FortiGate の初期状態のインターフェース設定について(v6.0.6)

ファイアウォール(UTM)
2020.02.28

FortiGate の初期状態のインターフェース設定について説明します。

作業環境

本記事の作業環境は以下の通りです。

  • 型番:FortiGate 60E
  • ファームウェアバージョン:v6.0.6 build0272 (GA)

FortiGate 60E の初期状態について

FortiGate 60E の初期状態におけるインターフェース設定は以下のようになっています。

図:GUI – インターフェース画面

FortiGate 60E では LAN 側の機器を接続するための UTP ポートが internal1 ~ internal7 の 7 ポートありますが、初期状態では internal1 ~ internal7 がハードウェアスイッチとして一まとめにされています。ハードウェアスイッチとは、仮想的なスイッチのようなものです。

ハードウェアスイッチからインターフェースを切り離す

すべての internal インターフェースがハードウェアスイッチにまとめられていると使いづらいため、インターフェイスを独立して使用できるようにハードウェアスイッチから切り離します。

例として、internal1 インターフェイスをハードウェアスイッチ internal から切り離します。
※作業用端末が internal1 以外のインターフェースから FortiGate に接続していることを前提としています

GUI で設定する場合

[ネットワーク]→[インターフェース] 画面にて、ハードウェアスイッチ欄の internal をダブルクリックする、または internal をクリックして選択後に [編集] をクリックします。

以下の画面でインターフェースメンバー欄の [internal1] の右側の [×] をクリックします。
するとインターフェースメンバーから [internal1] が削除されます。
その後 [OK] をクリックして確定します。

インターフェース画面で internal1 が表示されるようになったことを確認します。

これで internal1 インターフェースを独立して使用できるようになりました。

CLI で設定する場合

コンフィグの中でハードウェアスイッチに関係している設定項目は config system virtual-switch 項目です。

FGT # show system virtual-switch
config system virtual-switch
    edit "internal"
        set physical-switch "sw0"
        config port
            edit "internal1"
            next
            edit "internal2"
            next
            edit "internal3"
            next
            edit "internal4"
            next
            edit "internal5"
            next
            edit "internal6"
            next
            edit "internal7"
            next
        end
    next
end

config system virtual-switch 項目の中の edit “internal” の階層が internal ハードウェアスイッチに関する設定です。さらに、edit “internal” の中の config port 階層の中でインターフェースメンバーが設定されています。

config port 階層の中から edit “internal1” を削除することで、internal1 インターフェースをinternal ハードウェアスイッチから切り離すことができます。

設定コマンドは以下の通りです。

config system virtual-switch
    edit "internal"
        config port
            delete "internal1"
        end
    next
end

コマンド実行後、show system virtual-switch でコンフィグを確認します。

FGT # show system virtual-switch
config system virtual-switch
    edit "internal"
        set physical-switch "sw0"
        config port
            edit "internal2"
            next
            edit "internal3"
            next
            edit "internal4"
            next
            edit "internal5"
            next
            edit "internal6"
            next
            edit "internal7"
            next
        end
    next
end

また、各物理インターフェースの設定は show system interface で確認できます。

FGT # show system interface
config system interface
    edit "wan1"
        set vdom "root"
        set mode dhcp
        set allowaccess ping fgfm
        set type physical
        set role wan
        set snmp-index 1
    next
    edit "wan2"
        set vdom "root"
        set mode dhcp
        set allowaccess ping fgfm
        set type physical
        set role wan
        set snmp-index 2
    next
    edit "dmz"
        set vdom "root"
        set ip 10.10.10.1 255.255.255.0
        set allowaccess ping https ssh http fgfm capwap
        set type physical
        set role dmz
        set snmp-index 3
    next
    edit "modem"
        set vdom "root"
        set mode pppoe
        set type physical
        set snmp-index 4
    next
    edit "ssl.root"
        set vdom "root"
        set type tunnel
        set alias "SSL VPN interface"
        set snmp-index 5
    next
    edit "internal"
        set vdom "root"
        set ip 192.168.1.99 255.255.255.0
        set allowaccess ping https ssh http fgfm capwap
        set type hard-switch
        set stp enable
        set device-identification enable
        set role lan
        set snmp-index 6
    next
    edit "internal1"
        set vdom "root"
        set type physical
        set snmp-index 7
    next
end

edit “internal1” の項目が表示されていることが分かります。
※ハードウェアスイッチ internal から internal1 インターフェースを切り離す前は
 edit “internal1” の項目は表示されません

ハードウェアスイッチ自体を削除する

ハードウェアスイッチからインターフェースを切り離す代わりにハードウェアスイッチ自体を削除し、すべてのインターフェースを分離させることも可能です。ハードウェアスイッチを削除する設定方法は以下の通りです。

FortiGate にアクセスするために internal1~internal7 のどこかのポートを使用してアクセスしている場合は、ハードウェアスイッチ削除後に通信ができなくなってしまうため、dmz ポート(※) からアクセスするようにしてください。dmz ポートの IP アドレスは GUI のインターフェース画面で確認できます。
また、念のため dmz ポートの設定で https, ssh アクセスを許可しておいてください。インターフェース編集画面の [管理者アクセス] の欄で設定できます。
(※) wan ポート または mgmt ポート でも OK です

