FortiGate タグVLAN (VLANインターフェース) 設定ガイド

2024-03-272024-07-19

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate において、VLAN インターフェースを使用したタグ VLAN 通信を行うための設定方法について説明します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

FortiGate-60F
- バージョン 7.4.3

想定するシナリオとタグ VLAN の仕組み

FortiGate の internal1 インターフェースの対向には Cisco スイッチが物理接続しています。FortiGate と Cisco スイッチ間のリンクではタグ VLAN を使用して VLAN 10、VLAN 20、VLAN 30 の通信を通します。FortiGate は VLAN 10、VLAN 20、VLAN 30 のセグメントにおけるゲートウェイとして機能しルーティングを行います。

このように FortiGate でタグ VLAN を使用した通信を実現したい場合は「VLAN インターフェース」を使用することが一般的です。VLAN インターフェースは物理インターフェースにバインド(紐づけ)する形で設定されます。

VLAN インターフェースは一つの物理インターフェースに対して複数バインドできます。一つの VLAN インターフェースが一つの VLAN ID に対応するため、一つの物理インターフェースで複数 VLAN ID を通したい場合は通したい VLAN ID の数だけ VLAN インターフェースを作成しバインドすることになります。

なお、このとき物理インターフェースはネイティブ VLAN に対応します。物理インターフェースに IP アドレスを設定する場合は、ネイティブ VLAN のセグメント内からアドレスを設定することになります。ネイティブ VLAN での通信が必要ない場合は物理インターフェースに IP アドレスを設定する必要はありません。

タグ VLAN 通信を行う方法として VLAN インターフェースを使う方法の他に「VLAN スイッチ」を使用する方法があります。VLAN スイッチを使用する方法についてはこちら記事で説明しています。

GUI でのタグVLAN (VLANインターフェース) の設定方法

STEP

インターフェース画面の表示

GUI にログインし左側のメニューから「ネットワーク > インターフェース」をクリックします。

STEP

インターフェース新規作成画面の表示

インターフェース画面にて左上の「新規作成 > インターフェース」をクリックします。

STEP

VLAN インターフェースの設定

インターフェース設定画面で各項目を設定します。

「名前」にはわかりやすいインターフェース名を入力します
「エイリアス」を設定したい場合のみ入力します
「タイプ」では「VLAN」を選択します
「VLANプロトコル」では通常は「802.1Q」を選択します
「インターフェース」ではこの VLAN インターフェースのバインド先インターフェースを指定します
「VLAN ID」ではこの VLAN インターフェースが通す VLAN タグ ID を入力します
「ロール」では「LAN」「DMZ」「WAN」「未定義」から任意に選択します

続きの項目も設定していきます。

「アドレッシングモード」では「マニュアル」を選択し、「IP/ネットマスク」欄に VLAN インターフェースのアドレスを入力します
「アドレスオブジェクトに一致するサブネットの作成」を有効にすると自動でこの VLAN インターフェースのアドレスセグメントに対応するアドレスオブジェクトが作成されます。ただ管理が複雑になるため無効化を推奨します
「セカンダリIPアドレス」は必要な場合のみ有効化します
「管理者アクセス」ではこの VLAN インターフェースで許可したい管理通信にチェックを入れます
「DHCPサーバ」はこの VLAN インターフェースで DHCP サーバ機能を有効化したい場合のみ有効化します

残りの項目も確認します。

「コメント」の設定をしたい場合のみ入力します
ステータスは「有効化済み」を選択します

これ以外の項目は基本的にデフォルトで問題ありません。以上の設定ができたら③「OK」をクリックして設定を確定します。

STEP

設定の確認

インターフェース画面にて VLAN インターフェースをバインドした物理インターフェースの行を確認すると左側に[+]マークが付いていることを確認できます。この[+]マークをクリックします。

すると行が展開されて設定した VLAN インターフェースが表示されます。

STEP

その他の VLAN インターフェースを作成

必要な VLAN インターフェースの数だけ STEP1～STEP4 の手順を繰り返します。

今回の想定のシナリオでは VLAN 20、VLAN 30 も必要なため、VLAN 10 と同様に VLAN インターフェースを作成し internal1 にバインドします。結果的に以下のように internal1 に 3 つの VLAN インターフェースがバインドされます。

