作業環境
- FortiGate 60E
- version 7.0.5
FortiGate のオペレーションモード
FortiGate のシステム設定において、オペレーションモードという設定があります。
これは FortiGate の根本的な動作に関わる設定で、以下の 2 つのモードがあります。
- NAT モード
- L3 機器(ルータ)として動作
- トランスペアレントモード(透過モード)
- L2 機器(L2 スイッチ)として動作
デフォルトは NAT モードです。
トランスペアレントモードを採用するパターンとしては、既存のネットワークに対して、IP アドレスなどの L3 の設定変更をすることなく FortiGate (ファイアウォール、UTM 機能)を追加したい場合などが考えられます。
トランスペアレントモードへの変更方法
トランスペアレントモードへの変更は CLI でのみ実施可能です。
設定対象のコンフィグは config system settings 内の opmode です。
また、トランスペアレントモードへ変更する際に、FortiGate 管理用の IP アドレス/サブネットマスクとデフォルトゲートウェイについても設定します。
設定コマンドは以下の通りです。
config system settings
set opmode transparent
set manageip <IP_address subnet>
set gateway <gateway_address>
end設定例は以下の通りです。
config system settings
set opmode transparent
set manageip 10.10.10.1/24
set gateway 10.10.10.254
endただし、FortiGate 60E の初期状態からトランスペアレントモードへ変更しようとすると、以下のようにエラーメッセージが表示されて変更ができません。
FortiGate-60E # config system settings
FortiGate-60E (settings) # set opmode transparent
FortiGate-60E (settings) # set manageip 10.10.10.1/24
FortiGate-60E (settings) # set gateway 10.10.10.254
FortiGate-60E (settings) # end
Cannot change to Transparent mode because this vdom contains managed switches and switchctl-vlans.
Please clear managed-switches, disable fortilink and retry.
node_check_object fail! for opmode transparent
Attribute 'opmode' value 'transparent' checking fail -7610
Command fail. Return code -7610原因は、デフォルトで存在するインターフェースの fortilink です。トランスペアレントモードへモード変更する前にこの fortilink を削除してください。
fortilink 削除後は以下のようにトランスペアレントモードへ変更できます。
FortiGate-60E # config system settings
FortiGate-60E (settings) # set opmode transparent
FortiGate-60E (settings) # set manageip 10.10.10.1/24
FortiGate-60E (settings) # set gateway 10.10.10.254
FortiGate-60E (settings) # end
Changing to TP mode
FortiGate-60E #現在のオペレーションモードは get system status コマンドで確認できます。
FortiGate-60E # get system status
Version: FortiGate-60E v7.0.5,build0304,220208 (GA)
...
Operation Mode: Transparent
...トランスペアレントモードへ変更時に設定したデフォルトゲートウェイは、config system setting 内ではなく、config router static 配下の設定として反映されます。
FortiGate-60E # show router static
config router static
edit 1
set gateway 10.10.10.254
set priority 0
next
endNAT モードへ戻す方法
トランスペアレントモードへ変更した後 NAT モードへ戻す場合は、トランスペアレントモードへ変更した際と同様に config system settings の opmode を nat と設定します。
また、NAT モードへ変更する際に、FortiGate 管理用に使用する物理インターフェースとその IP アドレス/サブネットマスク、デフォルトルートについても設定します。
設定コマンドは以下の通りです。
config system settings
set opmode nat
set ip <IP_address subnet>
set device <interface>
set gateway <gateway_address>
end設定例は以下の通りです。
config system settings
set opmode nat
set ip 10.1.10.1/24
set device internal
set gateway 10.1.10.254
endFortiGate-60E # config system settings
FortiGate-60E (settings) # set opmode nat
FortiGate-60E (settings) # set ip 10.1.10.1/24
FortiGate-60E (settings) # set device internal
FortiGate-60E (settings) # set gateway 10.1.10.254
FortiGate-60E (settings) # end
Changing to NAT mode
FortiGate-60E #NAT モードへ変更時に設定したインターフェースと IP アドレス/サブネットマスクは、set system setting 内ではなく、config system interface 配下の設定として反映されます。
FortiGate-60E (internal) # show
config system interface
edit "internal"
...
