FortiGate インターフェースの VLANスイッチとは何か [v7.2.6]

ファイアウォール(UTM)

動作確認環境

  • FortiGate-60F v7.2.6

FortiGate-60F ではデフォルトで VLAN スイッチが存在

FortiGate-60F のデフォルト状態でインターフェース設定を確認してみると、 VLANスイッチというものが存在することが分かります。

画像FortiGate-60F でのデフォルト設定

FortiGate-60F の一世代前の FortiGate-60E では、デフォルトではハードウェアスイッチが存在していましたが、それが 60F では VLANスイッチに変わっています。

画像FortiGate-60E でのデフォルト設定

VLAN スイッチとハードウェアスイッチの違い

ハードウェアスイッチは、メンバーポート間での L2 スイッチングを行う仮想的な L2 スイッチのようなものでした。

VLAN スイッチもハードウェアスイッチと同様にスイッチングを行う L2 スイッチですが、ハードウェアスイッチとは以下のような違いがあります。

  • VLAN スイッチでは VLAN ID を設定できる
    • メンバーポートは設定した VLAN ID の Untagged ポートになる
  • VLAN スイッチに所属していないポートで trunk を有効化すると、そのポートをタグ付きフレームを通す Tagged ポート(トランクポート)にすることができる

このような特徴から、VLAN スイッチでは Tagged ポートと Untagged ポートを混在させつつのスイッチングを容易に実現することができます

Tagged ポート(トランクポート)を作らずに使用することも可能です。その場合、機能的にはハードウェアスイッチと同じと考えて良いと思います。

VLANスイッチのデフォルトの VLAN ID 設定は 0 です。Tagged ポート(トランクポート)を作らない場合は VLAN ID 0 のままでも使用可能です。

ハードウェアスイッチと同様に、VLANスイッチに設定した IP アドレスは該当セグメント(VLAN)における他セグメントへのゲートウェイとして機能します。

VLAN スイッチとハードウェアスイッチは排他的

VLAN スイッチを使用するためには、GUI の [システム > 設定] 画面の [設定表示 > VLANスイッチモード] を有効にする必要があります。これはデフォルトで有効になっています。

CLI でいうと config system globalvirtual-switch-vlan に該当します。

config system global
    set virtual-switch-vlan enable
end

VLANスイッチモードが有効な場合、ハードウェアスイッチを作成することはできません。ハードウェアスイッチを作成するためには VLANスイッチモードを無効化する必要があります。

よって、VLANスイッチとハードウェアスイッチを同時に使用することはできません。

VLANスイッチをサポートしている型番とサポートしていない型番があります。
FortiGate-60E では VLANスイッチをサポートしていないことを確認しています。
※VLANスイッチモードの設定項目が存在しない

VLAN スイッチの設定例

以下のような構成を構築してみます。

  • VLANスイッチ1
    • internal1 と internal2 が所属する
    • VLAN ID は 10 と設定
    • VLANスイッチ1 の IP 10.1.10.1 が、VLAN 10 におけるゲートウェイとなる
  • VLANスイッチ2
    • internal3 と internal4 が所属する
    • VLAN ID は 20 と設定
    • VLANスイッチ2 の IP 10.1.20.1 が、VLAN 20 におけるゲートウェイとなる
  • internal5
    • trunk を enable と設定し、VLAN 10 と VLAN 20 のタグ付きフレームを通す Tagged(トランク)ポートとする

VLANスイッチモードの設定

VLANスイッチを使用する前提として VLANスイッチモードが有効である必要があります。これはデフォルトで有効になっています。

VLANスイッチの作成

VLANスイッチの作成はインターフェースの新規作成から行います。

VLANスイッチを作成するためにはタイプとして [VLANスイッチ] を選択します。
各種設定値は構成図の通り設定します。
以下は VLAN 10 の VLANスイッチの設定内容です。

同様に VLAN 20 の VLANスイッチも作成します。

CLI では config system virtual-switch、および config system interface の該当インターフェースの設定が対応します。

VLAN 10 の VLANスイッチに対応するコンフィグは以下の通りです。

config system virtual-switch
    edit "VLAN10-Switch"
        set physical-switch "sw0"
        set vlan 10
        config port
            edit "internal1"
            next
            edit "internal2"
            next
        end
    next
end

config system interface
    edit "VLAN10-Switch"
        set vdom "root"
        set ip 10.1.10.1 255.255.255.0
        set allowaccess https ssh http
        set type hard-switch
        set role lan
        set snmp-index 15
    next
end

VLAN 20 の VLANスイッチのコンフィグは以下の通りです。

config system virtual-switch
    edit "VLAN20-Switch"
        set physical-switch "sw0"
        set vlan 20
        config port
            edit "internal3"
            next
            edit "internal4"
            next
        end
    next
end

config system interface
    edit "VLAN20-Switch"
        set vdom "root"
        set ip 10.1.20.1 255.255.255.0
        set allowaccess ping https ssh http
        set type hard-switch
        set role lan
        set snmp-index 17
    next
end

Tagged ポート (トランクポート) の設定

internal5 をタグ付きフレームを通す Tagged ポート (トランクポート) に設定します。

GUI のインターフェース設定画面で、アドレッシングモードを「イーサネットトランク専用」に設定するとトランクポートにすることができます。

CLI でいうと config system interfacetrunk に該当します。

config system interface
    edit "internal5"
        set trunk enable
    next
end

CLI で set trunk enable と設定するためには、先に対象インターフェースのアドレッシングモードを static とし、かつ IP アドレスを未設定状態にしておく必要があります。

internal5 は何れの VLANスイッチにも所属していないインターフェースです。VLANスイッチに所属しているインターフェースで trunk を有効化することはできません。

VLAN 10 と VLAN 20 間の通信許可ポリシーの設定

VLAN 10 と VLAN 20 間で相互に通信できるようにポリシーを設定します。

◆VLAN10→VLAN20の許可ポリシー

◆VLAN20→VLAN10の許可ポリシー

以上で設定は完了です。

同一 VLAN 内の通信に関してはポリシーでの制御対象外になるため、許可ポリシーを設定する必要はありません。

疎通・トラフィックログ確認

以下端末間の通信確認を行いました。

  • VLAN 内通信
    • 端末 A ⇔ 端末E
    • 端末C ⇔ 端末F
  • VLAN 間通信
    • 端末A ⇔ 端末F
    • 端末C ⇔ 端末E

何れも疎通可能であることを確認できました。

備考

VLANスイッチにおける STP

ハードウェアスイッチと同様に VLANスイッチでも STP を使用できます。

デフォルトで存在する「Internal」VLANスイッチについては、デフォルト状態では STP が有効になっています。

一方、新規作成した VLANスイッチでは STP はデフォルトで無効になっています。

config system interface
    edit "VLAN10-Switch"
        set stp disable
    next
end

VLANスイッチを使用する場合は STP 状態の確認も忘れずに行いましょう。

参考資料

Virtual VLAN switch | Administration Guide

タイトルとURLをコピーしました