以上で VLAN インターフェースの設定は完了です。

CLI でのタグVLAN (VLANインターフェース) の設定方法

CLI で VLAN インターフェースの設定をする場合はconfig system interface内で行います。

VLAN インターフェースのコンフィグは以下のように一つのedit項目として表されます。

config system interface
    edit "VLAN10"
        set vdom "root"
        set ip 10.1.1.254 255.255.255.0
        set allowaccess ping https ssh http
        set device-identification enable
        set role lan
        set snmp-index 15
        set ip-managed-by-fortiipam disable
        set interface "internal1"
        set vlanid 10
    next
end

VLAN インターフェース名の設定と各種項目の設定

VLAN インターフェース名はeditのIDとして設定します。また CLI で設定する場合 VDOM の設定が必須のためset vdom rootを設定します。
※マルチ VDOM を使用している場合は必要に応じて VDOM 名を変えてください

config system interface
    edit "VLAN10"
        set vdom "root"
    next
end

その他、以下項目も設定します。

GUI での項目名	CLI set 設定項目	備考
エイリアス	alias
タイプ	type	vlan
VLANプロトコル	vlan-protocol	8021q/8021ad
インターフェース	interface	バインド先インターフェース
VLAN ID	vlanid
ロール	role
アドレッシングモード	mode	static/dhcp/pppoe
IP/ネットマスク	ip
管理アクセス	allowaccess
コメント	description
ステータス	status	up/down

config system interface
    edit "VLAN10"
        set alias "VLAN10"
        set type vlan
        set vlan-protocol 8021q
        set interface "internal1"
        set vlanid 10
        set role lan
        set mode static
        set ip 10.1.1.254 255.255.255.0
        set allowaccess ping https ssh http
        set description "test"
        set status up
    next
end

CLI での VLAN インターフェース設定については以上です。

VLAN インターフェース使用時のポリシー設定の注意点

VLAN インターフェースを通る通信に関するファイアウォールポリシーを設定する場合はインターフェースの指定に注意してください。

例えば VLAN インターフェースの VLAN10 から WAN への通信を許可するポリシーを設定する場合、以下のように着信インターフェースの設定は VLAN10 としてください。

VLAN インターフェースがバインドされている物理インターフェースを指定しても VLAN インターフェースを通る通信は許可されないため注意してください。

この点より、VLAN インターフェースごとに許可または拒否のポリシー設定が必要となります。

複数の VLAN インターフェースで同様のポリシー設定を行う必要がある場合は複数のインターフェースをグループ化できる「ゾーン」機能の使用も検討してください。

以上です。

【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

基礎知識
HA (冗長構成) 設定
VDOM (バーチャルドメイン) 設定
- FortiGate マルチ VDOM 基本設定ガイド [初心者向けに詳しく説明]
トランスペアレントモード設定
システム系設定
- 管理者アカウント設定
  - FortiGate 管理者アカウントの設定変更及び新規作成ガイド
- 時刻・NTP 設定
  - FortiGate タイムゾーン、NTP同期、NTPサーバ設定ガイド
- ロギング・Syslog 送信設定
  - FortiGate メモリロギングと Syslog サーバへのログ送信設定ガイド
  - FortiGate 暗黙の拒否ポリシーのログ及びセッション開始時のログの保存方法
- SNMP 設定
  - FortiGate SNMP 監視のための設定ガイド [v1,v2c,v3]
- DHCP サーバ機能設定
  - FortiGate DHCP サーバ機能設定ガイド
  - FortiGate での DHCP リレー設定ガイド
- Proxy サーバ機能設定
  - FortiGate を Proxy サーバとして使用するための設定ガイド
- アラートメール送信
  - FortiGate 設定変更発生時のアラートメール送信設定ガイド
ネットワーク系設定
ファイアウォール系設定
- アドレス設定
  - FortiGate アドレスオブジェクト設定ガイド
- サービス設定
  - FortiGate サービスオブジェクト設定ガイド
- ファイアウォールポリシー設定
- ゾーンを使用したポリシー設定
  - FortiGate ゾーンを使用したファイアウォールポリシー設定ガイド
VPN 系設定
- SSL-VPN 設定
- IPsec VPN 設定
  - FortiGate 拠点間 IPsec VPN 接続設定ガイド
Tips
- FortiGate CLI の状態確認コマンドと情報取得コマンド一覧
- FortiGate 設計構築時に役立つ Tips

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

note メンバーシップへの参加もお待ちしています！

【アフィリエイト】おすすめ WordPress テーマ【SWELL】

当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ？」という感覚になりました。

また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。

技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。