FortiGate の初期状態のインターフェース設定について説明します。
作業環境
本記事の作業環境は以下の通りです。
- 型番:FortiGate 60E
- ファームウェアバージョン:v6.0.6 build0272 (GA)
FortiGate 60E の初期状態について
FortiGate 60E の初期状態におけるインターフェース設定は以下のようになっています。
FortiGate 60E では LAN 側の機器を接続するための UTP ポートが internal1 ~ internal7 の 7 ポートありますが、初期状態では internal1 ~ internal7 がハードウェアスイッチとして一まとめにされています。ハードウェアスイッチとは、仮想的なスイッチのようなものです。
ハードウェアスイッチからインターフェースを切り離す
すべての internal インターフェースがハードウェアスイッチにまとめられていると使いづらいため、インターフェイスを独立して使用できるようにハードウェアスイッチから切り離します。
例として、internal1 インターフェイスをハードウェアスイッチ internal から切り離します。
※作業用端末が internal1 以外のインターフェースから FortiGate に接続していることを前提としています
GUI で設定する場合
[ネットワーク]→[インターフェース] 画面にて、ハードウェアスイッチ欄の internal をダブルクリックする、または internal をクリックして選択後に [編集] をクリックします。
以下の画面でインターフェースメンバー欄の [internal1] の右側の [×] をクリックします。
するとインターフェースメンバーから [internal1] が削除されます。
その後 [OK] をクリックして確定します。
インターフェース画面で internal1 が表示されるようになったことを確認します。
これで internal1 インターフェースを独立して使用できるようになりました。
CLI で設定する場合
コンフィグの中でハードウェアスイッチに関係している設定項目は config system virtual-switch 項目です。
FGT # show system virtual-switch
config system virtual-switch
edit "internal"
set physical-switch "sw0"
config port
edit "internal1"
next
edit "internal2"
next
edit "internal3"
next
edit "internal4"
next
edit "internal5"
next
edit "internal6"
next
edit "internal7"
next
end
next
end
config system virtual-switch 項目の中の edit “internal” の階層が internal ハードウェアスイッチに関する設定です。さらに、edit “internal” の中の config port 階層の中でインターフェースメンバーが設定されています。
config port 階層の中から edit “internal1” を削除することで、internal1 インターフェースをinternal ハードウェアスイッチから切り離すことができます。
設定コマンドは以下の通りです。
config system virtual-switch
edit "internal"
config port
delete "internal1"
end
next
end
コマンド実行後、show system virtual-switch でコンフィグを確認します。
FGT # show system virtual-switch
config system virtual-switch
edit "internal"
set physical-switch "sw0"
config port
edit "internal2"
next
edit "internal3"
next
edit "internal4"
next
edit "internal5"
next
edit "internal6"
next
edit "internal7"
next
end
next
end
また、各物理インターフェースの設定は show system interface で確認できます。
FGT # show system interface
config system interface
edit "wan1"
set vdom "root"
set mode dhcp
set allowaccess ping fgfm
set type physical
set role wan
set snmp-index 1
next
edit "wan2"
set vdom "root"
set mode dhcp
set allowaccess ping fgfm
set type physical
set role wan
set snmp-index 2
next
edit "dmz"
set vdom "root"
set ip 10.10.10.1 255.255.255.0
set allowaccess ping https ssh http fgfm capwap
set type physical
set role dmz
set snmp-index 3
next
edit "modem"
set vdom "root"
set mode pppoe
set type physical
set snmp-index 4
next
edit "ssl.root"
set vdom "root"
set type tunnel
set alias "SSL VPN interface"
set snmp-index 5
next
edit "internal"
set vdom "root"
set ip 192.168.1.99 255.255.255.0
