1) Vì sao nên nắm CLI FortiGate?
Trong vận hành thực tế, nhiều lỗi “nhìn GUI thấy đúng” nhưng hệ thống vẫn không chạy như kỳ vọng: policy không match, NAT giữ session cũ, routing đi sai đường, VPN lên mà không thông, DNS chập chờn... Lúc đó, CLI giúp bạn kiểm chứng theo kiểu có số liệu, có bảng trạng thái, có bằng chứng gói tin.
🎯
CLI giúp bạn trả lời nhanh
- ✅ Thiết bị đang “khỏe” hay đang quá tải (CPU/RAM/session)?
- ✅ Route thật sự đang đi đâu?
- ✅ Traffic match policy nào? NAT ra sao?
- ✅ VPN/HA đang ở trạng thái gì?
- ✅ Gói tin có vào/ra đúng interface không?
⚠️
Nguyên tắc khi chạy trên production
- ✅ Luôn lọc trước khi list (session/sniffer) để tránh log quá lớn
- ✅ Debug phải bật/tắt đúng cách (reset, duration, disable)
- ✅ Nếu cần “clear”, hãy clear đúng phạm vi để tránh ảnh hưởng rộng
2) Flow troubleshoot “chuẩn ops” (đi đúng thứ tự sẽ nhanh hơn)
🧩 System
→
🕒 Time/NTP
→
🔌 Interface/ARP
→
🧭 Routing
→
🧱 Policy
→
🧬 Session/NAT
→
🔐 VPN/HA
→
🧪 Sniffer/Debug
ℹ️
Vì sao flow này hiệu quả?
Nhiều “lỗi mạng” thực ra là lỗi tài nguyên, lệch thời gian, hoặc routing/policy/session. Đi theo flow giúp bạn khoanh vùng nhanh và tránh đoán mò.
3) Bảng đối chiếu nhanh lệnh Cisco ↔ FortiGate
Nếu bạn quen vận hành Cisco, bảng dưới giúp “dịch” nhanh các lệnh tương đương trên FortiGate.
| Cisco | FortiGate |
| show run | show full-configuration |
| write erase | execute factory-reset |
| show run interface brief | show system interface |
| show interface | diagnose hardware deviceinfo nic |
| show version | get system status |
| show arp | get system arp hoặc diagnose ip arp list |
| show ip route | get router info routing-table all |
| show ip nat translation | diagnose system session list |
| clear ip nat translation | diagnose system session clear |
| show ip ospf neighbor | get router info ospf neighbor |
| show ip bgp neighbor | get router info bgp neighbor |
| show ip bgp summary | get router info bgp summary |
4) Quy tắc thoát cấu hình: end và abort
Trong CLI FortiGate, thoát cấu hình đúng cách là cực kỳ quan trọng:
✅ end
Lưu cấu hình và thoát khỏi mode cấu hình.
⛔ abort
Không lưu và thoát khỏi mode cấu hình.
5) Bật/tắt debug đúng cách (tránh “treo debug”)
Nhiều thao tác chẩn đoán cần debug (đặc biệt debug flow / debug application). Hãy luôn reset trước và tắt sau khi xong để tránh nhiễu và tăng tải.
diagnose debug reset
diagnose debug enable
diagnose debug disable
diagnose debug duration N
⚠️
Khuyến nghị
Luôn đặt duration (ví dụ 30–60s) và chỉ debug đúng đối tượng cần soi.
6) Kiểm tra trạng thái hệ thống
Trước khi nghi ngờ routing/policy/VPN, hãy xác định thiết bị có đang “khỏe” không: firmware, phần cứng, CPU/RAM, số session, tiến trình ngốn tài nguyên, lỗi apply cấu hình...
get hardware status
get system status
get system performance status
diagnose debug config-error-log read
diagnose hardware sysinfo memory
diagnose sys top-mem
diagnose sys session stat
📝
Nếu CPU/RAM/session đang cao bất thường, nhiều “lỗi mạng” chỉ là hệ quả. Hãy chốt tình trạng hệ thống trước để tránh chasing.
