はじめに
- FortiGate でマルチ VDOM 構成を設定する簡単な例を記載します
- VDOM 2 つの構成を作成します
- VDOM リンクを使用して 2 つの VDOM を接続し、通信経路として使用します
作業環境
- FortiGate
- 型番: FortiGate 60E
- バージョン: 6.4.5
検証構成
以下図のように 2 つの VDOM からなるマルチ VDOM を構成します。
以下図のように、クライアントからインターネットへ通信する際は VDOM リンクを通り myvdom VDOM から root VDOM へ渡る経路で通信できるように設定します。
VDOM モードの変更
まずは VDOM モードをマルチ VDOM モードに変更します。
FortiGate 60 シリーズ以下の型番では CLI でのみ設定可能なため CLI で設定します。
VDOM モードを設定する項目は config system global
の vdom-mode
です。
config system global
set vdom-mode no-vdom
end
vdom-mode
はデフォルトでは no-vdom
となっています。これを multi-vdom
へ変更します。
config system global
set vdom-mode multi-vdom
end
設定変更するとログアウトするが継続するか?を聞かれるため「y」を押下して継続します。
FGT60E (global) # set vdom-mode multi-vdom
FGT60E (global) # end
You will be logged out for the operation to take effect.
Do you want to continue? (y/n)y
exit
FGT60E login:
これで VDOM モードの変更は完了です。ここで GUI にログインします。
以下のように、[システム > VDOM] 項目が表示されているためその画面を開くと VDOM 一覧を確認できます。root VDOM が存在することが分かります。
また、画面左上のプルダウンメニューで VDOM を選択できます。選択を変更すると、選択した VDOM に関する管理画面に切り替えることができます。
新規 VDOM の作成
新規に myvdom VDOM を作成します。
グローバルの管理画面で [システム > VDOM] 画面を開き、[新規作成] をクリックします。
新規バーチャルドメイン画面となるため、次の通り設定し [OK] をクリックします。
- バーチャルドメイン名: 任意の名前を入力
- NGFWモード: プロファイルベース(デフォルト)
- セントラルNAT: OFF(デフォルト)
- WiFiの国/地域: 日本
- コメント: 必要に応じて任意のコメント
[システム > VDOM] 画面で VDOM が作成されたことを確認します。
VDOM へのインターフェースの割り当て
物理インターフェースの割り当て
デフォルトではすべての物理インターフェースが root VDOM に所属している状態になっているため、internal5~7 を myvdom VDOM に変更します。
グローバルの管理画面で [ネットワーク > インターフェース] 画面を開きます。
デフォルトでは以下のようにハードウェアスイッチ internal が存在するためまずはこのハードウェアスイッチを削除します。
ハードウェアスイッチを削除したら、internal5 の編集画面を開きます。
以下の編集画面でバーチャルドメインを myvdom に変更して設定を確定します。
同様に internal6~7 もバーチャルドメインを変更します。
VDOM リンクの作成
デフォルトで NPU VDOM リンク npu0_vlink が存在しますが、こちらは VDOM リンクと仕様が異なるため使いません。
インターフェース一覧画面で [新規作成 > VDOMリンク] をクリックします。
新規 VDOM リンク画面が表示されるため以下の通り設定します。IP アドレスは設定しても設定しなくても良いですが、今回は設定しません。
- 名前: root_myvdom (任意の名前を入力)
- インターフェース0(root_myvdom0)
- バーチャルドメイン: root
- IP/ネットマスク: デフォルト
- 管理アクセス: デフォルト
- インターフェース1(root_myvdom1)
- バーチャルドメイン: myvdom
- IP/ネットマスク: デフォルト
- 管理アクセス: デフォルト
VDOM リンクが作成されたことを確認します。
各 VDOM の設定
残りの設定として以下項目を設定します。
- インターフェース設定
- ポリシー設定
- スタティックルート設定
これらの設定は各 VDOM の管理画面で行います。
myvdom VDOM の設定
myvdom VDOM の管理画面は、画面左上のプルダウンで myvdom を選択すると表示できます。
インターフェースの設定
クライアントが接続する internal5 に IP アドレスを設定します。
[ネットワーク > インターフェース] 画面を開き internal5 の編集画面を開きます。
ここではロールを LAN へ変更し、IP アドレスを 192.168.1.1/24 と設定し設定を確定します。
ポリシーの設定
以下図の経路で通信できるようポリシーを設定します。
[ポリシー&オブジェクト > ファイアウォールポリシー] 画面で [新規作成] をクリックします。
以下の通り、internal5 から root VDOM への通信を許可するポリシーを設定します。発信インターフェースについては VDOM リンクを指定します。またここでは簡単のため IP とサービスについては all と設定することにします。
ポリシーが作成されたことを確認します。
スタティックルート設定
デフォルトルートを VDOM リンクとするスタティックルートを設定します。
[ネットワーク > スタティックルート] 画面で [新規作成] をクリックします。
