作業環境
- 型番:FortiGate 60E
- ファームウェアバージョン:v6.2.4
検証用のネットワーク構成
FortiGate の設定
- ハードウェアスイッチの作成
- メンバ
- internal1
- internal2
- IPアドレス:設定無し
- メンバ
- VLAN インターフェースの作成
- ハードウェアスイッチに対して VLAN100 インターフェースを作成する
- IPアドレス:10.100.1.254
- ポリシーの追加は無し
■ハードウェアスイッチの設定詳細
※ハードウェアスイッチの新規作成は、インターフェース画面から [新規作成] → [インターフェース] を選択し、新規インターフェース画面でタイプとして [ハードウェアスイッチ] を選択します
■VLAN100 インターフェースの設定詳細
L2SW の設定
※Catalyst 2960 を使用
- 端末と接続するポートは VLAN100 のアクセスポートとする
- FortiGate と接続するポートは VLAN100 を許可するトランクポートとする
端末の設定
- 各端末デフォルトゲートウェイは FortiGate の VLAN100 インターフェースとする
通信確認
端末間の通信
端末間の通信は問題なく可能。
端末から VLAN インターフェースへの通信
端末から VLAN インターフェースへの通信についても問題なく可能。
FortiGate との接続ポートをアクセスポートにしてみる
以下の図のように、L2SW のFortiGate と接続するポートの設定を VLAN100 のアクセスポートに変更してみます。
端末間の通信
端末間の通信は問題なく可能。
端末から VLAN インターフェースへの通信
端末から VLAN インターフェースへの通信については疎通不可でした。
仮説
- ハードウェアスイッチのメンバであるインターフェース間の通信はタグ無しで通信
- ハードウェアスイッチに紐づいている VLAN インターフェースを通るとタグ付けされる
そもそも VLAN インターフェースいらない説
これまでの結果から、よく考えるとハードウェアスイッチに IP アドレスを設定すればハードウェアスイッチがあるだけで十分なんじゃないかという考えに至りました。
上の構成で、端末間通信も問題なく可能、ハードウェアスイッチの IP アドレスへの疎通も可能でした。
おわりに
- FortiGate では、同じ VLAN ID を持つ VLANインターフェースを複数のインターフェースに対して作成することはできないが(※)、ハードウェアスイッチを使用することで複数のインターフェース間で 同一 VLAN 内の通信が可能
※VLAN インターフェースの IP アドレスを設定しなければ複数のインターフェースに対して同じ VLAN ID の VLAN インターフェースを作成できますが、実質的には使い物になりません - FortiGate で VLAN インターフェースを使用して別セグメントへのルーティングを行いたい場合は、ハードウェアスイッチのメンバとなっているインターフェースと接続する L2SW のポートはトランクポート(タグ VLAN)と設定する必要がある
- Fortigate ⇔ L2SW 間で複数の VLAN ID を通す場合はこの方法になりそう
- FortiGate でVLAN インターフェースを作成せずに、ハードウェアスイッチのメンバとなっているインターフェースと接続する L2SW のポートをアクセスポートと設定して、ハードウェアスイッチに IP アドレスを設定することによって別セグメントへルーティングするという方法も可能
- Fortigate ⇔ L2SW 間でただ一つのみの VLAN ID を通す場合限定
―――――――――――――
