FortiGate でトランクポートを作成しようとした際に少し苦労したのと、あまり情報が無いような気がするので、FortiGate におけるトランクポートの作成方法を記載しておきます。
作業環境
- 機種: FortiGate 60E
- ファームウェアバージョン: v6.0.6 build0272 (GA)
インターフェースの VLAN 設定について
例えば Cisco のスイッチの場合、スイッチポートの VLAN 設定は以下の2種類が設定できます。
- アクセスポート
- トランクポート
一方で、FortiGate の場合は、Cisco でいうアクセスポートの設定はできず、トランクポート(と同じような働きをするポート)の設定のみができます。というのも、FortiGate で VLAN インターフェースを作成する場合は、論理的な VLAN インターフェースを物理インターフェースに対応付ける設定をするのですが、対応付ける VLAN インターフェースの数が1つの場合でも2つ以上の場合でも、タグ付けがされることになるためです。
このことから、FortiGate で VLAN を使用する場合は、FortiGate とクライアントを接続するために間にスイッチを挟む必要があります。
トランクポートの設定手順
【準備】使用する物理インターフェースの確保
※インターフェースの設定が初期状態の場合のみこの手順を実施してください
FortiGate 60E の場合、初期状態では以下の図のように internal の各インターフェースが1つのハードウェアスイッチ internal としてまとめられています。
各インターフェースを個別に使用するために以下の2つのどちらかの設定を実施します。
VLAN インターフェースの作成
VLAN インターフェースは物理インターフェースに関連付ける必要があります。
例として internal1 インターフェースに VLAN インターフェースの VLAN10 と VLAN20 を設定してみます。
以下の画面で [新規作成]→[インターフェース] を選択します。
インターフェースの設定画面となるため、以下の画像のように VLAN10 インターフェースを設定し [OK] をクリックします。実際には各項目は環境に合わせて設定してください。
internal1 の配下に VLAN10 が作成されました。
VLAN20 も同様に作成します。
VLAN20 も internal1 の配下に作成されました。
これで internal1 が VLAN10 と VLAN20 を通すトランクポートになりました。
対向のスイッチを以下の画像のように設定して接続してください。
VLAN インターフェースとポリシー設定について
VLANインターフェースを通る通信を許可するためにポリシー設定する場合は、入力/出力インターフェースとして指定するのは物理インターフェースではなく VLAN インターフェースとする必要があるため注意してください。
上記の設定例だと、internal1 インターフェースを指定するのではなく VLAN10 インターフェースまたは VLAN20 インターフェースを指定する必要があります。
備考
Cisco のスイッチの場合は複数のアクセスポートに同じ VLAN ID を設定することが可能ですが、FortiGate では同じ VLAN(同じ VLAN ID、かつ同じ IP セグメントを持つ VLAN インターフェース)を複数の物理インターフェースに対応付けることはできません。Cisco とは仕様が異なるため理解しづらいかもしれませんが、これはそういう仕様だと受け入れるしかありません。
→ インターフェイスタイプの [ソフトウェアスイッチ] を使用することで複数の物理インターフェースに同一 VLAN ID を紐づけることができそうです。詳細については確認中です。
→ ソフトウェアスイッチの検証をしました:関連記事
VLAN 通信に関しては、以下の記事に記載しているようにいくつかの方法で実現できました。詳細は当該記事を確認してください。
―――――――――――――
次のステップ → FortiGate でスタティックルートを設定する手順
―――――――――――――