GUI で設定する場合

ポリシーの削除

FortiGate 60E の初期状態では、internal ハードウェアスイッチから wan1 への通信をすべて許可するポリシーが設定されています。

このポリシーが設定されている状態だと internal ハードウェアスイッチを削除できないため、まずこのポリシーを削除します。

[ポリシー&オブジェクト]→[IPv4ポリシー] 画面にて、[internal→wan1] 欄の ID 1 のポリシーをクリックして選択した後[削除]をクリックします。

以下の画面で [OK] をクリックします。

ポリシー画面でポリシーが削除されていることを確認します。

ハードウェアスイッチの削除

ファームウェアバージョン 6.4 では、internal ハードウェアスイッチを削除するためには上で説明しているポリシーの削除に加えて、

  • internal ハードウェアスイッチを参照しているアドレスオブジェトの削除
  • internal ハードウェアスイッチに対して設定されている DHCP サーバ設定の無効化

を行う必要があります。(バージョン 6.2 でもそうかもしれません)

[ネットワーク]→[インターフェース] 画面にて、ハードウェアスイッチ欄の internal をクリックして選択した後 [削除] をクリックします。

以下の画面で [OK] をクリックします。

インターフェース画面で、ハードウェアスイッチ internal が削除され、internal1~internal7 インターフェースが表示されていることを確認します。

CLI で設定する場合

ポリシーの削除

コンフィグの中でポリシーに関係している設定項目は config firewall policy 項目です。 

FGT # show firewall policy
config firewall policy
    edit 1
        set uuid 46992b9e-59e3-51ea-3702-513f08b98fbb
        set srcintf "internal"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
        set nat enable
    next
end

[edit id] 階層が個々のポリシー設定に対応しており、edit 1 階層が今回削除したいポリシーに該当します。

edit 1 階層を削除するコマンドは以下の通りです。

config firewall policy
    delete 1
end

上記コマンド実行後、show firewall policy でコンフィグを確認します。

FGT # show firewall policy
config firewall policy
end

edit 1 階層が削除されていることが確認できます。

DHCP サーバ設定の削除

internal ハードウェアスイッチでは、デフォルトで DHCP サーバの設定が有効化されています。
この DHCP サーバの設定がされていると CLI でハードウェアスイッチを削除できません。

DHCP サーバの設定は、コンフィグの config system dhcp server 項目で設定されています。

FGT # show system dhcp server
config system dhcp server
    edit 1
        set dns-service default
        set default-gateway 192.168.1.99
        set netmask 255.255.255.0
        set interface "internal"
        config ip-range
            edit 1
                set start-ip 192.168.1.110
                set end-ip 192.168.1.210
            next
        end
    next
end

上記コンフィグの edit 1 が削除したい設定に該当します。
edit 1 を削除するコマンドは以下の通りです。

config system dhcp server
    delete 1
end

削除後のコンフィグは以下の通りです。

FGT # show system dhcp server
config system dhcp server
end

internal ハードウェアスイッチの削除

ファームウェアバージョン 6.4 では、この後の internal ハードウェアスイッチを削除する前に internal ハードウェアスイッチを参照した以下のアドレスオブジェクトを削除する必要があります。(バージョン 6.2 でもそうかもしれません)

FortiGate-60E # show firewall address
config firewall address
#中略
    edit "internal"
        set uuid 73b84b78-a27b-51eb-1940-aa733ff53c2c
        set type interface-subnet
        set subnet 192.168.1.99 255.255.255.0
        set interface "internal"
    next
#中略
end

これを削除するためには以下コマンドを実行します。

config firewall address
  delete "internal"
end

これでようやく internal ハードウェアスイッチをCLIで削除できる状態になりました。
internal ハードウェアスイッチを削除するコマンドは以下の通りです。

config system virtual-switch
    delete internal
end

コマンド実行後のコンフィグは以下の通りです。

FGT # show system virtual-switch
config system virtual-switch
end

internal ハードウェアスイッチが削除されました。

―――――――――――――

次のステップ → FortiGate のインターフェース設定手順について

―――――――――――――

FortiGate v6.2.4 初回ログイン時の動作と初期インターフェース設定について
FortiGateのファームウェアをver.6.0.x台からver.6.2.4にアップグレードしましたが、ver.6.0.xの場合と異なる点があったため記載しておきます。作業環境型番:FortiGate60Eファームウェアバージョン:v6....
nwengblog.com
2020.08.08
【初学者向け】FortiGateのベース機能を構築できるようになるまでの学習ロードマップ
はじめにFortiGateの各機能について説明されているWebページはある程度存在するものの、初学者向けに体系的に情報がまとめられているWebサイトはあまり見つからなかったため、初学者向けの学習ロードマップを作成しました。想定する対象者以下...
nwengblog.com
2020.03.01
【完全版】FortiGate 設定用情報まとめ
初学者向けの FortiGate 設定方法解説のまとめです。ベース機能については大体カバーしています。これから FortiGate を学ぶ方はぜひ確認してみてください。
nwengblog.com
2020.02.18
スポンサーリンク
タイトルとURLをコピーしました