本記事について
本記事では、Fortinet 社のファイアウォール製品である FortiGate について、VDOM(バーチャルドメイン)の基本設定を行う方法を説明します。
動作確認環境
本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。
- FortiGate-60F
- バージョン 7.4.3
VDOM (バーチャルドメイン) とは
VDOM(バーチャルドメイン)とは、1台の FortiGate を使用してあたかも複数台の FortiGate が存在しているかのように動作させることができる機能です。
管理者は FortiGate で VDOM を作成し、VDOM に対してインターフェースを割り当てます。VDOM は割り当てられたインターフェースを使用して独自にルーティング、ファイアウォールポリシーの適用などを行います。
VDOM とライセンス
VDOM は特別なライセンスが無くても一定数まで作成することができます。最大 VDOM 数はget system statusコマンドの出力で確認できます。
FortiGate-60F-01 (global) # get system status
Version: FortiGate-60F v7.4.3,build2573,240201 (GA.F)
(中略)
Max number of virtual domains: 10
(中略)
Last reboot reason: warm reboot上の例ではMax number of virtual domains: 10から、最大 10 の VDOM を作成できることが分かります。
VDOM のモードについて
過去のバージョン( 6.x 台)では VDOM のモードとして「分割タスクVDOMモード」と「マルチVDOMモード」の2つがあり選択可能でしたが、バージョン 7.4.x では「マルチVDOMモード」のみになっていました。
VDOM のタイプについて
VDOM には以下3つのタイプがあります。
- 管理 VDOM
- FortiGuard との通信やその他管理系通信を行う VDOM です
- マルチVDOMモードの場合にいずれか1つの VDOM を管理 VDOM にする必要があります
- デフォルトでは root VDOM が管理 VDOM になっています
- トラフィック VDOM
- サービス通信の処理を行う VDOM です
- LAN 拡張 VDOM
- 特定の要件がある場合に使用する VDOM です
VDOM 使用時の管理方法について
VDOM 使用時はグローバルの管理者ユーザ及び VDOM 毎の管理者ユーザを作成することができます。
基本的にはグローバルの管理者ユーザを使用して全 VDOM を管理しますが、VDOM 毎の管理ユーザを作成し、特定の VDOM のみ管理できるようにすることもできます。
VDOM 間の通信について
VDOM 間で通信を行うためには、基本的には FortiGate とは別のネットワーク機器を経由する必要があります。ただし、VDOMリンクという仮想インターフェースを作成することにより FortiGate 内部で VDOM 間通信を行うこともできます。
マルチ VDOM モードの有効化方法
FortiGate 90 シリーズ以下のモデルでは CLI でのみ VDOM モードの設定が可能です。
VDOM モードの設定はconfig system globalで行います。set vdom-modeが VDOM モードの設定です。この設定のデフォルト値はno-vdomです。これをマルチ VDOM モードに変更するためには以下のように設定します。
config system global
set vdom-mode multi-vdom
end設定後、以下のようにログアウトされるが続行するかと聞かれるため「y」を押下して続行します。
You will be logged out for the operation to take effect.
