ポリシールートとは
- ルーティングテーブルを使用する場合とは異なる方法で特定の種類のネットワークトラフィックをルーティングする必要がある場合に使用します
- 着信トラフィックの以下の情報を使用してトラフィックの送信先を決定します
- 着信インターフェイス
- 送信元アドレス
- 宛先アドレス
- プロトコル
- ポート番号
- パケットが到着すると、FortiGate はポリシールートリストの先頭から順にパケットをポリシーと照合しようとします
- ポリシールートリストに一致するものが見つからない場合、FortiGate はルーティングテーブルを使用してルート検索を行います
作業環境
- 型番:FortiGate 60E
- ファームウェアバージョン:v6.2.4
ポリシールートの追加手順
GUI で設定する場合
まずポリシールートの設定項目を表示させます。
GUI で [システム] → [表示機能設定] を選択します。表示機能設定画面で、[高度なルーティング] を有効化して [適用] をクリックします。
続いて、[ネットワーク] → [ポリシールート] を選択し、さらに [新規作成] をクリックします。
新規ポリシールーティング作成画面になります。各項目を設定します。
- 着信インターフェース
- 対象トラフィックの着信インターフェースを指定します
- 送信元アドレス
- 対象トラフィックの送信元アドレスを入力するか、またはアドレスオブジェクトから選択します
- 宛先アドレス
- 対象トラフィックの宛先アドレスを入力するか、またはアドレスオブジェクトから選択します
- プロトコル
- 対象トラフィックのプロトコルを指定します
- サービスタイプ
- 対象トラフィックのサービスを指定します
- アクション
- [トラフィックを転送] を選択します
- Outgoing interface
- 送出インターフェースを指定する場合は有効化してインターフェースを指定します
- Gateway address
- ゲートウェイアドレス(ネクストホップアドレス)を指定します
- ステータス
- [有効化済み] を選択します
設定ができたら [OK] をクリックします。
ポリシールート画面にて、ポリシールートが追加されたことを確認します。
以上です。
CLI で設定する場合
ポリシールートに該当するコンフィグ項目は config router policy
です。
上の GUI での設定例と同じ設定をした場合、以下のコンフィグとなります。
FW01 # show router policy
config router policy
edit 1
set input-device "internal1"
set srcaddr "10.1.10.5/32"
set dstaddr "all"
set gateway 192.168.139.1
next
end
FW01 # show full-configuration router policy
config router policy
edit 1
set input-device "internal1"
set input-device-negate disable
set srcaddr "10.1.10.5/32"
set src-negate disable
set dstaddr "all"
set dst-negate disable
set action permit
set protocol 0
set gateway 192.168.139.1
set output-device ''
set tos 0x00
set tos-mask 0x00
set status enable
set comments ''
next
end
各設定項目のヘルプは以下の通りです。
FW01 (1) # set
input-device Incoming interface name.
input-device-negate Enable/disable negation of input device match.
src Source IP and mask (x.x.x.x/x).
srcaddr Source address name.
src-negate Enable/disable negating source address match.
dst Destination IP and mask (x.x.x.x/x).
dstaddr Destination address name.
dst-negate Enable/disable negating destination address match.
action Action of the policy route.
protocol Protocol number (0 - 255).
gateway IP address of the gateway.
output-device Outgoing interface name.
tos Type of service bit pattern.
tos-mask Type of service evaluated bits.
status Enable/disable this policy route.
comments Optional comments.
internet-service-id Destination Internet Service ID.
internet-service-custom Custom Destination Internet Service name.
ポリシールートの順番の変更
ポリシールートはリストの上から順に照合され、一番最初に適合したポリシーに基づいてルーティングされます。この照合順を変更する方法を記載します。
GUI で設定する場合
GUI でポリシールートの画面を表示します。表示されるリストの中の、[項番#] の部分にマウスポインタを持っていくと、当該ポリシーをドラッグして移動することができます。対象ポリシーを移動したい箇所までドラッグすることで順番を変更できます。
CLI で設定をする場合
CLI で設定する場合は config router policy
階層で以下のコマンドを実行します。
move <移動対象ポリシーの ID> <after | before> <基準ポリシーの ID>
ポリシーの ID
:コンフィグでの edit 番号のことafter
:基準ポリシーの後に対象ポリシーを移動させますbefore
:基準ポリシーの前に対象ポリシーを移動させます
例えば、ポリシー ID が 3 のポリシーを、ポリシー ID が 1 のポリシーの後に移動させる場合は、以下のコマンドを実行します。
config router policy
move 3 after 1
end
参考資料
Policy routes | Cookbook
―――――――――――――