラッシュメモリを搭載したモデルであればフラッシュメモリ上に複数のバージョンのコンフィグファイルを保存することができます。またローカルハードドライブを持つモデルではローカルハードドライブ上にコンフィグを保存することができます。
ここでは中央管理サーバを使用せずに FortiGate のフラッシュメモリ上でリビジョン管理を実施する場合を対象とします。
以下では、リビジョン管理用に保存されたコンフィグのことを「リビジョンコンフィグ」と表記することにします。
フラッシュメモリサイズの確認方法
フラッシュメモリのサイズはdiagnose hardware deviceinfo diskコマンドにて確認できます。
以下は FortiGate 60F での実行結果です。
FortiGate-60F # diagnose hardware deviceinfo disk
Disk SYSTEM(boot) 3.6GiB type: EMMC [EMMC] dev: /dev/mmcblk0
partition 247.0MiB, 74.0MiB free mounted: N label: dev: /dev/mmcblk0p1(boot) start: 0
partition 247.0MiB, 58.0MiB free mounted: Y label: dev: /dev/mmcblk0p2(boot) start: 0
partition ref: 3 2.9GiB, 2.6GiB free mounted: Y label: dev: /dev/mmcblk0p3 start: 0
Total available disks: 1
Max SSD disks: 0 Available storage disks: 03行目からフラッシュメモリのサイズが 3.6 GB であること、6行目から 2.6 GB の空きがあることが分かります。
OS バージョンアップとリビジョンコンフィグの保存
OS バージョンアップを実行すると自動でリビジョンコンフィグが保存されます。
よってバージョンアップ(ダウン)を繰り返している FortiGate では知らないうちにリビジョンコンフィグが溜まっているということもあります。
execute revision list config
FortiGate-60F # execute revision list config
Last Firmware Version: V0.0.0-build000-REL0
ID TIME ADMIN FIRMWARE VERSION COMMENT
1 2024-03-20 10:35:55 daemon_admin V7.0.14-build601-REL0 Automatic backup (upgrade)
2 2024-03-20 11:54:05 daemon_admin V7.4.3-build2573-REL0 Automatic backup (upgrade)
3 2024-03-20 12:08:23 daemon_admin V7.0.14-build601-REL0 Automatic backup (upgrade)
4 2024-03-20 12:19:52 daemon_admin V7.4.3-build2573-REL0 Automatic backup (upgrade)
5 2024-03-20 12:24:10 daemon_admin V7.2.7-build1577-REL0 Automatic backup (upgrade)
6 2024-03-20 12:43:18 daemon_admin V7.2.2-build1255-REL0 Automatic backup (upgrade)
7 2024-03-20 12:54:48 daemon_admin V7.4.3-build2573-REL0 Automatic backup (upgrade)
8 2024-03-20 13:00:08 daemon_admin V7.2.2-build1255-REL0 Automatic backup (upgrade)
9 2024-03-20 13:07:44 daemon_admin V7.4.3-build2573-REL0 Automatic backup (upgrade)
10 2024-03-20 13:11:53 daemon_admin V7.4.1-build2463-REL0 Automatic backup (upgrade)
11 2024-03-20 13:24:31 daemon_admin V7.4.3-build2573-REL0 Automatic backup (upgrade)
12 2024-03-20 13:31:06 daemon_admin V7.4.1-build2463-REL0 Automatic backup (upgrade)
13 2024-03-20 13:39:32 daemon_admin V7.4.3-build2573-REL0 Automatic backup (upgrade)リビジョンコンフィグ手動保存方法
リビジョンコンフィグを手動で保存する方法を説明します。
GUI で保存する方法
GUI にログインし画面右上のユーザ名部分をクリックしてメニューを表示し「設定 > リビジョン」をクリックします。
表示されたリビジョン画面にて「保存」をクリックします。
以下のようにコメント入力画面が表示されるため任意のコメントを入力し、「OK」をクリックしてコンフィグを保存します。
コンフィグの保存が完了すると以下のようにリビジョン画面にコンフィグ情報が表示されます。
以上でリビジョンコンフィグの保存は完了です。
CLI で保存する方法
CLI でリビジョンコンフィグを保存するためには以下のコマンドを実行します。
execute backup config flash <コメント>
FortiGate-60F # execute backup config flash revisiontest
Please wait...
