こんばんは。
FortiGateの新しい機能を試してみましたので、ご報告です。
Paloaltoでは一般的に使用している、「Virtual Wire」。L1(ワイヤー)として動作するので、既存環境への影響が低く良いです。
同等の機能が、FortiGateでも実装出来るようになりました(OS5.6以降かな?)
「Virtual Wire Pair」です
今までは、既存環境に影響なく、FortiGateを導入する場合に使用されていたのは「Transparent」モードでした。モードを「NAT」から切り替える事で、L2で動作することが可能でした。
「Virtual Wire Pair」は、「Transparent」のモード設定とは違い、インターフェース設定です。
ですので、port1とPort2で「Virtual Wire Pair」、Port3とwan1で「NAT/Router」なんて構成も可能です
ただし、1ポート対1ポートの構成に限られます
また、スイッチポート構成は出来ません
では、早速試してみたいと思います
初期状態を想定して、設定してみます
構成イメージは、以下になります
構成で、1点注意があります。
「VWP(Virtual Wire Pairの略)」は、L1構成なので、IPアドレスは必要ありませんし、設定も出来ません。これはこれで良いのですが・・
FortiGateはライセンスのアクティベーションや、UTM機能を使用する為(FortiGuardアクセス)、インターネットへのアクセスが必須です。
ですので、インターネットアクセス用のポート(ManagemetやWAN2など)にIPアドレスを設定し、インターネットへアクセス出来るようにする必要があります
また、「VWP」設定を行う前提条件として、
「VWP」設定を行うインターフェースは、ポリシーやルート設定などに参照されてないこと。DHCPサーバー設定されていないこと。
もし参照・設定されていたら、解除しましょう
「internal」インターフェースポートを使用して、「VWP」を設定したいので・・
「internal」に紐づいている、DHCPサーバー設定、ポリシー設定を削除します
「ネットワーク」-「インターフェース」-「新規作成」をクリックし、「バーチャルワイヤーペア」を選択します
バーチャルワイヤペアインタフェースが作成されました
5. 初期状態は何もポリシーがないので、何も通信が出来ません(暗黙のDeny)
許可ポリシーを設定します
FortiGateの新しい機能を試してみましたので、ご報告です。
Paloaltoでは一般的に使用している、「Virtual Wire」。L1(ワイヤー)として動作するので、既存環境への影響が低く良いです。
同等の機能が、FortiGateでも実装出来るようになりました(OS5.6以降かな?)
「Virtual Wire Pair」です
今までは、既存環境に影響なく、FortiGateを導入する場合に使用されていたのは「Transparent」モードでした。モードを「NAT」から切り替える事で、L2で動作することが可能でした。
「Virtual Wire Pair」は、「Transparent」のモード設定とは違い、インターフェース設定です。
ですので、port1とPort2で「Virtual Wire Pair」、Port3とwan1で「NAT/Router」なんて構成も可能です
ただし、1ポート対1ポートの構成に限られます
また、スイッチポート構成は出来ません
では、早速試してみたいと思います
Virtual Wire Pairインターフェースの作成
初期状態を想定して、設定してみます
構成イメージは、以下になります
構成で、1点注意があります。
「VWP(Virtual Wire Pairの略)」は、L1構成なので、IPアドレスは必要ありませんし、設定も出来ません。これはこれで良いのですが・・
FortiGateはライセンスのアクティベーションや、UTM機能を使用する為(FortiGuardアクセス)、インターネットへのアクセスが必須です。
ですので、インターネットアクセス用のポート(ManagemetやWAN2など)にIPアドレスを設定し、インターネットへアクセス出来るようにする必要があります
また、「VWP」設定を行う前提条件として、
「VWP」設定を行うインターフェースは、ポリシーやルート設定などに参照されてないこと。DHCPサーバー設定されていないこと。
もし参照・設定されていたら、解除しましょう
「internal」インターフェースポートを使用して、「VWP」を設定したいので・・
「internal」に紐づいている、DHCPサーバー設定、ポリシー設定を削除します
1. DHCPサーバーの削除
#config system dhcp server
#delete 1
#end
4. VWPポートを作成2. ポリシーの削除
#config firewall policy
#delete 1
#end
続いて、「internal」スイッチポートを解除します
続いて、「internal」スイッチポートを解除します
3. スイッチインターフェースの削除
#config system virtual-switch
#delete internal
#end
スイッチポートが解除されました
※以降、キャプチャ画面は100Dの画面です
スイッチポートが解除されました
※以降、キャプチャ画面は100Dの画面です
「ネットワーク」-「インターフェース」-「新規作成」をクリックし、「バーチャルワイヤーペア」を選択します
バーチャルワイヤ作成画面が開きますので、以下情報を入力・選択し「OK」をクリック
名前 :任意(例 VWP01)
インターフェースメンバー:任意(例 internal1,internal2)
バーチャルワイヤペアインタフェースが作成されました
Virtual Wire Pairポリシーの作成
5. 初期状態は何もポリシーがないので、何も通信が出来ません(暗黙のDeny)
許可ポリシーを設定します
「ポリシー&オブジェクト」-「IPv4バーチャルワイヤーペアポリシー」を開き、新規ポリシーを作成します
※もし表示していない場合は、一度管理画面をログオフし再度ログオンしてください。
※もし表示していない場合は、一度管理画面をログオフし再度ログオンしてください。
今回は、LAN->WAN全て許可、WAN->LANはDHCP通信のみ許可設定
「ポリシー&オブジェクト」-「IPv4バーチャルワイヤーペアポリシー」-「新規作成」を選択し、以下情報を入力し、OKをクリック
同じやり方で、逆方向にDHCPサービスを許可するポリシーを作成します
今回は「internal7」へIPアドレスと管理アクセス(HTTPS,PING)を設定
「ポリシー&オブジェクト」-「IPv4バーチャルワイヤーペアポリシー」-「新規作成」を選択し、以下情報を入力し、OKをクリック
名前 :任意(例 VWP LAN->WAN)
バーチャルワイヤーペア:LAN(internal2)->WAN(internal1)
送信元:all
宛先:all
スケジュール:always
サービス:all
アクション:ACCEPT
送信元:all
宛先:all
スケジュール:always
サービス:all
アクション:ACCEPT
同じやり方で、逆方向にDHCPサービスを許可するポリシーを作成します
管理用ポートの作成
FortiGateはインターネットにアクセスし、アクティベーションが必要です。インターネットへアクセスするポートにIPアドレスを設定し、デフォルトGWを設定します。
今回は「internal7」へIPアドレスと管理アクセス(HTTPS,PING)を設定
インターフェース名:internal7
エイリアス:LAN
ロール:LAN
アドレス(マニュアル):192.168.X.1/24
管理アクセス:HTTPS,PINGチェック
デフォルトGWへのルーティング設定
「ネットワーク」->「スタティックルート」->「新規作成」をクリック、デフォルトGWルートを設定
宛先:0.0.0.0/0.0.0.0
インターフェース:internal7
ゲートウェイアドレス:192.168.X.254
FortiGateからインターネットにアクセスできることを確認します
詳細な設定は省略しましたが、以上で設定出来ました。
最後に通信確認を行い完了です
FortiGateからインターネットにアクセスできることを確認します
詳細な設定は省略しましたが、以上で設定出来ました。
最後に通信確認を行い完了です