set ip 10.1.10.1 255.255.255.0
...
next
endNAT モードへ変更時に設定したデフォルトルートは、config system setting 内ではなく、config router static 配下の設定として反映されます。
FortiGate-60E # show router static
config router static
edit 1
set gateway 10.1.10.254
set priority 0
set device "internal"
next
endオペレーションモードがトランスペアレントモードとなっている間は、GUI のシステム設定でオペレーションモード、及び管理 IP アドレスを設定する項目が表示されるため、GUI でも設定変更が可能です。
トランスペアレントモードへ変更時の注意点
トランスペアレントモードへモード変更した際の影響として以下のようなものがあります。
- すべてのインターフェースについて IP アドレスが未設定の状態となります
- 手動で作成したアドレス、サービスなどのオブジェクトがすべて削除されます
- ポリシー設定はすべて削除されます
Forward Domain (転送ドメイン)
オペレーションモードをトランスペアレントモードに変更すると、各インターフェースに対して、転送ドメインと呼ばれるブロードキャストドメインを設定できるようになります。
※NAT モードでは転送ドメインの設定はできません
デフォルトではすべてのインターフェースが同じ転送ドメイン (ID:0) に所属しています。
転送ドメインの設定を変更することで、特定のインターフェースについてはブロードキャストドメインを分ける、といったことができます。ブロードキャストドメインを分ける目的としては以下のようなものがあります。
- Vlan 毎にブロードキャストドメインを分け、不要なブロードキャストフレームを削減したい
- 異なる Vlan で同じ MAC アドレスを学習させたい
例えば、internal1 と internal2 の転送ドメインを分けている状況で、internal1 と internal2 の先に同じ MAC アドレスを持つ機器が存在していた場合、以下のように MAC アドレステーブルに同じ MAC アドレスを持つレコードが 2 つ登録されます。
FW01 # diag netlink brctl name host root.b
show bridge control interface root.b host.
fdb: hash size=2048, used=13, num=15, depth=3, gc_time=4, ageing_time=3
Bridge root.b host table
port no device devname mac addr ttl attributes
...
5 9 internal2 70:85:c2:02:64:6d 0 Hit(0)
4 8 internal1 70:85:c2:02:64:6d 15 Hit(15)
...転送ドメインの設定
設定は CLI でのみ実施できます。
例えば、wan2 の転送ドメイン ID を 10 に設定する場合は以下のコマンドになります。
config system interface
edit "wan2"
set forward-domain 10
next
end転送ドメイン ID の範囲は 0-2147483647 です。
forward-domain Enter an integer value from <0> to <2147483647>.転送ドメインとポリシー設定
トランスペアレントモードにおいてポリシー設定をする際は、着信インターフェースと発信インターフェースのドメイン ID が一致している必要があります。
ドメイン ID が異なる着信インターフェースと発信インターフェースの組に対してポリシーを設定しようとした場合、以下のようなエラーメッセージが表示されて設定ができません。
ARP ブロードキャスト/ARP 応答の転送について
トランスペアレントモードの FortiGate では、ARP ブロードキャストについては許可ポリシー無しでも同じドメインに属するインターフェースに転送され、ARP 応答についても許可されます。
一方で ARP 以外のブロードキャストについては許可ポリシーが無い場合は転送されません。
トランスペアレントモードで設定時の留意点
トランスペアレントモードの FortiGate の設定方法については NAT モードの場合とほぼ同様ですが、留意すべき点としては以下があります。
- 管理用 IP アドレスは、インターフェースに対してではなく、筐体に対して設定する
- 各種管理アクセス許可設定については NAT モードと同様にインターフェース単位で行う
- 管理アクセス専用のポートを用意することが推奨されている
- Vlan インターフェースを使用する場合は、併せて転送ドメインも設定する
- Vlan ID と転送ドメイン ID は一致させる必要はありませんが、一致させることが推奨
- DHCP のクライアントとサーバが FortiGate を挟んで通信する場合は以下の 2 つのポリシー設定が必要
- DHCP クライアントから DHCP サーバへの DHCP サービスを許可するポリシー
- DHCP サーバから DHCP クライアントへの DHCP サービスを許可するポリシー
参考資料