Config backed up to flash disk done.コマンド実行後execute revision list configでコンフィグが保存されていることを確認します。
FortiGate-60F # execute revision list config
Last Firmware Version: V0.0.0-build000-REL0
ID TIME ADMIN FIRMWARE VERSION COMMENT
2 2024-03-28 21:47:50 admin V7.4.3-build2573-REL0 version20240328
3 2024-03-28 21:54:13 admin V7.4.3-build2573-REL0 revisiontestID 3 としてコンフィグが保存されていることを確認できます。
リビジョンコンフィグの自動保存設定
設定変更を行った後に FortiGate からログアウトするタイミングで自動でリビジョンコンフィグを保存するように設定することが可能です。(デフォルトでは自動保存は無効)
設定は CLI のconfig system global内にあるset revision-backup-on-logoutにて行います。
config system global
set revision-backup-on-logout enable
end例えば以下のように設定変更した後にログアウトするとAuto backup config …と表示され、コンフィグ保存されていることが分かります。
FortiGate-60F # config system global
FortiGate-60F (global) # set admintimeout 410
FortiGate-60F (global) # end
FortiGate-60F # exit
Auto backup config ...設定変更をしていない場合はログアウト時の自動コンフィグ保存は実施されません。
ログアウト時に自動保存されるリビジョンコンフィグのコメントは以下のように「Automatic backup (logout)」になります。
FortiGate-60F # execute revision list config
Last Firmware Version: V0.0.0-build000-REL0
ID TIME ADMIN FIRMWARE VERSION COMMENT
2 2024-03-28 21:47:50 admin V7.4.3-build2573-REL0 version20240328
5 2024-03-28 22:51:11 admin V7.4.3-build2573-REL0 Automatic backup (logout)
6 2024-03-28 22:55:27 admin V7.4.3-build2573-REL0 Automatic backup (logout)リビジョンコンフィグ間の差分の確認
リビジョンコンフィグ間でコンフィグの差分を確認することができます。
差分の確認は GUI で以下の手順で行います。
GUI にログインし画面右上のユーザ名部分をクリックしてメニューを表示し「設定 > リビジョン」をクリックします。
リビジョン画面にて複数のリビジョンコンフィグをクリックして選択状態にし(「Ctrl」を押下しながらクリックで複数選択可能)、「Diff」をクリックします。
以下のように差分コンフィグが表示されます。
画面下側の「戻る」をクリックするとリビジョン画面に戻ります。
以上です。
リビジョンコンフィグを使用した設定リストア方法
リビジョンコンフィグを使用して設定をリストアする方法を説明します。
GUI で設定リストアを行う方法
GUI にログインし画面右上のユーザ名部分をクリックしてメニューを表示し「設定 > リビジョン」をクリックします。
リビジョン画面にて、リストア実行対象のリビジョンコンフィグをクリックして選択状態にし、「前に戻す」をクリックします。
以下の確認画面が表示されるため「OK」をクリックしてリストアを実行します。
以下の画面となりシステムが再起動します。
システム再起動が完了したら GUI にログインします。
ログイン後、設定がリストアされていることを確認します。
以上でリビジョンコンフィグからのリストアは完了です。
CLI で設定リストアを行う方法
CLI にてリビジョンコンフィグからリストアを行う場合は以下のコマンドを実行します。
execute restore config flash <ID><ID>:リストア対象のリビジョンコンフィグの ID を指定
※ID はexecute revision list configで確認
リビジョンコンフィグ ID はexecute revision list configで確認します。
FortiGate-60F # execute revision list config
Last Firmware Version: V0.0.0-build000-REL0
ID TIME ADMIN FIRMWARE VERSION COMMENT
2 2024-03-28 21:47:50 admin V7.4.3-build2573-REL0 version20240328
3 2024-03-28 21:54:13 admin V7.4.3-build2573-REL0 revisiontest
4 2024-03-28 21:59:55 admin V7.4.3-build2573-REL0 add_addressここでは例として ID 3 のリビジョンコンフィグからリストアしてみます。
FortiGate-60F # execute restore config flash
<revision> Revision ID on the flash.