Do you want to continue? (y/n)y
exit
FortiGate-60F-01 login:これでマルチ VDOM モードへの変更は完了です。
マルチ VDOM モードでのコンフィグ構造と管理方法
マルチ VDOM モードでは、コンフィグはグローバルのコンフィグと各 VDOM のコンフィグに分かれます。
- グローバルコンフィグ
- 各 VDOM のコンフィグ
- root VDOM のコンフィグ
- その他 VDOM のコンフィグ
マルチ VDOM モードを有効化した直後は、VDOM として root VDOM のみが存在する状態になっています。
グローバルのコンフィグは FortiGate 全体に関わるコンフィグです。例えばインターフェース設定はグローバルコンフィグに含まれます。
各 VDOM のコンフィグは対象 VDOM のみに関わるコンフィグです。例えばルーティングやファイアウォールポリシーの設定は VDOM のコンフィグに含まれます。
管理者ユーザについて
FortiGate のデフォルトの管理者ユーザである admin はグローバルの管理者ユーザです。よってマルチ VDOM モードでも引き続き admin ユーザを使用して全 VDOM の管理を行うことができます。
GUI での設定管理方法
GUI に admin ユーザを使用してログインします。すると GUI 画面右上にグローバル VDOM であることを示す表示があることを確認できます。
この画面ではグローバルのコンフィグを管理することができます。
別の VDOM の設定を管理したい場合は現在の VDOM が表示されている箇所をクリックして表示されたリストにて管理したい VDOM 名をクリックします。
するとクリックした VDOM の画面に遷移します。この画面で対象 VDOM の設定を管理します。
CLI での設定管理方法
CLI の場合も GUI の場合と同様にまずは admin ユーザでログインします。
ログイン後はグローバルまたは設定したい VDOM のコンフィグ階層に移動する必要があります。
- グローバルコンフィグを管理したい場合
config globalを実行
- 何れかの VDOM のコンフィグを管理したい場合
config vdomを実行
FortiGate-60F-01 # config
global config global
vdom config vdomconfig globalを実行した場合はグローバルコンフィグ階層に移動するためこの階層で各設定を行います。設定を終えるときはendを実行することでログイン直後のモードに戻ります。
FortiGate-60F-01 # config global
FortiGate-60F-01 (global) #
FortiGate-60F-01 (global) # end
FortiGate-60F-01 #config vdomを実行した場合は VDOM コンフィグ階層に移動します。VDOM コンフィグ階層内には以下のように各 VDOM のコンフィグがedit項目として存在します。
config vdom
edit root
...
next
edit vdom01
...
next
...
endよって設定管理対象の VDOM のedit階層に移動して設定を管理します。
FortiGate-60F-01 (vdom) # edit root
current vf=root:0
FortiGate-60F-01 (root) #対象 VDOM の設定管理を終える場合は、nextを実行して VDOM コンフィグ階層に戻るか、またはendを実行してログイン直後のモードに戻ります。
FortiGate-60F-01 (root) # next
FortiGate-60F-01 (vdom) #FortiGate-60F-01 (vdom) # end
FortiGate-60F-01 #get や diagnose や execute コマンドも各コンフィグ階層にて実行する
マルチ VDOM を使用しないモードでは、get や diagnose や execute コマンドについてはログイン直後のモードで実行しますが、マルチ VDOM モードではグローバルコンフィグ階層や各 VDOM のコンフィグ階層に移動してからでないと実行できないため覚えておいてください。
VDOM の新規作成方法
デフォルトでは VDOM として root VDOM のみ存在します。新規 VDOM を作成する方法を説明します。
GUI で設定する場合
GUI のグローバル VDOM 画面にて左側のメニューから「システム > VDOM」をクリックします。
表示された VDOM 画面にて左上の「新規作成」をクリックします。
以下の設定画面が表示されるため各項目を設定します。
- バーチャルドメイン欄には任意の VDOM 名を入力します
- タイプは通常は「トラフィック」を選択します
- NGFWモードでは「プロファイルベース」を選択します
- セントラルNAT は OFF のままとします
- WiFIの国/地域はデフォルトの「アメリカ」のままとします
- コメントは必要な場合のみ入力します
以上の設定ができたら「OK」をクリックします。すると以下のような、VDOM にインターフェースを割り当てるよう促す画面が表示されますが、ここでは「Return to VDOM list page」をクリックして VDOM 画面に戻ります。
VDOM 画面にて設定した VDOM が表示されていることを確認します。
以上で VDOM の追加は完了です。
既存の VDOM を削除したい場合は VDOM 画面で対象 VDOM をクリックして選択状態にした上で画面上の「削除」をクリックすることで削除できます。
CLI で設定する場合
CLI で VDOM を追加する場合は、CLI にログイン後コンフィグ VDOM 階層に移動した上でedit <追加VDOM名>コマンドで追加できます。
FortiGate-60F-01 # config vdom
FortiGate-60F-01 (vdom) # edit VDOM01
current vf=VDOM01:3
FortiGate-60F-01 (VDOM01) # end
FortiGate-60F-01 #CLI の場合はこれだけで設定完了です。
なお既存の VDOM を削除したい場合は、コンフィグ VDOM 階層に移動した上でdelete <削除VDOM名>コマンドで削除できます。
