【FortiGate60E】LinkAggregation+VLAN(tag,untag)の構成設定例 – config sample

やりたいこと

FortiOS v6.2 以降から、60E 等のエントリクラスの機種でも Link Aggregation が使えるようになりました。

今回は FortiGate 60E を使って 4 本の 1000Base-T を 1 つの LAG (Link Aggregation Group) にまとめて物理的な耐障害性を高めつつ、VLAN で分割することで柔軟なネットワーク設計を実現したいと思います。

具体的には以下の構成。

Link Aggregation は Dynamic (LACP) ではなく Static にします。

手順

1. Link Aggregation を構成するインタフェースを internal のメンバーから外す

internal のメンバーに入っているインタフェースは Link Aggregation のメンバーに選択できません。なのでまずは Link Aggregation を構成したいインタフェースについて、internal のメンバーから外します。この例では internal 1-4 を外します。

「ネットワーク」の「インターフェース」をクリックし、「internal」を選択し、「編集」をクリック。

internal 1 - 4 の横の × ボタンをクリック。

メンバーから削除できたら「OK」をクリック。

2. Link Aggregation (Static) を設定する

同じく「インターフェース」の「新規作成」から「インターフェース」をクリック。

インターフェース名を付けます。ここでは lag1 と付けます。「タイプ」の欄から「802.3ad アグリゲート」を選択します。(FortiOS v6.2 以降から表示されるようになります)

インターフェースメンバーの + ボタンをクリックし、右側に表示される internal1 - internal4 を全て選択します。

選択できたのを確認して「OK」をクリック。アドレスはそのまま (0.0.0.0/0) でよいです。(VLAN インタフェースに IP を付与するため)

なお、デフォルトでは LACP を使うため、Static で LAG 構成にするには CLI で以下のようにします。

fg60e # config system interface
fg60e (interface) # edit lag1
fg60e (lag1) # set lacp-mode static

3. VLAN インタフェースを複数作成する

最後に、lag1 インタフェース配下に VLAN インタフェースを作成します。先ほどと同じように「新規作成」から「インターフェース」をクリックします。

「インターフェース名」は v10 とします。「タイプ」は VLAN 、インターフェースは先ほど作成した LinkAggregation のインタフェース lag1 を指定します。「VLAN ID」は 10 とします。これで「OK」ボタンをクリックします。

すると以下のように lag1 の下に v10 が作られました。

今度は VLAN 20 のインタフェースを作成します。先ほどと同様、新規作成からインタフェースを選択し、以下の画面で「インターフェース名」を v20、タイプを「VLAN」、インターフェースを「lag1」に指定します。VLAN ID は 20 です。そして「OK」ボタンをクリックします。

最終的に以下のように表示されます。

この状態で internal1 - internal4 を対向の L3 スイッチの LAG (static) が設定されているインタフェースに接続して完成です。

以上、FortiGate での LAG および VLAN 設定手順でした。

VLAN 設定の注意点と tag, untag

これは実は FortiGate だけでなく PaloAlto 等でもそうなのですが、同じ VLAN は複数のインタフェースに持たせることはできません。

今回の例のように Link Aggregation をした上で VLAN を使うのであれば OK です。(ただし当然、対向のスイッチは物理的に 1 つであるか、スタック等で論理的に 1 つになっている必要がある。)

また、VLAN インタフェースは必ず tag が付きます。もし untag を使いたいなら元のインタフェースに IP アドレスを割り当てれば OK です。

【厳選 4 冊】ネットワークセキュリティを学ぶための本

サイバー攻撃に対抗せよ。UTMを使った企業LANの構築/管理を徹底解説。ファイアウォールやアンチウイルスなどによる防御。拠点間を安全につなぐインターネットVPN。Office365などのクラウド利用に役立つSD‐WAN。FortiOS6対応。ネットワークエンジニア必読!
本書では、セキュリティエンジニアとして押さえておきたい知識や技術などを、体系的に、わかりやすく解説しています。セキュリティ業務に関わる2~3年目のエンジニアはもちろん、一般社員のセキュリティリテラシー向上にも役立つ1冊です。
【想定する読者層】・セキュリティの初学者・ハッカーにあこがれている人・CTFに興味がある人、または参加している人・WindowsとLinuxの混在環境を構築したい人・コンピュータ愛好家・Linux初心者
Windows(ウィンドウズ)、Linux(リナックス)に始まり、現在主流となっているCloud(クラウド)、Phishing(フィッシング)、そして禁断となっている(マルウェア)に至るまで、具体的な最新情報をそれぞれ選りすぐり解説しています。

IT/インフラエンジニアの地位とスキル向上のために

関連記事

IT 技術の進化はとどまることを知りません。矢継ぎ早に新たな技術が出てきたり、数年前の技術が時代遅れになったりと、IT エンジニアは勉強し続ける運命のようです。 それをどう思うかはあなた次第。 ビジネスの基本は『付加価値を与える[…]

IMG
関連記事

nesuke の考える NW エンジニアの2つの道 ネットワークエンジニアには 2 つの道があります。 1 つはネットワーク構築一筋で、L4 までをひたすらきっちりと構築していく道。 もう 1 つはネットワークを軸として深堀し[…]

IMG