本記事について
本記事では、Fortinet 社のファイアウォール製品である FortiGate について、VLANスイッチを使用したタグ VLAN 通信をするための設定方法を説明します。
動作確認環境
本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。
- FortiGate-60F
- バージョン 7.4.3
VLANスイッチとは
FortiGate-60F では、デフォルトで internal という名前の VLANスイッチが存在し、 internal1-5 のインターフェースがその VLANスイッチに所属した状態になっています。前世代の機種であるFortiGate-60E ではハードウェアスイッチがデフォルトで存在していましたが、FortiGate-60F ではそれが VLANスイッチに置き換わった形になっています。
VLANスイッチは、仮想的なスイッチングハブのようなものです。この点はハードウェアスイッチと同じですが、VLANスイッチでは VLAN ID を設定することができ、さらに VLANスイッチに所属していない独立したインターフェースにてタグ VLAN 通信をさせて VLAN スイッチに所属するインターフェースとの間でタグ無し、タグ有りが混在したスイッチングを行うようにすることができます。
以下では VLANスイッチを使用したタグ VLAN 通信を実現するための設定方法を説明します。
VLANスイッチモード設定について
VLANスイッチを使用するためにはシステムグローバル設定の VLANスイッチモードが有効である必要があります。FortiGate-60F ではデフォルトで VLANスイッチモードが有効になっています。
CLI では以下コンフィグに該当します。
config system global
set virtual-switch-vlan enable
endなお、VLANスイッチモードが有効の場合、「ハードウェアスイッチ」を使用することができません。よって、VLANスイッチとハードウェアスイッチは排他的であるといえます。
想定シナリオ
以下の構成を考えます。
FortiGate のインターフェース構成と接続先情報は以下の通りです。
- internal1-2: VLANスイッチ VLAN10-Switch に所属し、その VLANスイッチの VLAN ID は 10
- 対向スイッチポートは VLAN10 のアンタグポート (access ポート)
- internal3-4: VLANスイッチ VLAN20-Switch に所属し、その VLANスイッチの VLAN ID は 20
- 対向スイッチポートは VLAN20 のアンタグポート (access ポート)
- internal5: VLANタグ10,20を通す
- 対向スイッチポートはタグポート (trunk ポート)
この構成で以下のような通信ができるよう FortiGate を設定します。
- VLAN 10、VLAN 20 それぞれで VLAN 内でのスイッチング(タグ有り、タグ無しポートの混在)
- VLAN 10、VLAN 20 の間での VLAN 間通信
VLANスイッチの設定
まず VLANスイッチを設定します。なお、ここではデフォルトで存在する VLANスイッチは削除済みの状態をスタート地点とします。
VLAN10-Switch の作成
VLAN 10 の通信を通す VLANスイッチを作成します。
GUI のインターフェース画面から「新規作成 > インターフェース」をクリックします。
新規インターフェース画面で各項目を設定します。まず基本設定は以下の通り設定します。
- 「名前」では任意の VLANスイッチ名を設定します
- 「タイプ」では「VLANスイッチ」を指定します
- 「VLAN ID」ではこの VLANスイッチで通信させる VLAN ID を設定します
- 「インターフェースメンバー」ではこの VLANスイッチに所属させる物理インターフェースを指定します
- 「ロール」はネットワーク構成に合わせて「LAN」「WAN」「DMZ」「未定義」から指定します
続いてアドレス欄を設定します。
- 「アドレッシングモード」では「マニュアル」を指定します
- 「IP/ネットマスク」では VLANスイッチに設定するアドレスとサブネットマスク(orプレフィックス長)を入力します。このアドレスは対象VLAN IDにおけるゲートウェイアドレスとなります
- 「アドレスオブジェクトに一致するサブネットの作成」はデフォルトで有効になっていますが無効化を推奨します
この他の以下項目は通常のインターフェース設定と同様に任意に設定します。
- 管理者アクセス
- DHCPサーバ
- ネットワーク
- SPAN(ポートミラーリング)
- 仮想スイッチ系のインターフェースタイプで設定できる項目です。基本的にデフォルトのOFFでOKです
- トラフィックシェイピング
- その他
以上設定ができたら画面一番下の「OK」をクリックし確定します。
結果、インターフェース画面に設定した VLANスイッチが表示されます。
VLAN20-Switch の作成
VLAN 20 の通信を通す VLANスイッチを作成します。作成方法は VLAN10-Switch と同様です。