7) Kiểm tra thời gian & NTP
Thời gian lệch gây lệch log, ảnh hưởng xác thực và khiến VPN/IKE khó đối soát. Nhóm lệnh dưới giúp bạn kiểm tra cấu hình NTP và trạng thái đồng bộ thực tế.
get system ntp
execute time
diagnose sys ntp status
8) Interface & ARP
Khi nghi ngờ lỗi L2/L3 (mất link, speed/duplex, mapping ARP sai), hãy kiểm tra trạng thái vật lý interface, cấu hình interface, và bảng ARP.
get system interface physical
config system interface
show
end
get system arp
execute clear system arp table
ℹ️
Khi nào nên clear ARP?
Khi nghi ARP “kẹt” hoặc mapping sai kéo dài. Clear ARP giúp làm sạch trạng thái trước khi kiểm tra lại.
9) Routing (Static/OSPF/BGP) – gốc rễ của nhiều sự cố
Các tình huống “đi được mạng này nhưng không đi mạng kia”, “VPN lên nhưng không thông”, hoặc “đổi line Internet không failover như kỳ vọng” thường quay về routing. Đừng đoán, hãy để bảng định tuyến trả lời.
9.1 Routing table & static route
get router info routing-table all
get router info routing-table detail
show router static
config router static
show
end
9.2 OSPF
show router ospf
get router info ospf status
get router info ospf neighbor
get router info ospf routing-table
9.3 BGP
show router bgp
get router info bgp neighbor
get router info bgp summary
get router info bgp route
get router info bgp advertised-routes
10) Firewall Policy – xem rule & rule hit
Khi cần rà soát rule, hãy bắt đầu bằng việc xem policy hiện tại, rồi xác định policy nào đang được hit thực tế. Với hệ thống nhiều rule giống nhau, policy lookup giúp chốt luồng traffic sẽ match policy nào.
show firewall policy
config firewall policy
show
end
diagnose firewall policy list
diagnose firewall iprope lookup
🧠
Nếu policy “nhìn đúng” nhưng traffic vẫn không chạy, hãy chuyển sang phần Session/NAT để xem FortiGate đang xử lý thực tế.
11) Session & NAT – chìa khóa để hiểu traffic thực tế
Session cho bạn biết policy match, NAT, route, UTM... của từng luồng traffic. Với hệ thống nhiều session, hãy lọc trước khi list để tránh dữ liệu khổng lồ.
diagnose system session list
diagnose sys session filter
diagnose sys session stat
⚠️
Khi nào cần clear session?
Khi bạn đã sửa policy/NAT nhưng client vẫn “dính trạng thái cũ”. Clear session đúng phạm vi giúp ép tạo session mới.
12) VPN IPsec – kiểm tra tunnel & IKE gateway
Với IPsec, bắt đầu từ summary để xem tunnel up/down, sau đó kiểm tra IKE gateway theo tên tunnel để soi trạng thái đàm phán.
get vpn ipsec tunnel summary
diagnose vpn ike gateway list name
13) HA (High Availability) – role, cluster, đồng bộ
Khi nghi failover, split brain hoặc lệch đồng bộ, nhóm lệnh dưới là tối thiểu để xác định trạng thái HA hiện tại.
get system ha status
get system ha
show system ha
14) Execute – test kết nối & thao tác nhanh
Nhóm execute giúp bạn test trực tiếp từ FortiGate ra ngoài, tách bạch lỗi nằm ở client hay nằm trên firewall/uplink.
execute ping 192.168.0.1
execute traceroute 192.168.1.1
execute telnet 192.168.0.10
execute telnet 192.168.0.1 22
execute ssh user@192.168.0.10
execute ssh user@192.168.0.10 23
🧩
Ping/Traceroute từ FortiGate rất hữu ích khi bạn cần chứng minh “firewall đi được” trong khi user vẫn lỗi.
