こんばんは。

FortiGateの新しい機能を試してみましたので、ご報告です。

Paloaltoでは一般的に使用している、「Virtual Wire」。L1(ワイヤー)として動作するので、既存環境への影響が低く良いです。

同等の機能が、FortiGateでも実装出来るようになりました(OS5.6以降かな?)
「Virtual Wire Pair」です

今までは、既存環境に影響なく、FortiGateを導入する場合に使用されていたのは「Transparent」モードでした。モードを「NAT」から切り替える事で、L2で動作することが可能でした。

「Virtual Wire Pair」は、「Transparent」のモード設定とは違い、インターフェース設定です。
ですので、port1とPort2で「Virtual Wire Pair」、Port3とwan1で「NAT/Router」なんて構成も可能です

ただし、1ポート対1ポートの構成に限られます
また、スイッチポート構成は出来ません

では、早速試してみたいと思います

Virtual Wire Pairインターフェースの作成

初期状態を想定して、設定してみます
構成イメージは、以下になります

vwp05

構成で、1点注意があります。
「VWP(Virtual Wire Pairの略)」は、L1構成なので、IPアドレスは必要ありませんし、設定も出来ません。これはこれで良いのですが・・

FortiGateはライセンスのアクティベーションや、UTM機能を使用する為(FortiGuardアクセス)、インターネットへのアクセスが必須です。

ですので、インターネットアクセス用のポート(ManagemetやWAN2など)にIPアドレスを設定し、インターネットへアクセス出来るようにする必要があります

また、「VWP」設定を行う前提条件として、
「VWP」設定を行うインターフェースは、ポリシーやルート設定などに参照されてないこと。DHCPサーバー設定されていないこと。
もし参照・設定されていたら、解除しましょう

「internal」インターフェースポートを使用して、「VWP」を設定したいので・・
「internal」に紐づいている、DHCPサーバー設定、ポリシー設定を削除します

1. DHCPサーバーの削除
#config system dhcp server
#delete 1
#end

2. ポリシーの削除
#config firewall policy
#delete 1
#end

続いて、「internal」スイッチポートを解除します

3. スイッチインターフェースの削除
#config system virtual-switch
#delete internal
#end

スイッチポートが解除されました
※以降、キャプチャ画面は100Dの画面です
vwp01

4. VWPポートを作成
「ネットワーク」-「インターフェース」-「新規作成」をクリックし、「バーチャルワイヤーペア」を選択します
vwp02

バーチャルワイヤ作成画面が開きますので、以下情報を入力・選択し「OK」をクリック
名前 :任意(例 VWP01)
インターフェースメンバー:任意(例 internal1,internal2)
vwp03

バーチャルワイヤペアインタフェースが作成されました
vwp06


Virtual Wire Pairポリシーの作成

5. 初期状態は何もポリシーがないので、何も通信が出来ません(暗黙のDeny)
許可ポリシーを設定します

「ポリシー&オブジェクト」-「IPv4バーチャルワイヤーペアポリシー」を開き、新規ポリシーを作成します
※もし表示していない場合は、一度管理画面をログオフし再度ログオンしてください。

今回は、LAN->WAN全て許可、WAN->LANはDHCP通信のみ許可設定

「ポリシー&オブジェクト」-「IPv4バーチャルワイヤーペアポリシー」-「新規作成」を選択し、以下情報を入力し、OKをクリック
名前 :任意(例 VWP LAN->WAN)
バーチャルワイヤーペア:LAN(internal2)->WAN(internal1)
送信元:all
宛先:all
スケジュール:always
サービス:all
アクション:ACCEPT
vwp07

同じやり方で、逆方向にDHCPサービスを許可するポリシーを作成します
vwp08


管理用ポートの作成

FortiGateはインターネットにアクセスし、アクティベーションが必要です。インターネットへアクセスするポートにIPアドレスを設定し、デフォルトGWを設定します。

今回は「internal7」へIPアドレスと管理アクセス(HTTPS,PING)を設定
インターフェース名:internal7
エイリアス:LAN
ロール:LAN
アドレス(マニュアル):192.168.X.1/24
管理アクセス:HTTPS,PINGチェック
vwp09

デフォルトGWへのルーティング設定
「ネットワーク」->「スタティックルート」->「新規作成」をクリック、デフォルトGWルートを設定
宛先:0.0.0.0/0.0.0.0
インターフェース:internal7 
ゲートウェイアドレス:192.168.X.254
vwp11

FortiGateからインターネットにアクセスできることを確認します
vwp12

詳細な設定は省略しましたが、以上で設定出来ました。

最後に通信確認を行い完了です
vwp13