set allowaccess ping https ssh http fgfm capwap
set type hard-switch
set stp enable
set device-identification enable
set role lan
set snmp-index 6
next
edit "internal1"
set vdom "root"
set type physical
set snmp-index 7
next
end
edit “internal1” の項目が表示されていることが分かります。
※ハードウェアスイッチ internal から internal1 インターフェースを切り離す前は
edit “internal1” の項目は表示されません
ハードウェアスイッチ自体を削除する
ハードウェアスイッチからインターフェースを切り離す代わりにハードウェアスイッチ自体を削除し、すべてのインターフェースを分離させることも可能です。ハードウェアスイッチを削除する設定方法は以下の通りです。
FortiGate にアクセスするために internal1~internal7 のどこかのポートを使用してアクセスしている場合は、ハードウェアスイッチ削除後に通信ができなくなってしまうため、dmz ポート(※) からアクセスするようにしてください。dmz ポートの IP アドレスは GUI のインターフェース画面で確認できます。
また、念のため dmz ポートの設定で https, ssh アクセスを許可しておいてください。インターフェース編集画面の [管理者アクセス] の欄で設定できます。
(※) wan ポート または mgmt ポート でも OK です
GUI で設定する場合
ポリシーの削除
FortiGate 60E の初期状態では、internal ハードウェアスイッチから wan1 への通信をすべて許可するポリシーが設定されています。
このポリシーが設定されている状態だと internal ハードウェアスイッチを削除できないため、まずこのポリシーを削除します。
[ポリシー&オブジェクト]→[IPv4ポリシー] 画面にて、[internal→wan1] 欄の ID 1 のポリシーをクリックして選択した後[削除]をクリックします。
以下の画面で [OK] をクリックします。
ポリシー画面でポリシーが削除されていることを確認します。
ハードウェアスイッチの削除
[ネットワーク]→[インターフェース] 画面にて、ハードウェアスイッチ欄の internal をクリックして選択した後 [削除] をクリックします。
以下の画面で [OK] をクリックします。
インターフェース画面で、ハードウェアスイッチ internal が削除され、internal1~internal7 インターフェースが表示されていることを確認します。
CLI で設定する場合
ポリシーの削除
コンフィグの中でポリシーに関係している設定項目は config firewall policy 項目です。
FGT # show firewall policy
config firewall policy
edit 1
set uuid 46992b9e-59e3-51ea-3702-513f08b98fbb
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
end
[edit id] 階層が個々のポリシー設定に対応しており、edit 1 階層が今回削除したいポリシーに該当します。
edit 1 階層を削除するコマンドは以下の通りです。
config firewall policy
delete 1
end
上記コマンド実行後、show firewall policy でコンフィグを確認します。
FGT # show firewall policy
config firewall policy
end
edit 1 階層が削除されていることが確認できます。
DHCP サーバ設定の削除
internal ハードウェアスイッチでは、デフォルトで DHCP サーバの設定が有効化されています。
この DHCP サーバの設定がされていると CLI でハードウェアスイッチを削除できません。
DHCP サーバの設定は、コンフィグの config system dhcp server 項目で設定されています。
FGT # show system dhcp server
config system dhcp server
edit 1
set dns-service default
set default-gateway 192.168.1.99
set netmask 255.255.255.0
set interface "internal"
config ip-range
edit 1
set start-ip 192.168.1.110
set end-ip 192.168.1.210
next
end
next
end
上記コンフィグの edit 1 が削除したい設定に該当します。
edit 1 を削除するコマンドは以下の通りです。
config system dhcp server
delete 1
end
削除後のコンフィグは以下の通りです。
FGT # show system dhcp server
config system dhcp server
end
internal ハードウェアスイッチの削除
これでようやく internal ハードウェアスイッチをCLIで削除できる状態になりました。
internal ハードウェアスイッチを削除するコマンドは以下の通りです。
config system virtual-switch
delete internal
end
コマンド実行後のコンフィグは以下の通りです。
FGT # show system virtual-switch
config system virtual-switch
end
internal ハードウェアスイッチが削除されました。
―――――――――――――
次のステップ → FortiGate のインターフェース設定手順について
―――――――――――――