以下は設定後のインターフェース画面です。
VLANスイッチ外のインターフェースでの trunk 有効化
どの VLANスイッチにも所属していないインターフェースにて trunk 設定を有効化します。これによって対象インターフェースを、設定されている VLANスイッチの VLAN ID のタグ付きフレームを通すタグポート (trunk ポート) とすることができます。
今回のシナリオでは internal5 インターフェースを trunk ポートとして設定し、VLAN ID 10,20 のタグ付きフレームを通すようにします。
対象インターフェースの設定画面にて「アドレッシングモード」として「イーサネットトランク専用」を指定します。
trunk 有効化の設定は以上です。
CLI で設定する場合はconfig system interface内の対象インターフェースのコンフィグにてset trunk enableと設定します。
config system interface
edit "internal5"
set trunk enable
next
endファイアウォールポリシーの設定
VLAN 間通信を許可するファイアウォールポリシーを設定します。
今回のシナリオでは VLAN10 と VLAN20 間で相互に任意の通信をできるようにファイアウォールポリシーを設定します。
まず VLAN10 から VLAN20 への通信を許可するファイアウォールポリシーは以下の通り設定します。
着信インターフェース、発信インターフェースではそれぞれの VLANスイッチを指定します。
次に VLAN20 から VLAN10 への通信を許可するファイアウォールポリシーは以下の通り設定します。
VLAN 内通信についてはファイアウォールポリシー無しで通信可能
同一 VLAN 内ではファイアウォールポリシー無しで通信が可能です。
例えば今回のシナリオでは VLAN10-Switch 先の端末と、interna5 先の VLAN10 内の端末との通信はファイアウォールポリシー無しで通信可能です。
VLANスイッチに関する補足事項
- VLANスイッチでは STP (スパニングツリープロトコル) を使用できます。デフォルトで存在する internal VLANスイッチでは STP は有効になっています。一方、新規に作成した VLANスイッチではデフォルトでは STP は無効になっています。STP 状態に注意してください
参考資料
【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです
- 基礎知識
- HA (冗長構成) 設定
- FortiGate HA モードの Active-Passive と Active-Active の違いを解説します
- FortiGate HA(冗長構成)の概要と設定ガイド【詳しく解説】※note記事
- FortiGate HA 構成時のコンフィグ同期の仕様について解説します
- FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースを解説 [ha-direct 設定]
- FortiGate HA 構成時の仮想 MAC アドレスについて解説します
- FortiGate HA ハートビート送信間隔と障害判定しきい値の設定ガイド
- FortiGate HA 構成時のバックアップ及びリストア実施ガイド
- FortiGate HA 構成でのモニタインターフェースダウン時の通信断時間について解説
- FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】
- VDOM (バーチャルドメイン) 設定
- トランスペアレントモード設定
- システム系設定
- 管理者アカウント設定
- 時刻・NTP 設定
- ロギング・Syslog 送信設定
- SNMP 設定
- DHCP サーバ機能設定
- Proxy サーバ機能設定
- アラートメール送信
- ネットワーク系設定
- インターフェース設定
- ルーティング設定
- DNS 設定
- NAT 及び NAPT 設定
- ファイアウォール系設定
- アドレス設定
- サービス設定
- ファイアウォールポリシー設定
- ゾーンを使用したポリシー設定
- VPN 系設定
- Tips
Amazon アフィリエイトリンク
以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。
note メンバーシップへの参加もお待ちしています!
【アフィリエイト】おすすめ WordPress テーマ【SWELL】
当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。
また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。
技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。
レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。
コメント