作業環境
- FortiGate-60E 7.0.5
アグリゲート IF とハードウェアスイッチ間のスイッチング
FortiGate において、アグリゲートインターフェースとハードウェアスイッチ間で同セグメント内でのスイッチングを行いたい場合があるかもしれません。
この場合、少し面倒ですがソフトウェアスイッチを使用することで対応できます。
またアグリゲートインターフェースとハードウェアスイッチ間の通信については、ポリシーの設定をしなくても通信可能です。
以下ではその設定例を記載します。
なお、今回はソフトウェアスイッチで DHCP サーバも稼働させてみます。
検証環境
以下の構成で検証します。
- FortiGate の ソフトウェアスイッチに IP 192.168.1.254/24 を設定し、セグメント内の DHCP サーバとして動作させます
- リンクアグリゲーションモードは LACP にします
- L2SW には NEC の QX を使用します
- 端末には Cisco C891FJ を使用します
① ハードウェアスイッチの設定
ハードウェアスイッチの設定は以下画像の通りです。インターフェースメンバーとして internal5 を設定しています。ここではメンバーは 1 つにしていますが、2 つ以上あっても問題ありません。IP アドレスについては未設定(0.0.0.0/0.0.0.0)にしておきます。何か IP 設定がされていると、後々ソフトウェアスイッチのメンバーとして設定できないため注意してください。
② アグリゲートインターフェースの設定
アグリゲートインターフェース側の設定は以下画像の通りです。インターフェースメンバーとしては internal3 と internal4 の 2 つを設定しています。こちらも IP アドレスについては未設定(0.0.0.0/0.0.0.0)にしておきます。
③ ソフトウェアスイッチの設定
本題のソフトウェアスイッチの設定は以下画像の通りです。ポイントはインターフェースメンバーにハードウェアスイッチとアグリゲートインターフェースを追加することです。ソフトウェアスイッチであればこれらのインターフェースを追加することができます。
今回はこのソフトウェアスイッチを DHCP サーバとして機能させたいため、上の通り IP アドレスを設定します。
また、以下のように DHCP サーバを有効化します。各オプションは要件に合わせて設定します。
以上で設定は完了です。
動作確認
以下の構成が構築できたので動作確認してみます。
リンクアグリゲーションの状態確認
◆FortiGate での確認
FW01 # diagnose netlink aggregate name LAG
...
status: up
...
LACP mode: active
LACP speed: slow
LACP HA: enable
...
slave: internal3
index: 0
link status: up
link failure count: 0
permanent MAC addr: e8:1c:ba:ec:5e:e3
LACP state: established
...
slave: internal4
index: 1
link status: up
link failure count: 0
permanent MAC addr: e8:1c:ba:ec:5e:e4
LACP state: established
...status: up なので問題なさそうです。
◆QX での確認
[QX-S1008GT-2G]display link-aggregation summary
Aggregation Interface Type:
BAGG -- Bridge-Aggregation, RAGG -- Route-Aggregation
Aggregation Mode: S -- Static, D -- Dynamic
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Actor System ID: 0x8000, 38ad-8eb7-ed7e
AGG AGG Partner ID Select Unselect Share
Interface Mode Ports Ports Type
-------------------------------------------------------------------------------
BAGG1 D 0xffff, e81c-baec-5ee3 2 0 SharSelect Ports: 2 なので問題なさそうです。
DHCP 動作確認
◆端末①
Router#show ip interface vlan1
Vlan1 is up, line protocol is up
Internet address is 192.168.1.3/24
Broadcast address is 255.255.255.255
Address determined by DHCP
...◆端末②
Router#show ip interface gi8
GigabitEthernet8 is up, line protocol is up
Internet address is 192.168.1.4/24
Broadcast address is 255.255.255.255
Address determined by DHCP
...両端末とも DHCP で IP アドレスが取得できているので問題ありません。
◆FortiGate でのリース情報の確認
FW01 # execute dhcp lease-list
SWSW
IP MAC-Address Hostname VCI SSID AP SERVER-ID Expiry
192.168.1.2 38:ad:8e:b7:ed:7e QX-S1008GT-2G NEC. QX-S1008GT-2G 3 Sat Jul 2 17:45:53 2022
192.168.1.3 84:3d:c6:ee:1b:e4 Router dslforum.org 3 Sat Jul 2 17:48:08 2022
192.168.1.4 a4:6c:2a:f0:ac:1b Router dslforum.org 3 Sat Jul 2 17:50:27 2022※L2SW についても DHCP クライアントにしているので 3 レコード表示されています
端末間疎通確認
◆端末①→端末②
Router#ping 192.168.1.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms◆端末②→端末①
Router#ping 192.168.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms双方向で Ping が成功することが確認できました。
