【FortiGate】マルチ VDOM の簡単な設定例

ファイアウォール(UTM)

はじめに

  • FortiGate でマルチ VDOM 構成を設定する簡単な例を記載します
  • VDOM 2 つの構成を作成します
  • VDOM リンクを使用して 2 つの VDOM を接続し、通信経路として使用します

作業環境

  • FortiGate
    • 型番: FortiGate 60E
    • バージョン: 6.4.5

検証構成

以下図のように 2 つの VDOM からなるマルチ VDOM を構成します。

以下図のように、クライアントからインターネットへ通信する際は VDOM リンクを通り myvdom VDOM から root VDOM へ渡る経路で通信できるように設定します。

VDOM モードの変更

まずは VDOM モードをマルチ VDOM モードに変更します。

VDOM モードをマルチ VDOM に変更すると既存設定は root VDOM の設定として反映されます。

FortiGate 60 シリーズ以下の型番では CLI でのみ設定可能なため CLI で設定します。

VDOM モードを設定する項目は config system globalvdom-mode です。

config system global
    set vdom-mode no-vdom
end

vdom-mode はデフォルトでは no-vdom となっています。これを multi-vdom へ変更します。

config system global
    set vdom-mode multi-vdom
end

設定変更するとログアウトするが継続するか?を聞かれるため「y」を押下して継続します。

FGT60E (global) # set vdom-mode multi-vdom

FGT60E (global) # end
You will be logged out for the operation to take effect.
Do you want to continue? (y/n)y

exit


FGT60E login:

これで VDOM モードの変更は完了です。ここで GUI にログインします。

以下のように、[システム > VDOM] 項目が表示されているためその画面を開くと VDOM 一覧を確認できます。root VDOM が存在することが分かります。

また、画面左上のプルダウンメニューで VDOM を選択できます。選択を変更すると、選択した VDOM に関する管理画面に切り替えることができます。

新規 VDOM の作成

新規に myvdom VDOM を作成します。

グローバルの管理画面で [システム > VDOM] 画面を開き、[新規作成] をクリックします。

新規バーチャルドメイン画面となるため、次の通り設定し [OK] をクリックします。

  • バーチャルドメイン名: 任意の名前を入力
  • NGFWモード: プロファイルベース(デフォルト)
  • セントラルNAT: OFF(デフォルト)
  • WiFiの国/地域: 日本
  • コメント: 必要に応じて任意のコメント

[システム > VDOM] 画面で VDOM が作成されたことを確認します。

VDOM へのインターフェースの割り当て

この作業を実施する際は、インターフェース DMZ または WAN から FortiGate にアクセスしてください。

物理インターフェースの割り当て

デフォルトではすべての物理インターフェースが root VDOM に所属している状態になっているため、internal5~7 を myvdom VDOM に変更します。

グローバルの管理画面で [ネットワーク > インターフェース] 画面を開きます。

デフォルトでは以下のようにハードウェアスイッチ internal が存在するためまずはこのハードウェアスイッチを削除します。

ハードウェアスイッチを削除したら、internal5 の編集画面を開きます。

以下の編集画面でバーチャルドメインを myvdom に変更して設定を確定します。

同様に internal6~7 もバーチャルドメインを変更します。

VDOM リンクの作成

デフォルトで NPU VDOM リンク npu0_vlink が存在しますが、こちらは VDOM リンクと仕様が異なるため使いません。

インターフェース一覧画面で [新規作成 > VDOMリンク] をクリックします。

新規 VDOM リンク画面が表示されるため以下の通り設定します。IP アドレスは設定しても設定しなくても良いですが、今回は設定しません。

  • 名前: root_myvdom (任意の名前を入力)
  • インターフェース0(root_myvdom0)
    • バーチャルドメイン: root
    • IP/ネットマスク: デフォルト
    • 管理アクセス: デフォルト
  • インターフェース1(root_myvdom1)
    • バーチャルドメイン: myvdom
    • IP/ネットマスク: デフォルト
    • 管理アクセス: デフォルト

VDOM リンクが作成されたことを確認します。

各 VDOM の設定

残りの設定として以下項目を設定します。

  • インターフェース設定
  • ポリシー設定
  • スタティックルート設定

これらの設定は各 VDOM の管理画面で行います。

インターフェース設定についてはグローバルの管理画面でも設定できます。

myvdom VDOM の設定

myvdom VDOM の管理画面は、画面左上のプルダウンで myvdom を選択すると表示できます。

インターフェースの設定

クライアントが接続する internal5 に IP アドレスを設定します。

[ネットワーク > インターフェース] 画面を開き internal5 の編集画面を開きます。

ここではロールを LAN へ変更し、IP アドレスを 192.168.1.1/24 と設定し設定を確定します。

ポリシーの設定

以下図の経路で通信できるようポリシーを設定します。

[ポリシー&オブジェクト > ファイアウォールポリシー] 画面で [新規作成] をクリックします。

以下の通り、internal5 から root VDOM への通信を許可するポリシーを設定します。発信インターフェースについては VDOM リンクを指定します。またここでは簡単のため IP とサービスについては all と設定することにします。

