本記事について
本記事では、Fortinet 社のファイアウォール製品である FortiGate に関して、FortiGate の VLAN インターフェース宛の Ping が通らない場合の確認ポイントについて説明します。
動作確認環境
本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。
- FortiGate-60F
- バージョン 7.4.3
VLAN インターフェースへの Ping を行う
ここでは物理インターフェースにバインドされているタイプが「VLAN」のインターフェースに対して FortiGate に接続する端末からの Ping が通らない場合の確認ポイントを説明します。
以下のように設定されている場合、vlan10、vlan20、valn30 が VLAN インターフェースです。
対象の VLAN インターフェースの設定確認
まず FortiGate 側の設定を確認します。対象 VLAN インターフェースについて以下の観点で確認を行います。
- VLAN ID が正しいかを確認
- IP アドレスが正しいかを確認
- 管理アクセス設定で Ping が許可されているかを確認
対象 VLAN インターフェースの編集画面を開き、上記①②③の設定値が想定通りであることを確認します。
設定内容に問題が無ければ次のネットワーク環境の確認に進みます。
- VLAN インターフェースがバインドされている物理インターフェースの管理アクセス設定で Ping を許可するように設定しています。これで VLAN インターフェースでも Ping が許可されますか?
-
いいえ、物理インターフェースでの管理アクセス設定は VLAN インターフェースには影響しません。VLAN インターフェースで Ping を許可するためには、対象 VLAN インターフェースの設定にて Ping を許可するよう設定する必要があります。
ネットワーク環境の確認
Ping 送信元から FortiGate の VLAN インターフェースへ通信できるネットワーク環境となっていることを確認します。
VLAN インターフェースは VLAN タグ付きフレームを着信するインターフェースであるため、FortiGate に直接 PC を接続しても PC から VLAN インターフェースへ通信することはできません。以下図のように、FortiGate にはスイッチを接続し、スイッチポートではタグ VLAN 通信を通すように設定する必要があります。スイッチが Cisco 機器であれば trunk ポートの設定とする必要があります。
以下図のように端末を直接 FortiGate に接続しても端末から VLAN インターフェースには通信できないため注意してください。
別のインターフェースで着信する場合はポリシー設定が必要
例えば、以下図の構成において VLAN20 に属する端末B から FortiGate の VLAN インターフェースの vlan10 宛に Ping を実行する場合、FortiGate は VLAN インターフェースの vlan20 で着信して vlan10 にルーティングすることになります。
このように着信するインターフェースと宛先の VLAN インターフェース (発信インターフェース) が別の場合は対象通信を許可するファイアウォールポリシーの設定が必要になります。
上図例の場合であれば以下のような vlan20 から vlan10 への PING サービスを許可するポリシーが必要です。
Ping 送信元端末のネットワーク設定の確認
Ping の送信元となっている端末の IP アドレスやデフォルトゲートウェイの設定が正しく設定されていることを確認してください。
前項の例では、端末B はデフォルトゲートウェイとして FortiGate の vlan20 インターフェースのアドレスを設定している必要があります。
以上です。
FortiGate 記事一覧は以下記事でチェック
Amazon アフィリエイトリンク
以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。
note メンバーシップへの参加もお待ちしています!
コメント