作業環境
- 型番:FortiGate 60E
- バージョン:v6.2.6
VDOM(バーチャルドメイン)とは
- FortiGate を独立して動作する 2 つ以上の仮想ユニットに分割する機能です
- VDOM 毎に個別のセキュリティポリシーを設定できます
- 以下の 2 つの VDOM モードがあります
- 分割タスク VDOM モード
- 一方の VDOM は機器管理にのみ使用され、もう一方はトラフィックの管理に使用されます
- マルチ VDOM モード
- 複数の VDOM それぞれを独立したユニットとして作成および管理できます
- 通常、VDOM を使用する場合はこちらのモードを使用するかと思います
- ほとんどの型番ではデフォルトで 10 個の VDOM をサポートしています
- 多くの型番で、ライセンスキー購入による VDOM 最大数増加をサポートしています
- 以下のようなグローバル設定は VDOM の外部で設定します。これらは FortiGate 全体に影響します
- インターフェース
- ファームウェア
- DNS
- 一部のロギング
- サンドボックスオプションなど
VDOM モード間でのモード切替可否
| 現在のモード | 変更後モード | 切替可否 |
| VDOMなし | 分割タスクVDOM | 可能 |
| VDOMなし | マルチVDOM | 可能 ※FortiGate がセキュリティファブリックの メンバーである場合は不可 |
| 分割タスクVDOM | マルチVDOM | 可能 ※FortiGate がセキュリティファブリックの メンバーである場合は不可 |
| 分割タスクVDOM | VDOMなし | 可能 |
| マルチVDOM | 分割タスクVDOM | 不可 最初に [VDOM なし] に切り替える必要がある |
| マルチVDOM | VDOMなし | 可能 root 以外の VDOM を削除しておく必要がある |
分割タスク VDOM モード
分割タスク VDOM モードでは以下の 2 つの VDOM が存在します。
- 管理 VDOM(
root)- FortiGate の管理に使用され、トラフィックの処理には使用できません
- トラフィック VDOM(
FG-traffic)- 個別のセキュリティポリシーを提供し、すべてのネットワークトラフィックを処理するために使用されます
分割タスク VDOM モードを有効にする
分割タスク VDOM モードは、GUI または CLI で有効にできます。有効にすると、再起動は必要ありませんが、FortiGate からログアウトします。
FortiGate 60E の場合は VDOM モードの変更は CLI でのみ実施可能です。
VDOM モードの設定項目は config system global 配下の set vdom-mode です。
FW02 (global) # show full-configuration
config system global
.
.
.
set vdom-mode no-vdom
.
.
.
end
FW02 (global) # set vdom-mode
no-vdom Disable split/multiple VDOMs mode.
split-vdom Enable split VDOMs mode.
multi-vdom Enable multiple VDOMs mode.
分割タスク VDOM モードとする場合は set vdom-mode split-vdom と設定します。
FW02 # config system global
FW02 (global) # set vdom-mode split-vdom
FW02 (global) # end
Some settings (e.g., firewall policy/object, security profile, wifi/switch controller, user, device, dashboard)
in vdom "root" will be deleted, a split-task vdom "FG-traffic" will be created, and you will be logged out for the operation to take effect.
Do you want to continue? (y/n)y
exit
FW02 login:管理者アカウントについて
分割タスク VDOM モードへ変更後は、既存の管理者アカウントをグローバルの管理者アカウントとして使用できます。
VDOM 環境における CLI での設定
グローバルの管理者アカウントでログイン後は、以下のような流れで VDOM の設定を行います。
- VDOM コンフィグモードへ移行する
- 設定対象の VDOM のコンフィグモードへ移行する
- 対象 VDOM に関する各種設定を行う
FW02 #
config Configure object.
get Get dynamic and system information.
show Show configuration.
exit Exit the CLI.
FW02 # config
global config global
vdom config vdom
FW02 # config vdom
<Enter>
FW02 # config vdom
FW02 (vdom) #
edit Add/edit a table value.
delete Delete a table value.
end End and save last config.
FW02 (vdom) # edit
<vdom> Virtual Domain Name
FG-traffic
root
FW02 (vdom) # edit FG-traffic
<Enter>
FW02 (vdom) # edit FG-traffic
current vf=FG-traffic:3
FW02 (FG-traffic) #
config Configure object.
get Get dynamic and system information.
show Show configuration.
diagnose Diagnose facility.
execute Execute static commands.
alias Execute alias commands.
exit Exit the CLI.
next Configure next table entry.
end End and save last config.
sudo sudo command.
