見出し画像

Fortigateを最近色々いじり倒したので感想とか。(Ciscoとのコマンド対応表付き、とりあえずshowだけ)

Manabu Nakamura

こんばんは。まなぶです。
Fortigateをガチャガチャやり倒したので、これから使うかもっていうエンジニアさんの為に感想を伝えたいと思います。というか私が忘れそうなので備忘録として残しておきます。
ユーザーじゃなくて、あくまでネットワークエンジニアとしての感想です。


Fortigate
showコマンド系大杉問題

まず最近のWAN界隈ではほぼ100%こいつが取り上げられるな、という感じのFortigate君。
「showコマンド系」と書いてますが、この子、showコマンドがshowコマンドじゃありません(困惑)

CLIで触るとわかるんですが、showコマンドは「show run」に該当します。
Ciscoの民だと「show system interface」って見るとshow interfacesみたいなやつかな?と思いますよね。
これがshow runのインタフェース部分が出るみたいな感じになります。
いやマジで何。

ちなみにコンフィグは階層型なので、Paloaltoよりは人間が理解しやすいです。タブ補完と?も使えます。

FG # show system interface
config system interface
    edit "port1"
        set vdom "root"
        set ip 192.168.1.1 255.255.255.0
        set allowaccess ping https ssh snmp http fgfm radius-acct
        set type physical
        set snmp-index 1
    next
    edit "port2"
        ...
    next
end

せっかくなのでCisco屋さん目線でshowコマンド系を少しだけまとめてみる(getコマンドとか)

Ciscoの民が知りたいことは「get」や「diagnose」とかいうコマンドで出てきます。getは表面的なことを知りたいとき、diagnoseはarpテーブルとかの、なんかASIC絡んでるんじゃないかな?という詳細なものを見たいときに使います(適当)

ここでだいたい使いたくなくなりますが、
せっかくなのでよく使いそうなコマンド一覧を「Ciscoだとたぶんこれだな」と対応付けておきたいと思います。(じゃないと私が忘れそう)

  • (Ciscoの場合) show run

  • (Fortigateの場合) show

  • (Ciscoの場合) show ip route

  • (Fortigateの場合) get router info routing-table all

  • (Ciscoの場合) show interfaces

  • (Fortigateの場合) get hardware nic

  • (Ciscoの場合) show interfaces status

  • (Fortigateの場合) get system interface physical

  • (Ciscoの場合) show version

  • (Fortigateの場合) get system status

  • (Ciscoの場合) show ip ospf neigbor

  • (Fortigateの場合) get router info ospf neighbor all

  • (Ciscoの場合) show ip bgp neigbor

  • (Fortigateの場合) get router info bgp neighbor

  • (Ciscoの場合) show ip arp

  • (Fortigateの場合) diagnose ip arp list

  • (Ciscoの場合) ping

  • (Fortigateの場合) execute ping

  • (Ciscoの場合) traceroute

  • (Fortigateの場合) execute traceroute

こんな感じです。
NG-FW界隈ではこれが当たり前なのか、、つらい。
あと、ちょっとバグだったり謎挙動多いのでそこは何とかしてほしい。。

とりあえずいろんな場所で見かけるので覚えておいて損はないと思います。

それで、Fortigateを使った感想
メリット:コスパ優秀
デメリット:commitなしで一発反映。shadowルール示してくれないからFWポリシー多いと死ぬ。あとサポート(笑)

やっぱり価格は競合製品と比べてリーズナブル(に見える)ですし、一通り機能は揃っているのでそのあたりは優秀かと思います。
Firepowerも安いけどNG-FW?って感じなのでここは企業努力を感じる。
あとそのおかげも相まって担いでるSIerも多いので「誰も導入してくれない!」っていう事にはあまり出くわさないかもしれません。あくまでユーザー目線としては。

んでデメリット。NG-FWって結構設定が重厚だと思うのですが、commit機能がありません。コマンド打ったりGUIでポチッた瞬間一発反映なので、間違うと即死します。
SRXとかPaloalto触ってた勢からすると衝撃を受けます。いや軽すぎる。

あと、PaloaltoとかだとFWポリシーに被っているところがあると「shadowルール機能」というのがあり、commit check時に「edit10番のこのFWポリシーはedit1番のこのFWポリシーと被ってるよー」って教えてくれる神機能があるのですが、commit機能自体そもそもないFortigate君はそんなこと教えません。いけず。そうやってゴミFWポリシーがガンガン生成されていきます。

あとこれは完全に個人的感想ですが、CiscoだとTACに聞くと結構親身に対応してくれるのですが、Fortigateの対応は「そういう動きだけど何が困るの?」っていう感じです。腹立ちます(笑)
最近のサポートってそういう感じ流行ってないから私はちゃんとした方がいいと思います。はい。

結論:俺はPaloaltoの方がいいと思うなぁ。。

エンジニア目線では、ちょっと高いけどかっちりまとまってるPaloaltoに興味持ってくれるとうれしいなぁ。。と思います。
高いけど、、でも高いなりにいい製品だと私は思います。
エンジニアしかわからないけどサポートめっちゃ手厚いです。
エンジニアしかわからんけど。ユーザーさんは多分知らんと思うけど。

はい。そういうことで。Fortigateアンチになりかかった最近の感想でした。


いいなと思ったら応援しよう!