【注意】FortiGate RAM 2GB以下の小型モデルで ver.7.4.4からProxy機能廃止、ver.7.6.0からSSL-VPN機能廃止 被害者が散見しています> Membership

FortiGate Ping を打ち続けたりソースアドレスを指定したりする方法

目次

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate にて Ping を実行する際の以下のようなオプションの設定方法について説明します。

  • Ping の実行回数の指定
  • 送信元アドレス (ソースアドレス) の指定

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

  • FortiGate-60F
    • バージョン 7.4.3

Ping の実行コマンド

FortiGate での Ping 実行コマンドは以下です。

Ping 実行コマンド
  • execute ping <宛先 IP アドレス>

例えばexecute ping 8.8.8.8を実行した場合以下のような結果になります。

FortiGate-60F # execute ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=110 time=27.5 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=110 time=35.4 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=110 time=33.9 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=110 time=27.5 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=110 time=86.0 ms

--- 8.8.8.8 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 27.5/42.0/86.0 ms
  • Ping の実行回数は 5 回
  • 発信インターフェース及び送信元アドレスはルーティングテーブルに基づき決定

Ping のオプション設定確認と設定変更方法

例えば Cisco 製のネットワーク機器では Ping 実行コマンドで実行回数や送信元アドレスなどをオプションとして指定することができますが、FortiGate では Ping 実行コマンドとは別のコマンドであらかじめオプションの設定をしてから Ping コマンドを実行するという流れになります。

Ping オプション設定値の確認

FortiGate の現在のオプション設定は以下コマンドで確認できます。

Ping オプション設定確認コマンド
  • execute ping-options view-settings

このコマンドを実行すると以下のように現在の設定値とデフォルトの設定値が表示されます。

FortiGate-60F # execute ping-options view-settings
Ping Options:
        Repeat Count: 5
        Data Size: 56
        Timeout: 2
        Interface: auto
        Interval: 1
        TTL: 64
        TOS: 0
        DF bit: unset
        Source Address: auto
        VRF: 0
        Pattern:
        Pattern Size in Bytes: 0
        Validate Reply: no
        Adaptive Ping: disable
        Use SD-WAN: no

Default Ping Options:
        Repeat Count: 5
        Data Size: 56
        Timeout: 2
        Interval: 1
        Interface: auto
        TTL: 64
        TOS: 0
        DF bit: unset
        Source Address: auto
        VRF: 0
        Pattern:
        Pattern Size in Bytes: 0
        Validate Reply: no
        Adaptive Ping: disable
        Use SD-WAN: disable

主なオプション項目は以下の通りです。

#項目意味デフォルト値
1Repeat Count実行回数5
2Data Sizeデータサイズ56
3Timeoutタイムアウト時間2
4Interval実行間隔1
5Interface発信インターフェースauto
6Source Address送信元アドレスauto

Ping オプションの設定変更方法

Ping オプションの設定コマンドは以下の通りです。

Ping オプション設定確認コマンド
  • execute ping-options <項目名> <値>

主なオプション項目名と値範囲は以下の通りです。

#項目名意味デフォルト値値範囲
1repeat-count実行回数51 – 2147483647
2data-sizeデータサイズ560 – 65507
3timeoutタイムアウト時間20 – 2147483647
4interval実行間隔11 – 2147483647
5interface発信インターフェースautoauto またはインターフェース名
6source送信元アドレスautoauto またはアドレス指定(※)

(※)FortiGateが持たないアドレスも指定できますが、FortiGateはARP応答しないためPing結果は応答なしになります

Ping オプションの設定は現在のセッションでのみ有効です。CLI にログインし直すと設定値はデフォルトに戻っています。

Ping オプション設定値のリセット

Ping オプション設定値をデフォルトに戻すためには以下のコマンドを実行します。

Ping オプション設定値リセットコマンド
  • execute ping-options reset

(例1) Ping を打ち続けたい場合のオプション設定

障害試験などの際に Ping 断時間や Ping の復旧タイミングなどを確認する目的で、Ping を打ち続けたい場合があるかもしれません。

この場合は、Ping オプションのrepeat-countで実行回数を設定します。実行回数を無限にすることはできませんが、最大値の 2147483647 と設定すれば実質無限に実行できます。設定コマンドは以下の通りです。

execute ping-options repeat-count 2147483647

設定後オプションの設定値を確認します。

FortiGate-60F # execute ping-options view-settings
Ping Options:
        Repeat Count: 2147483647
        Data Size: 56
        Timeout: 2
        Interface: auto
        Interval: 1
        TTL: 64
        TOS: 0
        DF bit: unset
        Source Address: 10.1.1.22
        VRF: 0
        Pattern:
        Pattern Size in Bytes: 0
        Validate Reply: no
        Adaptive Ping: disable
        Use SD-WAN: no
#以下略