FortiGate-60F # execute restore config flash 3
This operation will overwrite the current setting and could possibly reboot the system!
Do you want to continue? (y/n)y
Please wait...
Get config from local disk OK.
File check OK.
FortiGate-60F #
System is rebooting...リストアコマンド実行後は確認があるため「y」を入力してリストアを実行します。
再起動完了後はログインしてコンフィグを確認します。
System is starting...
FortiGate-60F login: admin
Password:
Welcome!
FortiGate-60F #以上でリビジョンコンフィグからのリストアは完了です。
リビジョンコンフィグの削除方法
GUI で削除する方法
GUI にログインし画面右上のユーザ名部分をクリックしてメニューを表示し「設定 > リビジョン」をクリックします。
リビジョン画面にて、削除対象のリビジョンコンフィグをクリックして選択状態にし、「削除」をクリックします。
以下の確認画面が表示されるため「OK」をクリックしてコンフィグ削除を実行します。
リビジョン画面にて対象コンフィグが削除されたことを確認します。
以上でリビジョンコンフィグの削除は完了です。
CLI で削除する方法
CLI でリビジョンコンフィグを削除したい場合は次のコマンドを実行します。
execute revision delete config <ID><ID>:削除対象のリビジョンコンフィグの ID を指定
※ID はexecute revision list configで確認
リビジョンコンフィグ ID はexecute revision list configで確認します。
FortiGate-60F # execute revision list config
Last Firmware Version: V0.0.0-build000-REL0
ID TIME ADMIN FIRMWARE VERSION COMMENT
2 2024-03-28 21:47:50 admin V7.4.3-build2573-REL0 version20240328
3 2024-03-28 21:54:13 admin V7.4.3-build2573-REL0 revisiontest例として ID 3 のリビジョンコンフィグを削除します。
FortiGate-60F # execute revision delete config 3
Are you sure you want to delete this entry: 3 ?
Do you want to continue? (y/n)y
Entry 3 deletedコマンド実行後は確認があるため「y」を入力して削除を実行します。
削除実行後はexecute revision list configで対象のコンフィグが削除されたことを確認します。
FortiGate-60F # execute revision list config
Last Firmware Version: V0.0.0-build000-REL0
ID TIME ADMIN FIRMWARE VERSION COMMENT
2 2024-03-28 21:47:50 admin V7.4.3-build2573-REL0 version20240328以上でリビジョンコンフィグの削除は完了です。
参考資料
【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです
- 基礎知識
- HA (冗長構成) 設定
- FortiGate HA モードの Active-Passive と Active-Active の違いを解説します
- FortiGate HA(冗長構成)の概要と設定ガイド【詳しく解説】※note記事
- FortiGate HA 構成時のコンフィグ同期の仕様について解説します
- FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースを解説 [ha-direct 設定]
- FortiGate HA 構成時の仮想 MAC アドレスについて解説します
- FortiGate HA ハートビート送信間隔と障害判定しきい値の設定ガイド
- FortiGate HA 構成時のバックアップ及びリストア実施ガイド
- FortiGate HA 構成でのモニタインターフェースダウン時の通信断時間について解説
- FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】
- VDOM (バーチャルドメイン) 設定
- トランスペアレントモード設定
- システム系設定
- 管理者アカウント設定
- 時刻・NTP 設定
- ロギング・Syslog 送信設定
- SNMP 設定
- DHCP サーバ機能設定
- Proxy サーバ機能設定
- アラートメール送信
- ネットワーク系設定
- インターフェース設定
- ルーティング設定
- DNS 設定
- NAT 及び NAPT 設定
- ファイアウォール系設定
- アドレス設定
- サービス設定
- ファイアウォールポリシー設定
- ゾーンを使用したポリシー設定
- VPN 系設定
- Tips
Amazon アフィリエイトリンク
以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。
note メンバーシップへの参加もお待ちしています!
【アフィリエイト】おすすめ WordPress テーマ【SWELL】
当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。
また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。
技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。
レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。
コメント