FortiGate-60F-01 (vdom) # delete VDOM01
FortiGate-60F-01 (vdom) #VDOM へのインターフェースの割り当て方法
新規に VDOM を作成したら、その VDOM にインターフェースを割り当てる必要があります。
インターフェースを VDOM に割り当てる、または割当先 VDOM を変更するためには、そのインターフェースがどの設定でも使用されていない状態である必要があります。(例えばアドレスオブジェクトのインターフェースとして指定されている場合は割当先 VDOM の変更ができません。)
GUI で設定する場合
GUI のグローバル VDOM 画面にて左側のメニューから「ネットワーク > インターフェース」をクリックします。
インターフェース画面にて VDOM に割り当てたいインターフェースをクリックして選択状態にし「編集」をクリックします。または対象インターフェースをダブルクリックでも編集画面を表示できます。
インターフェース設定画面に「バーチャルドメイン」という項目があるため、そこで新しい割当先 VDOM を選択します。
インターフェース一覧画面で対象インターフェースのバーチャルドメインが設定した通りに変わっていることを確認します。
以上で VDOM へのインターフェースの割り当ては完了です。
CLI で設定する場合
CLI で設定する場合は、グローバルコンフィグのconfig system interfaceで設定します。
各インターフェースの設定にset vdom設定項目があるためここで割り当て先 VDOM を設定します。
config system interface
edit "a"
set vdom "root"
next
end以下はインターフェース a の VDOM を VDOM01 に変更するコマンド例です。
FortiGate-60F-01 # config global
FortiGate-60F-01 (global) # config system interface
FortiGate-60F-01 (interface) # edit a
FortiGate-60F-01 (a) # set vdom VDOM01
FortiGate-60F-01 (a) # end
FortiGate-60F-01 (global) # end
FortiGate-60F-01 #結果、以下のように VDOM が VDOM01 に変更されます。
config system interface
edit "a"
set vdom "VDOM01"
set type physical
set snmp-index 9
next
end以上で VDOM へのインターフェースの割り当ては完了です。
その他の設定
その他のルーティングやファイアウォールポリシーの設定については、対象の VDOM のコンフィグ階層で設定することをに注意すれば、通常の FortiGate を設定する場合と同様の方法で設定が可能です。
マルチ VDOM モードの無効化
マルチ VDOM モードを無効化するためには、まず root 以外の VDOM を削除する必要があります。VDOM を削除するためには、その VDOM にインターフェースが何も割り当てられていない状態である必要があるため、インターフェースをすべて取り除いてから削除してください。
VDOM の削除ができたらグローバルコンフィグ階層で VDOM モードを VDOM 無しに変更します。設定コマンドは以下の通りです。
config global
config system global
set vdom-mode no-vdom
end
end設定変更後はログアウトされるため、再度ログインして VDOM 無しのモードに戻っていることを確認します。
参考資料
【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです
- 基礎知識
- HA (冗長構成) 設定
- FortiGate HA モードの Active-Passive と Active-Active の違いを解説します
- FortiGate HA(冗長構成)の概要と設定ガイド【詳しく解説】※note記事
- FortiGate HA 構成時のコンフィグ同期の仕様について解説します
- FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースを解説 [ha-direct 設定]
- FortiGate HA 構成時の仮想 MAC アドレスについて解説します
- FortiGate HA ハートビート送信間隔と障害判定しきい値の設定ガイド
- FortiGate HA 構成時のバックアップ及びリストア実施ガイド
- FortiGate HA 構成でのモニタインターフェースダウン時の通信断時間について解説
- FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】
- VDOM (バーチャルドメイン) 設定
- トランスペアレントモード設定
- システム系設定
- 管理者アカウント設定
- 時刻・NTP 設定
- ロギング・Syslog 送信設定
- SNMP 設定
- DHCP サーバ機能設定
- Proxy サーバ機能設定
- アラートメール送信
- ネットワーク系設定
- インターフェース設定
- ルーティング設定
- DNS 設定
- NAT 及び NAPT 設定
- ファイアウォール系設定
- アドレス設定
- サービス設定
- ファイアウォールポリシー設定
- ゾーンを使用したポリシー設定
- VPN 系設定
- Tips
Amazon アフィリエイトリンク
以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。
note メンバーシップへの参加もお待ちしています!
【アフィリエイト】おすすめ WordPress テーマ【SWELL】
当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。
また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。
技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。
レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。
コメント