FortiGate で帯域制限を設定する方法(v6.2.4)

ファイアウォール(UTM)

作業環境

  • 型番:FortiGate 60E
  • ファームウェアバージョン:v6.2.4

FortiGate における帯域制限の設定

今回は以下の構成を想定します。

端末 B からインターネットへの通信、およびその戻りの通信について帯域制限を設定することを考えます。

FortiGate で帯域制限を設定する場合は以下の手順となります。

  1. トラフィックシェイパーを作成する
  2. トラフィックシェイパーをもとにトラフィックシェイピングポリシーを作成する

トラフィックシェイパーの作成

トラフィックシェイパーとは、どのくらいの帯域に制限するのか、という帯域制限の定義です。

例として、最大帯域幅が 5 Mbps のトラフィックシェイパーを作成します。

GUI で設定する場合

GUI 画面の左側のメニューから [ポリシー&オブジェクト] → [トラフィックシェイパー] と選択した画面で [新規作成] をクリックします。

以下のトラフィックシェイパー作成画面となるため各項目を設定します。

  • タイプ → [共有] を選択
  • 名前 → わかりやすい表示名を設定
  • トラフィック優先度 → [Low] [Medium] [High] から選択(例では Medium を選択)
    • FortiGate は優先度の高いトラフィックから順に帯域を割り当てます
  • 最大帯域幅 → ON にして最大帯域幅を設定(例では 5120 kbps と設定)
  • 保証帯域幅、DSCP → 今回は OFF のまま

設定できたら [OK] をクリックします。

トラフィックシェイパー画面で作成したトラフィックシェイパーが表示されていることを確認します。

以上でトラフィックシェイパーの作成は完了です。

CLI で設定する場合

トラフィックシェイパーに該当するコンフィグの項目は config firewall shaper traffic-shaper です。

前項の GUI での設定をした後のコンフィグは以下の通りです。

# show firewall shaper traffic-shaper
config firewall shaper traffic-shaper
    edit "MAX_5Mbps"
        set maximum-bandwidth 5120
        set priority medium
    next
end

# show full-configuration firewall shaper traffic-shaper
config firewall shaper traffic-shaper
    edit "MAX_5Mbps"
        set guaranteed-bandwidth 0
        set maximum-bandwidth 5120
        set priority medium
        set per-policy disable
        set diffserv disable
        set overhead 0
    next
end

トラフィックシェイピングポリシーの作成

トラフィックシェイピングポリシーとは、どのトラフィックにどのトラフィックシェイパーを適用するかということの定義です。

GUI で設定する場合

GUI 画面の左側のメニューから [ポリシー&オブジェクト] → [トラフィックシェイピングポリシー] と選択した画面で [新規作成] をクリックします。

以下のトラフィックシェイピングポリシー作成画面となるため各項目を設定します。

  • 名前 → わかりやすい表示名を設定
  • ステータス → [有効化済み] を選択
  • コメント → 必要に応じて設定
  • 送信元 → シェイピングポリシー適用対象トラフィックの送信元をアドレスオブジェクトから指定
  • 宛先 → シェイピングポリシー適用対象トラフィックの宛先をアドレスオブジェクトから指定
    • インターフェースが any になっているアドレスオブジェクトのみが設定可能である点に注意してください
  • スケジュール → 必要に応じて設定
  • サービス → シェイピングポリシー適用対象トラフィックのサービスを指定
  • アプリケーション、URLカテゴリ → 必要に応じて設定
  • アクション → [シェイパーを適用] を選択
  • Outgoing interface → シェイピングポリシー適用対象トラフィックの出力インターフェースを指定
  • 共用シェイパー → ONにして、適用するシェイピングポリシーを指定
    • アップロード側通信に適用する場合に ON にする
  • リバースシェイパー → ONにして、適用するシェイピングポリシーを指定
    • ダウンロード側通信に適用する場合に ON にする
  • Per-IPシェイパー → OFF のままとする

設定できたら [OK] をクリックします。

トラフィックシェイピングポリシー画面で作成したトラフィックシェイピングポリシーが表示されていることを確認します。

以上でトラフィックシェイピングポリシーの作成は完了です。

CLI で設定する場合

トラフィックシェイピングポリシーに該当するコンフィグの項目は config firewall shaping-policy です。

前項の GUI での設定をした後のコンフィグは以下の通りです。

# show firewall shaping-policy
config firewall shaping-policy
    edit 2
        set name "[MAX5Mbps]10.1.10.3_to_wan1"
        set service "ALL"
        set dstintf "wan1"
        set traffic-shaper "MAX_5Mbps"
        set traffic-shaper-reverse "MAX_5Mbps"
        set srcaddr "10.1.10.3"
        set dstaddr "all"
    next
end

# show full-configuration firewall shaping-policy
config firewall shaping-policy
    edit 2
        set name "[MAX5Mbps]10.1.10.3_to_wan1"
        set comment ''
        set status enable
        set ip-version 4
        set internet-service disable
        set internet-service-src disable
        set service "ALL"
        set schedule ''
        set dstintf "wan1"
        set tos-mask 0x00
        set traffic-shaper "MAX_5Mbps"
        set traffic-shaper-reverse "MAX_5Mbps"
        set per-ip-shaper ''
        unset class-id
        set diffserv-forward disable
        set diffserv-reverse disable
        set srcaddr "10.1.10.3"
        set dstaddr "all"
    next
end

※ edit の番号は任意の未使用番号にしてください

参考資料

Shared traffic shaper | Cookbook
docs.fortinet.com
firewall shaping-profile | CLI Reference
docs.fortinet.com
firewall shaping-policy | CLI Reference
docs.fortinet.com

―――――――――――――

【完全版】FortiGate 設定用情報まとめ
初学者向けの FortiGate 設定方法解説のまとめです。ベース機能については大体カバーしています。これから FortiGate を学ぶ方はぜひ確認してみてください。
nwengblog.com
2020.02.18
スポンサーリンク
タイトルとURLをコピーしました