FortiGate の物理インターフェースの設定方法について説明します。
想定ネットワーク構成
以下のネットワーク構成を想定します。
FortiGateについて
- 型番:FortiGate 60E
- ファームウェアバージョン:v6.0.6 build0272 (GA)
要件
FortiGateのインターフェースを以下の通り設定すること。
- internal1インターフェースのIPを10.20.30.1/24と設定する
- wan1インターフェースのIPを10.20.40.1/24と設定する
前提
設定前のFortiGateのインターフェース設定は以下画像の通りの状態とします。
※Fortigat 60Eの初期状態において存在するハードウェアスイッチからインターフェースを切り離す手順についてはこちらの記事を参照ください。
インターフェースの設定手順
GUIで設定する場合の手順
internal1 の設定
[ネットワーク]→[インターフェース]画面にて、[internal1]をクリックして選択した後[編集]をクリックするか、[internal1]をダブルクリックします。
インターフェースの設定画面になるため、以下の通り設定します。
- インターフェースの編集
- エイリアス → なし
- タグ
- ロール → LAN
- タグカテゴリの追加 → なし
- アドレス
- アドレッシングモード → マニュアル
- IP/ネットワークマスク → 10.20.30.1/255.255.255.0
- 10.20.30.1/24 のようにプレフィックス表記での指定も可能です
- 管理アクセス → HTTPS、HTTP、PING、SSH
- DHCPサーバ → OFF
- ネットワークデバイス
- デバイス検知 → OFF
- デバイス検知とは、このインターフェイスに接続されているネットワーク上のデバイスに関するデバイス ID 情報を受動的に収集するかどうかの設定です
- ローカル MAC アドレスフィルタリングを使用する場合は有効にします
- デバイス検知 → OFF
- 受付制御
- セキュリティモード → None
- セカンダリIPアドレス → OFF
- ステータス
- コメント → なし
- インターフェースステート → 有効化済み
上記の通り設定したら、画面下部のOKをクリックします。
その後インターフェース画面で internal1 が設定されていることを確認します。
wan1の設定
[ネットワーク]→[インターフェース]画面にて、[wan1]をクリックして選択した後[編集]をクリックするか、[wan1]をダブルクリックします。
インターフェースの設定画面になるため、以下の通り設定します。
- インターフェースの編集
- エイリアス → なし
- 指定帯域幅 → 0 kbps アップストリーム、0 kbps ダウンストリーム(デフォルト)
- タグ
- ロール → WAN
- タグカテゴリの追加 → なし
- アドレス
- アドレッシングモード → マニュアル
- IP/ネットワークマスク → 10.20.40.1/255.255.255.0
- 管理者アクセス → PING、FMGアクセス(※)
- ボットネットサイトへの外部接続をスキャン → 無効
(※)FMG アクセスとは:
管理者アクセスで FMG アクセスを ON にすると、FortiManager と FortiGate 間の通信中に FortiManager の認証を自動的に許可します。FortiManager とは、複数の FortiGate シリーズ機器を一元管理できるアプライアンス製品です。上の例ではデフォルトの ON のままにしていますが、FortiManager が導入されていない環境では FMG アクセスは OFF で良いと思われます。
- セカンダリIPアドレス → OFF
- ステータス
- コメント → なし
- インターフェースステート → 有効化済み
上記の通り設定したら、画面下部のOKをクリックします。
その後インターフェース画面で wan1 が設定されていることを確認します。
以上でインターフェースの設定は完了です。
CLIで設定する場合の手順
インターフェースの設定に該当するコンフィグの項目は config system interface です。
設定前のコンフィグは以下の通りです。
FGT # show system interface
config system interface
edit "wan1"
set vdom "root"
set mode dhcp
set allowaccess ping fgfm
set type physical
set role wan
set snmp-index 1
next
(略)
edit "internal1"
set vdom "root"
set type physical
set snmp-index 13
next
end
internal1 及び wan1 を設定するコマンドは以下の通りです。
config system interface
edit "internal1"
set mode static
set ip 10.20.30.1 255.255.255.0
set allowaccess ping https ssh http
set role lan
next
edit "wan1"
set mode static
set ip 10.20.40.1 255.255.255.0
set allowaccess ping fgfm
set device-identification disable
set role wan
next
end