Repeat Count: 2147483647となっていることを確認できます。

この状態で Ping を実行すれば実質無限に Ping を打ち続けることができます。

FortiGate-60F # execute ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=110 time=18.3 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=110 time=26.3 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=110 time=25.6 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=110 time=26.7 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=110 time=21.5 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=110 time=20.4 ms
64 bytes from 8.8.8.8: icmp_seq=6 ttl=110 time=21.3 ms
64 bytes from 8.8.8.8: icmp_seq=7 ttl=110 time=26.4 ms
64 bytes from 8.8.8.8: icmp_seq=8 ttl=110 time=26.4 ms
64 bytes from 8.8.8.8: icmp_seq=9 ttl=110 time=26.8 ms
#以下略

Ping を止めたい場合は「Ctrl + C」を押下すれば止めることができます。

(例2) Ping の送信元アドレスを指定したい場合のオプション設定

以下のような構成で、FortiGate の internal1 インターフェースのアドレスを送信元として外部ネットワークのアドレスに Ping を実行することを考えます。

この場合は、Ping オプションのsourceで送信元アドレスを設定します。設定コマンドは以下の通りです。

execute ping-options source 10.1.1.1

設定後オプションの設定値を確認します。

FortiGate-60F # execute ping-options view-settings
Ping Options:
        Repeat Count: 5
        Data Size: 56
        Timeout: 2
        Interface: auto
        Interval: 1
        TTL: 64
        TOS: 0
        DF bit: unset
        Source Address: 10.1.1.1
        VRF: 0
        Pattern:
        Pattern Size in Bytes: 0
        Validate Reply: no
        Adaptive Ping: disable
        Use SD-WAN: no
#以下略

Source Address: 10.1.1.1となっていることを確認できます。この状態で Ping を実行すれば送信元アドレスを 10.1.1.1 として Ping を実行することができます。以下は実際に Ping を実行して wan1 インターフェースでパケットキャプチャした結果です。送信元IP が 10.1.1.1 になっていることが分かります。

なお、今回の例で送信元アドレスを internal1 のアドレスにするからといって発信インターフェースを internal1 に設定してしまうと、internal1 から Ping が発信され外部ネットワークに到達できなくなります。基本的に発信インターフェースは auto のままとしルーティングテーブルに従い決定させるようにしてください。

HA 構成時に管理インターフェースから Ping を実行する方法

Ping オプションでは発信インターフェースを指定することができますが、HA の管理インターフェースとして設定されているインターフェースを指定することはできません。

管理インターフェースは内部的に自動で作成されるvsys_hamgmtという VDOM に所属するため、管理インターフェースから Ping を実行するためにはまずvsys_hamgmt VDOM に移動する必要があります。そのためのコマンドは以下です。

execute enter vsys_hamgmt
FortiGate-60F-01 # execute enter vsys_hamgmt
current vdom=vsys_hamgmt:3

FortiGate-60F-01 #

vsys_hamgmt VDOM に移動した後 Ping を実行すると、送信元インターフェースを管理インターフェースとして Ping を実行できます。

FortiGate-60F-01 # execute ping 10.1.1.33
PING 10.1.1.33 (10.1.1.33): 56 data bytes
64 bytes from 10.1.1.33: icmp_seq=0 ttl=128 time=1.0 ms
64 bytes from 10.1.1.33: icmp_seq=1 ttl=128 time=0.9 ms
64 bytes from 10.1.1.33: icmp_seq=2 ttl=128 time=1.0 ms
64 bytes from 10.1.1.33: icmp_seq=3 ttl=128 time=1.2 ms
64 bytes from 10.1.1.33: icmp_seq=4 ttl=128 time=0.8 ms

--- 10.1.1.33 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.8/0.9/1.2 ms

FortiGate-60F-01 #

vsys_hamgmt VDOM からrootVDOM に戻るためには以下のコマンドを実行します。

execute enter root
FortiGate-60F-01 # execute enter root
current vdom=root:0

FortiGate-60F-01 #

【参考】Traceroute のオプション設定について

Traceroute についても Ping と同様にオプションを設定できます。

デフォルトのオプション設定は以下の通りです。

FortiGate-60F # execute traceroute-options view-settings
Traceroute Options:
        Number of probes per hop: 3
        Source Address: auto
        Device: auto
        Use SD-WAN: no

オプション設定コマンドは以下の通りです。

FortiGate-60F # execute traceroute-options
device           Auto | <ifname>.
queries          Integer value to specify number of queries per hop.
source           Auto | <source interface IP>.
use-sdwan        Use SD-WAN rules to get output interface <yes | no>.
view-settings    View the current options of traceroute.

【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

note メンバーシップへの参加もお待ちしています!

note(ノート)
陰の構築者たちのメンバーシップ|シェイド@陰の構築者 ネットワーク設計構築をする人に役立つメンバーシップです。 独自ブログ(https://shadowgarden.org/)にてネットワークエンジニア向け情報を発信しており、その活動を応援...

【アフィリエイト】おすすめ WordPress テーマ【SWELL

当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。

また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。

技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。

レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次