15) Packet Sniffer – chốt bằng chứng gói tin
Khi cần câu trả lời dứt khoát: “gói có vào không”, “reply có quay về không”, “DNS có ra ngoài không”, packet sniffer là bước chốt để khoanh vùng.
diagnose sniffer packet port15
diagnose sniffer packet any 'host xx.xx.xx.xx'
diagnose sniffer packet port15 'host xx.xx.xx.xx'
diagnose sniffer packet any 'host xx.xx.xx.xx or host yy.yy.yy.yy'
diagnose sniffer packet any 'udp port 53 or tcp port 53'
⚠️
Khuyến nghị vận hành
Luôn lọc càng cụ thể càng tốt (host/port/interface) để tránh tải cao và dữ liệu quá lớn.
16) Backup cấu hình (backup config)
Backup cấu hình là thói quen bắt buộc trước khi thay đổi trên production. Dưới đây là ví dụ backup qua TFTP và lệnh backup tổng quát. Nếu yêu cầu bảo mật cao hơn, có thể bật SCP để backup/restore.
exec backup config tftp conf/test-fw-01_20180913.conf 192.168.0.10
execute backup config
config system global
set admin-scp enable
end
17) Mẫu cấu hình nhanh cho 1 port (đặt IP tĩnh + allowaccess)
Khi mới nhận thiết bị hoặc cần dựng nhanh cổng quản trị, block cấu hình dưới giúp đặt IP tĩnh cho port và bật quyền truy cập quản trị cần thiết.
config system interface
edit port1
set mode static
set ip 192.168.1.99 255.255.255.0
set allowaccess ping http https telnet ssh
end
18) Lỗi thường gặp khi chạy lệnh (đọc để tránh mất thời gian)
⚠️ Session list quá nhiều, máy treo/lag khi xem
Nguyên nhân: list session không lọc trong hệ thống có nhiều session.
Cách làm đúng: đặt filter trước rồi mới list.
diagnose sys session filter
diagnose system session list
⚠️ Sniffer bắt “any” không filter, dữ liệu quá lớn
Nguyên nhân: bắt gói quá rộng trên production.
Cách làm đúng: lọc theo host/port/interface ngay từ đầu.
diagnose sniffer packet any 'host xx.xx.xx.xx'
diagnose sniffer packet any 'udp port 53 or tcp port 53'
⚠️ Debug chạy xong quên tắt
Rủi ro: nhiễu log và tăng tải không cần thiết.
Thói quen tốt: reset → enable → duration → disable.
diagnose debug reset
diagnose debug duration N
diagnose debug enable
diagnose debug disable
⚠️ Policy nhìn đúng nhưng traffic vẫn không match
Gợi ý: dùng policy hit list và policy lookup để chốt luồng traffic match policy nào.
diagnose firewall policy list
diagnose firewall iprope lookup
19) Kết luận
Với FortiGate, troubleshoot hiệu quả không nằm ở việc nhớ thật nhiều lệnh, mà ở việc đặt đúng câu hỏi và kiểm tra đúng thứ tự. Khi GUI không còn cho bạn câu trả lời rõ ràng, CLI là nơi FortiGate thể hiện chính xác nó đang xử lý traffic như thế nào.
Gợi ý vận hành: nếu cần làm SOP nội bộ, hãy gắn flow troubleshoot ở đầu bài và yêu cầu kỹ thuật đi theo flow để giảm sai sót.
NAMHI hỗ trợ tối ưu vận hành FortiGate
Nếu Quý Khách hàng cần chuẩn hóa checklist, dựng SOP, hoặc hỗ trợ debug các case khó (SD-WAN, VPN, routing, policy), NAMHI có thể hỗ trợ theo hướng có bằng chứng – có log – có phương án xử lý rõ ràng.
📞 Liên hệ NAMHI ngay!
Việt Nam 
English 
/file/media/uploads/article/ftg.jpg)
/file/media/uploads/article/cover.png)
/file/media/uploads/wan-fortigate.png)
/file/media/uploads/network-interface.jpg)
/file/media/uploads/firewall-policy.jpg)
/file/media/uploads/web-filter.jpg)
/file/media/uploads/app-control.png)
/file/media/uploads/antivirus.jpg)
/file/media/uploads/ssl-inspection.png)
/file/media/uploads/vpn-client-to-site.jpg)
/file/media/uploads/ipsec-vpn.jpg)
/file/media/uploads/ha.jpg)