FortiGate のソフトウェアスイッチとタグ VLAN を検証する

ファイアウォール(UTM)
2020.06.01

FortiGate においてソフトウェアスイッチを使用してタグ VLAN を実現する方法を検証したためその内容を記載します。

作業環境

  • 型番:FortiGate 60E
  • バージョン:v6.0.9

FortiGate でのタグ VLAN 実現方法について

FortiGate においてタグ VLAN ポート(トランクポート)を作成する方法として、物理インターフェースに対して IP アドレスを設定した VLAN インターフェースを対応付けるという方法があります。ただ、この方法だと複数の物理インターフェースに同じ VLAN ID を紐づけることは難しそうで、タグ付けしたまま別の物理インターフェースにスイッチングするということも難しそうです。

一方でソフトウェアスイッチを使用してタグ VLAN ポートを作成するという方法がありました。こちらの方法であればタグ付けしたまま別の物理インターフェースにスイッチングするといったことが可能になるようでした。

図:ソフトウェアスイッチとVLANのイメージ

ソフトウェアスイッチの代わりにハードウェアスイッチを使用しても同じことができるのでは」という考えに至るかと思いますが、ハードウェアスイッチではインタフェースメンバーとして Vlan インターフェースを指定することができません。

ソフトウェアスイッチの検証

要件

  • FortiGate の internal3 と internal4 を VLAN 199 を通すポートとして、2つのインターフェース間でスイッチングできるようにする

ネットワーク構成

検証で構築したネットワークの最終的な構成は以下の図の通りです。

設定内容

■ FortiGate の設定内容

  • 物理インターフェース internal3
    • IP アドレス設定なし
  • 物理インターフェース internal4
    • IP アドレス設定なし
  • VLAN インターフェース Vlan199
    • インターフェース:internal3
    • VLAN ID:199
    • IP アドレス設定なし
  • ソフトウェアスイッチ sfsw199
    • 所属インターフェース
      • internal4
      • Vlan199
    • IP アドレス:10.10.99.254/24
  • ポリシー設定
    • 入力/出力インターフェースともに sfsw199 とした許可ポリシー

■ L2SW の設定内容

  • 端末A側 L2SW のインターフェース設定
    • 端末A側
      • VLAN199 のアクセスポート
    • FortiGate 側
      • Trunk ポート
      • native vlan 1
  • 端末B側 L2SW のインターフェース設定
    • 端末B側
      • VLAN199 のアクセスポート
    • FortiGate 側
      • Trunk ポート
      • native vlan199

設定詳細

■ internal3 設定

■ internal4 設定

■ Vlan199 設定

■ ソフトウェアスイッチ sfsw199 設定

ソフトウェアスイッチは、インターフェースの新規作成画面でタイプをソフトウェアスイッチにすることで作成できます。

■ ポリシー設定

各設定について

各 L2SW の native vlan について

今回の検証では L2SW として Cisco 機器を使用しましたが、それぞれの Trunk ポートの native vlan がデフォルト(native vlan 1)の状態で、sfsw199(10.10.99.254) に対しての端末 A,B からの ping の結果は以下の通りでした。

  • 端末A → 10.10.99.254 と疎通できる
  • 端末B → 10.10.99.254 と疎通できない

ここで、端末 B 側の L2SW を確認したところ、native vlan ミスマッチのエラーログが出ていたため、Trunk ポートの native vlan を 199 へ変更しました。すると、端末 B からも 10.10.99.254 へ疎通できるようになりました。

逆に、端末 A 側の L2SW の Trunk ポートの native vlan を 199 に変更すると、端末 A から 10.10.99.254 への疎通もできなくなりました。

また、端末 B を直接 internal4 に接続したところ、端末 B から 10.10.99.254 へ疎通できました。

以上の結果から、ソフトウェアスイッチに所属する internal4 側から出力されるフレームはタグ無しの様です。

internal4 側から出力されるフレームはタグ無しであることから、端末B 側の L2SW の対 FortiGate ポートは Vlan 199 のアクセスポートとしても問題なく疎通が可能です。

端末間通信とポリシーについて

ポリシーを何も設定しない状態では端末間の双方向で通信ができませんでした。そのため、入力/出力インターフェースともに sfsw199 とした許可ポリシーを設定したところ、端末 A と端末 B 間の双方向で疎通できるようになりました。

後日再度確認したところポリシーの設定は無しでも疎通可能でした。

おわりに

今回はソフトウェアスイッチを使用した同一 VLAN ID 内の通信について検証しましたが、結果としてはタグ VLAN ができているのかできていないのかよくわからないといった感じでした。ソフトウェアスイッチに関するポリシーの動作も仕組みが不思議な感じです。

より詳細が分かれば情報を更新していこうと思います。またソフトウェアスイッチをゲートウェイとして別セグメントへのルーティングもできるのではないかと予想していたりもするので、またの機会に検証してみたいと思います。

―――――――――――――

FortiGate ソフトウェアスイッチ使用例: LAG と HWSW 間でスイッチングする
作業環境 FortiGate-60E 7.0.5 アグリゲート IF とハードウェアスイッチ間のスイッチング FortiGate において、アグリゲートインターフェースとハードウェアスイッチ間で同セグメント内でのスイッチングを行いたい場合が...
nwengblog.com
2022.06.25
FortiGate で VLAN 間ルーティングを実現する設定(v6.2.4)
FortiGate で VLAN 間ルーティングを実現したいという需要がありそうなので簡単な例を記載。 作業環境 型番:FortiGate 60Eファームウェアバージョン:v6.2.4 VLAN インターフェースを使用する場合 検証用のネッ...
nwengblog.com
2020.08.07
FortiGate のハードウェアスイッチを使用した VLAN 通信について検証する(v6.2.4)
作業環境 型番:FortiGate 60Eファームウェアバージョン:v6.2.4 検証用のネットワーク構成 FortiGate の設定 ハードウェアスイッチの作成メンバinternal1internal2IPアドレス:設定無しVLAN イン...
nwengblog.com
2020.08.09
【完全版】FortiGate 設定用情報まとめ
初学者向けの FortiGate 設定方法解説のまとめです。ベース機能については大体カバーしています。これから FortiGate を学ぶ方はぜひ確認してみてください。
nwengblog.com
2020.02.18
スポンサーリンク
タイトルとURLをコピーしました