FortiGate の VLAN に Ping が通らない場合の確認ポイント

2024-04-28

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate に関して、FortiGate の VLAN インターフェース宛の Ping が通らない場合の確認ポイントについて説明します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

FortiGate-60F
- バージョン 7.4.3

VLAN インターフェースへの Ping を行う

ここでは物理インターフェースにバインドされているタイプが「VLAN」のインターフェースに対して FortiGate に接続する端末からの Ping が通らない場合の確認ポイントを説明します。

以下のように設定されている場合、vlan10、vlan20、valn30 が VLAN インターフェースです。

対象の VLAN インターフェースの設定確認

まず FortiGate 側の設定を確認します。対象 VLAN インターフェースについて以下の観点で確認を行います。

VLAN ID が正しいかを確認
IP アドレスが正しいかを確認
管理アクセス設定で Ping が許可されているかを確認

対象 VLAN インターフェースの編集画面を開き、上記①②③の設定値が想定通りであることを確認します。

設定内容に問題が無ければ次のネットワーク環境の確認に進みます。

VLAN インターフェースがバインドされている物理インターフェースの管理アクセス設定で Ping を許可するように設定しています。これで VLAN インターフェースでも Ping が許可されますか？: いいえ、物理インターフェースでの管理アクセス設定は VLAN インターフェースには影響しません。VLAN インターフェースで Ping を許可するためには、対象 VLAN インターフェースの設定にて Ping を許可するよう設定する必要があります。

ネットワーク環境の確認

Ping 送信元から FortiGate の VLAN インターフェースへ通信できるネットワーク環境となっていることを確認します。

VLAN インターフェースは VLAN タグ付きフレームを着信するインターフェースであるため、FortiGate に直接 PC を接続しても PC から VLAN インターフェースへ通信することはできません。以下図のように、FortiGate にはスイッチを接続し、スイッチポートではタグ VLAN 通信を通すように設定する必要があります。スイッチが Cisco 機器であれば trunk ポートの設定とする必要があります。

端末が接続するスイッチポートはアクセスポート (タグ無しポート) にする必要があります。

以下図のように端末を直接 FortiGate に接続しても端末から VLAN インターフェースには通信できないため注意してください。

PC のネットワークアダプタによっては VLAN ID を設定してタグ付き通信を行うことができる場合もありますが、通常は PC ではタグ付き通信はできないものと考えたほうが良いでしょう。

別のインターフェースで着信する場合はポリシー設定が必要

例えば、以下図の構成において VLAN20 に属する端末B から FortiGate の VLAN インターフェースの vlan10 宛に Ping を実行する場合、FortiGate は VLAN インターフェースの vlan20 で着信して vlan10 にルーティングすることになります。

このように着信するインターフェースと宛先の VLAN インターフェース (発信インターフェース) が別の場合は対象通信を許可するファイアウォールポリシーの設定が必要になります。

上図例の場合であれば以下のような vlan20 から vlan10 への PING サービスを許可するポリシーが必要です。

Ping 送信元端末のネットワーク設定の確認

Ping の送信元となっている端末の IP アドレスやデフォルトゲートウェイの設定が正しく設定されていることを確認してください。

前項の例では、端末B はデフォルトゲートウェイとして FortiGate の vlan20 インターフェースのアドレスを設定している必要があります。

以上です。

【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

基礎知識
HA (冗長構成) 設定
VDOM (バーチャルドメイン) 設定
- FortiGate マルチ VDOM 基本設定ガイド [初心者向けに詳しく説明]
トランスペアレントモード設定
システム系設定
- 管理者アカウント設定
  - FortiGate 管理者アカウントの設定変更及び新規作成ガイド
- 時刻・NTP 設定
  - FortiGate タイムゾーン、NTP同期、NTPサーバ設定ガイド
- ロギング・Syslog 送信設定
  - FortiGate メモリロギングと Syslog サーバへのログ送信設定ガイド
  - FortiGate 暗黙の拒否ポリシーのログ及びセッション開始時のログの保存方法
- SNMP 設定
  - FortiGate SNMP 監視のための設定ガイド [v1,v2c,v3]
- DHCP サーバ機能設定
  - FortiGate DHCP サーバ機能設定ガイド
  - FortiGate での DHCP リレー設定ガイド
- Proxy サーバ機能設定
  - FortiGate を Proxy サーバとして使用するための設定ガイド
- アラートメール送信
  - FortiGate 設定変更発生時のアラートメール送信設定ガイド
ネットワーク系設定
ファイアウォール系設定
- アドレス設定
  - FortiGate アドレスオブジェクト設定ガイド
- サービス設定
  - FortiGate サービスオブジェクト設定ガイド
- ファイアウォールポリシー設定
- ゾーンを使用したポリシー設定
  - FortiGate ゾーンを使用したファイアウォールポリシー設定ガイド
VPN 系設定
- SSL-VPN 設定
- IPsec VPN 設定
  - FortiGate 拠点間 IPsec VPN 接続設定ガイド
Tips
- FortiGate CLI の状態確認コマンドと情報取得コマンド一覧
- FortiGate 設計構築時に役立つ Tips

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

note メンバーシップへの参加もお待ちしています！

【アフィリエイト】おすすめ WordPress テーマ【SWELL】

当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ？」という感覚になりました。

また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。

技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。