以下の通りインターフェースを VDOM リンクとしてスタティックルートを設定します。
スタティックルートが作成されたことを確認します。
root VDOM の設定
root VDOM の管理画面は、画面左上のプルダウンで root を選択すると表示できます。
インターフェースの設定
インターネットに接続するインターフェース wan1 の IP アドレスを設定します。
今回は DHCP で IP アドレスおよびデフォルトルートを取得する設定としますが、デフォルトで DHCP を利用する設定となっているため、設定の確認のみ行います。
ポリシーの設定
以下図の経路で通信できるようポリシーを設定します。
[ポリシー&オブジェクト > ファイアウォールポリシー] 画面で [新規作成] をクリックします。
以下の通り、myvdom VDOM から wan1 への通信を許可するポリシーを設定します。着信インターフェースについては VDOM リンクを指定します。またここでは簡単のため IP とサービスについては all と設定することにします。
ポリシーが作成されたことを確認します。
スタティックルートの設定
インターネット向けのスタティックルートの設定を行います。
ただし今回の例では DHCP でデフォルートを取得する設定としているため、インターネット向けルートの設定は行いません。
次にクライアントセグメント(192.168.1.0/24)宛のスタティックルートの設定を行います。
[ネットワーク > スタティックルート] 画面で [新規作成] をクリックします。
以下の通りインターフェースを VDOM リンクとしてスタティックルートを設定します。
スタティックルートが作成されたことを確認します。
CLI での各種状態確認
VDOM を構成している場合、CLI の設定階層は以下のようになっています。
config vdom
edit root
next
edit myvdom
next
end
config global
※上はイメージであり実際にコンフィグが上のようになっているわけではありません
CLI で各 VDOM についての状態確認をするためには、対象 VDOM の階層に移動してから確認コマンドを実行します。
ポリシー設定の確認
myvdom VDOM
FGT60E # config vdom
FGT60E (vdom) # edit myvdom
current vf=myvdom:3
FGT60E (myvdom) # show firewall policy
config firewall policy
edit 1
set name "internal5_to_root"
set uuid 386006c4-a3b6-51eb-ef9d-82a563dc30b6
set srcintf "internal5"
set dstintf "root_myvdom1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next
end
FGT60E (myvdom) #
root VDOM
FGT60E # config vdom
FGT60E (vdom) # edit root
current vf=root:0
FGT60E (root) # show firewall policy
config firewall policy
edit 1
set name "myvdom_to_wan1"
set uuid b93212ba-a3b6-51eb-f042-becdcb840031
set srcintf "root_myvdom0"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
end
FGT60E (root) #
ルーティングテーブルの確認
myvdom VDOM
FGT60E # config vdom
FGT60E (vdom) # edit myvdom
current vf=myvdom:3
FGT60E (myvdom) # get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
Routing table for VRF=0
S* 0.0.0.0/0 [10/0] is directly connected, root_myvdom1
C 192.168.1.0/24 is directly connected, internal5
FGT60E (myvdom) #
root VDOM
FGT60E # config vdom
FGT60E (vdom) # edit root
current vf=root:0
FGT60E (root) # get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
Routing table for VRF=0
S* 0.0.0.0/0 [5/0] via 10.1.10.6, wan1
C 10.1.10.0/24 is directly connected, wan1
C 10.10.10.0/24 is directly connected, dmz
S 192.168.1.0/24 [10/0] is directly connected, root_myvdom0
FGT60E (root) #
※ インターフェース DMZ から管理アクセスしているため dmz に connected のルートが存在します
疎通確認
C:\WINDOWS\system32>tracert -d 8.8.8.8
8.8.8.8 へのルートをトレースしています。経由するホップ数は最大 30 です
1 <1 ms <1 ms <1 ms 192.168.1.1
2 1 ms <1 ms <1 ms 10.1.10.7
3 1 ms 1 ms 1 ms 10.1.10.6
#中略
14 52 ms 53 ms 70 ms 8.8.8.8
トレースを完了しました。
C:\WINDOWS\system32>
参考資料
―――――――――――――