ポリシーが作成されたことを確認します。

スタティックルート設定

デフォルトルートを VDOM リンクとするスタティックルートを設定します。

[ネットワーク > スタティックルート] 画面で [新規作成] をクリックします。

以下の通りインターフェースを VDOM リンクとしてスタティックルートを設定します。

スタティックルートが作成されたことを確認します。

以上で myvdom VDOM での設定は完了です。

root VDOM の設定

root VDOM の管理画面は、画面左上のプルダウンで root を選択すると表示できます。

インターフェースの設定

インターネットに接続するインターフェース wan1 の IP アドレスを設定します。

今回は DHCP で IP アドレスおよびデフォルトルートを取得する設定としますが、デフォルトで DHCP を利用する設定となっているため、設定の確認のみ行います。

ポリシーの設定

以下図の経路で通信できるようポリシーを設定します。

[ポリシー&オブジェクト > ファイアウォールポリシー] 画面で [新規作成] をクリックします。

以下の通り、myvdom VDOM から wan1 への通信を許可するポリシーを設定します。着信インターフェースについては VDOM リンクを指定します。またここでは簡単のため IP とサービスについては all と設定することにします。

ポリシーが作成されたことを確認します。

スタティックルートの設定

インターネット向けのスタティックルートの設定を行います。

ただし今回の例では DHCP でデフォルートを取得する設定としているため、インターネット向けルートの設定は行いません。

次にクライアントセグメント(192.168.1.0/24)宛のスタティックルートの設定を行います。

[ネットワーク > スタティックルート] 画面で [新規作成] をクリックします。

以下の通りインターフェースを VDOM リンクとしてスタティックルートを設定します。

スタティックルートが作成されたことを確認します。

以上で root VDOM での設定は完了です。

CLI での各種状態確認

VDOM を構成している場合、CLI の設定階層は以下のようになっています。

config vdom
    edit root
    next

    edit myvdom
    next
end

config global

※上はイメージであり実際にコンフィグが上のようになっているわけではありません

CLI で各 VDOM についての状態確認をするためには、対象 VDOM の階層に移動してから確認コマンドを実行します。

ポリシー設定の確認

myvdom VDOM

FGT60E # config vdom

FGT60E (vdom) # edit myvdom
current vf=myvdom:3

FGT60E (myvdom) # show firewall policy
config firewall policy
    edit 1
        set name "internal5_to_root"
        set uuid 386006c4-a3b6-51eb-ef9d-82a563dc30b6
        set srcintf "internal5"
        set dstintf "root_myvdom1"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end

FGT60E (myvdom) #

root VDOM

FGT60E # config vdom

FGT60E (vdom) # edit root
current vf=root:0

FGT60E (root) # show firewall policy
config firewall policy
    edit 1
        set name "myvdom_to_wan1"
        set uuid b93212ba-a3b6-51eb-f042-becdcb840031
        set srcintf "root_myvdom0"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
        set nat enable
    next
end

FGT60E (root) #

ルーティングテーブルの確認

myvdom VDOM

FGT60E # config vdom

FGT60E (vdom) # edit myvdom
current vf=myvdom:3

FGT60E (myvdom) # get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default

Routing table for VRF=0
S*      0.0.0.0/0 [10/0] is directly connected, root_myvdom1
C       192.168.1.0/24 is directly connected, internal5


FGT60E (myvdom) #

root VDOM

FGT60E # config vdom

FGT60E (vdom) # edit root
current vf=root:0

FGT60E (root) # get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default

Routing table for VRF=0
S*      0.0.0.0/0 [5/0] via 10.1.10.6, wan1
C       10.1.10.0/24 is directly connected, wan1
C       10.10.10.0/24 is directly connected, dmz
S       192.168.1.0/24 [10/0] is directly connected, root_myvdom0


FGT60E (root) #

※ インターフェース DMZ から管理アクセスしているため dmz に connected のルートが存在します

疎通確認

C:\WINDOWS\system32>tracert -d 8.8.8.8

8.8.8.8 へのルートをトレースしています。経由するホップ数は最大 30 です

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms    <1 ms    <1 ms  10.1.10.7
  3     1 ms     1 ms     1 ms  10.1.10.6
#中略
 14    52 ms    53 ms    70 ms  8.8.8.8

トレースを完了しました。

C:\WINDOWS\system32>

参考資料

Virtual Domains | Administration Guide
config system global | CLI Reference

―――――――――――――

タイトルとURLをコピーしました