本記事について
本記事では、Fortinet 社のファイアウォール製品である FortiGate について、VLANスイッチを使用したタグ VLAN 通信をするための設定方法を説明します。
動作確認環境
本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。
- FortiGate-60F
- バージョン 7.4.3
VLANスイッチとは
FortiGate-60F では、デフォルトで internal という名前の VLANスイッチが存在し、 internal1-5 のインターフェースがその VLANスイッチに所属した状態になっています。前世代の機種であるFortiGate-60E ではハードウェアスイッチがデフォルトで存在していましたが、FortiGate-60F ではそれが VLANスイッチに置き換わった形になっています。
VLANスイッチは、仮想的なスイッチングハブのようなものです。この点はハードウェアスイッチと同じですが、VLANスイッチでは VLAN ID を設定することができ、さらに VLANスイッチに所属していない独立したインターフェースにてタグ VLAN 通信をさせて VLAN スイッチに所属するインターフェースとの間でタグ無し、タグ有りが混在したスイッチングを行うようにすることができます。
以下では VLANスイッチを使用したタグ VLAN 通信を実現するための設定方法を説明します。
VLANスイッチモード設定について
VLANスイッチを使用するためにはシステムグローバル設定の VLANスイッチモードが有効である必要があります。FortiGate-60F ではデフォルトで VLANスイッチモードが有効になっています。
CLI では以下コンフィグに該当します。
config system global
set virtual-switch-vlan enable
endなお、VLANスイッチモードが有効の場合、「ハードウェアスイッチ」を使用することができません。よって、VLANスイッチとハードウェアスイッチは排他的であるといえます。
想定シナリオ
以下の構成を考えます。
FortiGate のインターフェース構成と接続先情報は以下の通りです。
- internal1-2: VLANスイッチ VLAN10-Switch に所属し、その VLANスイッチの VLAN ID は 10
- 対向スイッチポートは VLAN10 のアンタグポート (access ポート)
- internal3-4: VLANスイッチ VLAN20-Switch に所属し、その VLANスイッチの VLAN ID は 20
- 対向スイッチポートは VLAN20 のアンタグポート (access ポート)
- internal5: VLANタグ10,20を通す
- 対向スイッチポートはタグポート (trunk ポート)
この構成で以下のような通信ができるよう FortiGate を設定します。
- VLAN 10、VLAN 20 それぞれで VLAN 内でのスイッチング(タグ有り、タグ無しポートの混在)
- VLAN 10、VLAN 20 の間での VLAN 間通信
VLANスイッチの設定
まず VLANスイッチを設定します。なお、ここではデフォルトで存在する VLANスイッチは削除済みの状態をスタート地点とします。
VLAN10-Switch の作成
VLAN 10 の通信を通す VLANスイッチを作成します。
GUI のインターフェース画面から「新規作成 > インターフェース」をクリックします。
新規インターフェース画面で各項目を設定します。まず基本設定は以下の通り設定します。
- 「名前」では任意の VLANスイッチ名を設定します
- 「タイプ」では「VLANスイッチ」を指定します
- 「VLAN ID」ではこの VLANスイッチで通信させる VLAN ID を設定します
- 「インターフェースメンバー」ではこの VLANスイッチに所属させる物理インターフェースを指定します
- 「ロール」はネットワーク構成に合わせて「LAN」「WAN」「DMZ」「未定義」から指定します
続いてアドレス欄を設定します。
- 「アドレッシングモード」では「マニュアル」を指定します
- 「IP/ネットマスク」では VLANスイッチに設定するアドレスとサブネットマスク(orプレフィックス長)を入力します。このアドレスは対象VLAN IDにおけるゲートウェイアドレスとなります
- 「アドレスオブジェクトに一致するサブネットの作成」はデフォルトで有効になっていますが無効化を推奨します
この他の以下項目は通常のインターフェース設定と同様に任意に設定します。
- 管理者アクセス
- DHCPサーバ
- ネットワーク
- SPAN(ポートミラーリング)
- 仮想スイッチ系のインターフェースタイプで設定できる項目です。基本的にデフォルトのOFFでOKです
- トラフィックシェイピング
- その他
以上設定ができたら画面一番下の「OK」をクリックし確定します。
結果、インターフェース画面に設定した VLANスイッチが表示されます。
VLAN20-Switch の作成
VLAN 20 の通信を通す VLANスイッチを作成します。作成方法は VLAN10-Switch と同様です。
以下は設定後のインターフェース画面です。
VLANスイッチ外のインターフェースでの trunk 有効化
どの VLANスイッチにも所属していないインターフェースにて trunk 設定を有効化します。これによって対象インターフェースを、設定されている VLANスイッチの VLAN ID のタグ付きフレームを通すタグポート (trunk ポート) とすることができます。
今回のシナリオでは internal5 インターフェースを trunk ポートとして設定し、VLAN ID 10,20 のタグ付きフレームを通すようにします。
対象インターフェースの設定画面にて「アドレッシングモード」として「イーサネットトランク専用」を指定します。
trunk 有効化の設定は以上です。
CLI で設定する場合はconfig system interface内の対象インターフェースのコンフィグにてset trunk enableと設定します。
config system interface
edit "internal5"
set trunk enable
next
endファイアウォールポリシーの設定
VLAN 間通信を許可するファイアウォールポリシーを設定します。
今回のシナリオでは VLAN10 と VLAN20 間で相互に任意の通信をできるようにファイアウォールポリシーを設定します。
まず VLAN10 から VLAN20 への通信を許可するファイアウォールポリシーは以下の通り設定します。
着信インターフェース、発信インターフェースではそれぞれの VLANスイッチを指定します。
次に VLAN20 から VLAN10 への通信を許可するファイアウォールポリシーは以下の通り設定します。
VLAN 内通信についてはファイアウォールポリシー無しで通信可能
同一 VLAN 内ではファイアウォールポリシー無しで通信が可能です。
例えば今回のシナリオでは VLAN10-Switch 先の端末と、interna5 先の VLAN10 内の端末との通信はファイアウォールポリシー無しで通信可能です。
VLANスイッチに関する補足事項
- VLANスイッチでは STP (スパニングツリープロトコル) を使用できます。デフォルトで存在する internal VLANスイッチでは STP は有効になっています。一方、新規に作成した VLANスイッチではデフォルトでは STP は無効になっています。STP 状態に注意してください
参考資料
FortiGate 記事一覧は以下記事でチェック
Amazon アフィリエイトリンク
以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。
note メンバーシップへの参加もお待ちしています!
コメント