set mode static→ アドレッシングモードをマニュアルに設定しますset ip ○○→ IPアドレスを設定しますset allowaccess ○○→ 管理アクセスをどのプロトコルで許可するかを設定しますset device-identification disable→ デバイス検知をOFFに設定しますset role ○○→ インターフェースのロールを設定します- その他の項目 → 今回はデフォルト値でOKなため特に指定しません
設定後、show system interface で設定を確認します。
FGT # show system interface
config system interface
edit "wan1"
set vdom "root"
set ip 10.20.40.1 255.255.255.0
set allowaccess ping fgfm
set type physical
set role wan
set snmp-index 1
next
(略)
edit "internal1"
set vdom "root"
set ip 10.20.30.1 255.255.255.0
set allowaccess ping https ssh http
set type physical
set role lan
set snmp-index 13
next
end
設定が想定通りであることを確認できたら完了です。
インターフェース状態確認コマンド
get system interface physical
各インターフェースの up/down、speed、duplex などの状態を確認できます。
FGT # get system interface physical
== [onboard]
==[dmz]
mode: static
ip: 10.10.10.1 255.255.255.0
ipv6: ::/0
status: up
speed: 1000Mbps (Duplex: full)
==[internal1]
mode: static
ip: 10.20.30.1 255.255.255.0
ipv6: ::/0
status: down
speed: n/a
==[internal2]
mode: static
ip: 0.0.0.0 0.0.0.0
ipv6: ::/0
status: down
speed: n/a
==[internal3]
mode: static
ip: 0.0.0.0 0.0.0.0
ipv6: ::/0
status: down
speed: n/a
==[internal4]
mode: static
ip: 0.0.0.0 0.0.0.0
ipv6: ::/0
status: down
speed: n/a
==[internal5]
mode: static
ip: 0.0.0.0 0.0.0.0
ipv6: ::/0
status: down
speed: n/a
==[internal6]
mode: static
ip: 0.0.0.0 0.0.0.0
ipv6: ::/0
status: down
speed: n/a
==[internal7]
mode: static
ip: 0.0.0.0 0.0.0.0
ipv6: ::/0
status: down
speed: n/a
==[wan1]
mode: static
ip: 10.20.40.1 255.255.255.0
ipv6: ::/0
status: down
speed: n/a
==[wan2]
mode: dhcp
ip: 0.0.0.0 0.0.0.0
ipv6: ::/0
status: down
speed: n/a
==[modem]
mode: pppoe
ip: 0.0.0.0 0.0.0.0
ipv6: ::/0
status: down
speed: n/adiagnose hardware deviceinfo nic <port>
指定したインターフェースの状態と統計情報を表示できます。
# diagnose hardware deviceinfo nic internal1
Description :FortiASIC NP6LITE Adapter
Driver Name :FortiASIC NP6LITE Driver
Board :60E
lif id :3
lif oid :67
netdev oid :67
tx group :0
Current_HWaddr 00:09:0f:09:00:03
Permanent_HWaddr e8:1c:ba:ec:5e:e1
========== Link Status ==========
Admin :up
netdev status :up
autonego_setting:1
link_setting :0
speed_setting :10
duplex_setting :0
Speed :100
Duplex :Full
link_status :Up
============ Counters ===========
Rx Pkts :1444261
Rx Bytes :219738338
Tx Pkts :2841449
Tx Bytes :3330430470
Host Rx Pkts :489552
Host Rx Bytes :34587523
Host Tx Pkts :87910
Host Tx Bytes :7659907
Host Tx dropped :0
FragTxCreate :0
FragTxOk :0
FragTxDrop :0―――――――――――――
次のステップ → FortiGate におけるトランクポートの作成方法
―――――――――――――
★インターフェース設定関連記事
―――――――――――――