FW02 (FG-traffic) #
FW02 (FG-traffic) # end
FW02 #インターフェースの VDOM への割り当て
- インターフェイスは、ただ 1 つの VDOM に対して割り当てられます
- 分割タスク VDOM モードへ変更直後はすべての物理インターフェースが VDOM:
rootに割り当てられています - ポリシーでインターフェースを使用するためには、最初にVDOM:
FG-trafficにインターフェースを割り当てる必要があります
GUI で設定する場合は、インターフェースの編集画面から設定できます。
CLI で設定する場合は、Global 設定の config system interface 配下の対象インターフェースにて、set vdom 項目を設定します。
例:internal2 インターフェースを VDOM “FG-traffic” に割り当てる場合
FW02 # config global
FW02 (global) # config system interface
FW02 (interface) # edit internal2
FW02 (internal2) # set vdom FG-traffic
FW02 (internal2) # show
config system interface
edit "internal2"
set vdom "FG-traffic"
.
.
.
next
end
FW02 (internal2) # end
FW02 (global) # end
FW02 #VDOM ごとの管理者アカウントを作成する
指定した VDOM のみにアクセスできるアカウントを作成できます。
このような管理者アカウントを作成する場合は、管理者プロファイルとして以下のいずれかを指定する必要があります。
- デフォルトで存在する
prof_admin - 自作したカスタムプロファイル
逆に管理者プロファイルとしてデフォルトで存在する super_admin を指定すると、バーチャルドメインの設定に関わらずグローバルの管理者アカウントが作成されます。
例:VDOM “FG-traffic” に対して管理者アカウント fgadmin を作成する場合
CLI で設定する場合は、以下の通りです。
config system admin
edit "fgadmin"
set accprofile "prof_admin"
set vdom "FG-traffic"
next
end
※ config global 階層に移動後、config system admin 階層に移動して設定します
マルチ VDOM モード
マルチ VDOM モードでは、FortiGate は独立したユニットとして機能する複数の VDOM を持つことができます。1 つの VDOM を使用してグローバル設定を管理します。マルチ VDOM 設定直後は以下の様に vdom として root のみが存在する状態になります。
- global
- vdom
root
root VDOM は削除できず、トラフィックを処理していなくても構成に残ります。
マルチ VDOM モードには、主に以下の 3 つの設計思想があります。
- 独立した VDOM
- 複数の完全に分割された VDOM を作成します
- インターネットにアクセスできればどの VDOM も管理 VDOM にすることができます
- VDOM 間のリンクはなく、各 VDOM を独立して管理します
- 管理 VDOM
- 管理 VDOM を他の VDOM とインターネットの間に配置し、その他の VDOM は VDOM 間リンクを使用して管理 VDOM に接続します
- 管理 VDOM は、双方向で許可されるトラフィックを含め、インターネットアクセスを完全に制御します
- 入口と出口が1つしかないため、これによりセキュリティを向上させることができます
- 管理 VDOM 以外の VDOM 同士での通信は行いません
- メッシュ VDOM
- VDOM は VDOM 間リンクを介して通信させます
- フルメッシュ構成では、すべての VDOM が相互接続されます
- 部分メッシュ構成では、一部の VDOM のみが相互接続されます
マルチ VDOM モードを有効にする
マルチ VDOM モードは、GUI または CLI で有効にできます。有効にすると、再起動は必要ありませんが、FortiGate からログアウトします。
FortiGate 60E の場合は VDOM モードの変更は CLI でのみ実施可能です。
VDOM モードの設定項目は config system global 配下の set vdom-mode です。
マルチ VDOM モードとする場合は set vdom-mode multi-vdom と設定します。
FW02 # config system global
FW02 (global) # set vdom-mode multi-vdom
FW02 (global) # end
You will be logged out for the operation to take effect.
Do you want to continue? (y/n)y
exit
FW02 login:CLI 操作と基本設定
CLI での VDOM 設定手順、VDOM ごとの管理者設定、およびインターフェースの VDOM への割り当て設定の方法は、分割タスク VDOM の場合と同様です。
参考資料
―――――――――――――
