【FortiGate60E】LinkAggregation+VLAN(tag,untag)の構成設定例 – config sample | SEの道標
FortiGate

【FortiGate60E】LinkAggregation+VLAN(tag,untag)の構成設定例 – config sample

やりたいこと

FortiOS v6.2 以降から、60E 等のエントリクラスの機種でも Link Aggregation が使えるようになりました。

今回は FortiGate 60E を使って 4 本の 1000Base-T を 1 つの LAG (Link Aggregation Group) にまとめて物理的な耐障害性を高めつつ、VLAN で分割することで柔軟なネットワーク設計を実現したいと思います。

具体的には以下の構成。

Link Aggregation は Dynamic (LACP) ではなく Static にします。

手順

1. Link Aggregation を構成するインタフェースを internal のメンバーから外す

internal のメンバーに入っているインタフェースは Link Aggregation のメンバーに選択できません。なのでまずは Link Aggregation を構成したいインタフェースについて、internal のメンバーから外します。この例では internal 1-4 を外します。

「ネットワーク」の「インターフェース」をクリックし、「internal」を選択し、「編集」をクリック。

internal 1 - 4 の横の × ボタンをクリック。

メンバーから削除できたら「OK」をクリック。

2. Link Aggregation (Static) を設定する

同じく「インターフェース」の「新規作成」から「インターフェース」をクリック。

インターフェース名を付けます。ここでは lag1 と付けます。「タイプ」の欄から「802.3ad アグリゲート」を選択します。(FortiOS v6.2 以降から表示されるようになります)

インターフェースメンバーの + ボタンをクリックし、右側に表示される internal1 - internal4 を全て選択します。

選択できたのを確認して「OK」をクリック。アドレスはそのまま (0.0.0.0/0) でよいです。(VLAN インタフェースに IP を付与するため)

なお、デフォルトでは LACP を使うため、Static で LAG 構成にするには CLI で以下のようにします。

fg60e # config system interface
fg60e (interface) # edit lag1
fg60e (lag1) # set lacp-mode static

3. VLAN インタフェースを複数作成する

最後に、lag1 インタフェース配下に VLAN インタフェースを作成します。先ほどと同じように「新規作成」から「インターフェース」をクリックします。

「インターフェース名」は v10 とします。「タイプ」は VLAN 、インターフェースは先ほど作成した LinkAggregation のインタフェース lag1 を指定します。「VLAN ID」は 10 とします。これで「OK」ボタンをクリックします。

すると以下のように lag1 の下に v10 が作られました。

今度は VLAN 20 のインタフェースを作成します。先ほどと同様、新規作成からインタフェースを選択し、以下の画面で「インターフェース名」を v20、タイプを「VLAN」、インターフェースを「lag1」に指定します。VLAN ID は 20 です。そして「OK」ボタンをクリックします。

最終的に以下のように表示されます。

この状態で internal1 - internal4 を対向の L3 スイッチの LAG (static) が設定されているインタフェースに接続して完成です。

以上、FortiGate での LAG および VLAN 設定手順でした。

VLAN 設定の注意点と tag, untag

これは実は FortiGate だけでなく PaloAlto 等でもそうなのですが、同じ VLAN は複数のインタフェースに持たせることはできません。

今回の例のように Link Aggregation をした上で VLAN を使うのであれば OK です。(ただし当然、対向のスイッチは物理的に 1 つであるか、スタック等で論理的に 1 つになっている必要がある。)

また、VLAN インタフェースは必ず tag が付きます。もし untag を使いたいなら元のインタフェースに IP アドレスを割り当てれば OK です。

【厳選 4 冊】ネットワークセキュリティを学ぶための本

サイバー攻撃に対抗せよ。UTMを使った企業LANの構築/管理を徹底解説。ファイアウォールやアンチウイルスなどによる防御。拠点間を安全につなぐインターネットVPN。Office365などのクラウド利用に役立つSD‐WAN。FortiOS6対応。ネットワークエンジニア必読!
本書では、セキュリティエンジニアとして押さえておきたい知識や技術などを、体系的に、わかりやすく解説しています。セキュリティ業務に関わる2~3年目のエンジニアはもちろん、一般社員のセキュリティリテラシー向上にも役立つ1冊です。
【想定する読者層】・セキュリティの初学者・ハッカーにあこがれている人・CTFに興味がある人、または参加している人・WindowsとLinuxの混在環境を構築したい人・コンピュータ愛好家・Linux初心者
Windows(ウィンドウズ)、Linux(リナックス)に始まり、現在主流となっているCloud(クラウド)、Phishing(フィッシング)、そして禁断となっている(マルウェア)に至るまで、具体的な最新情報をそれぞれ選りすぐり解説しています。

コメント

  1. 23hitou より:

    たまたま見させていただきました。
    色々なご情報を掲載されており、勉強になります。

    Vlanのお話ですが、下記のような設定は可能です。
    認識に相違ありましたら無視頂いて問題ありません。

    下記では lag1-v10、lag2-v10 インターフェースを同じ VIDで構成した
    内容となります。

    FGT # show system interface lag1-v10
    config system interface
    edit “lag1-v10”
    set vdom “root”
    set device-identification enable
    set role lan
    set snmp-index 15
    set interface “lag1”
    set vlanid 10
    next
    end

    FGT # show system interface lag2-v10
    config system interface
    edit “lag2-v10”
    set vdom “root”
    set device-identification enable
    set role lan
    set snmp-index 16
    set interface “lag2”
    set vlanid 10
    next
    end

    FGT # show system interface lag1
    config system interface
    edit “lag1”
    set vdom “root”
    set type aggregate
    set member “internal2” “internal3”
    set device-identification enable
    set lldp-transmission enable
    set role lan
    set snmp-index 13
    next
    end

    FGT # show system interface lag2
    config system interface
    edit “lag2”
    set vdom “root”
    set type aggregate
    set member “internal4” “internal5”
    set device-identification enable
    set lldp-transmission enable
    set role lan
    set snmp-index 14
    next
    end

    FGT # show system switch-interface
    config system switch-interface
    edit “sw-v10”
    set vdom “root”
    set member “lag1-v10” “lag2-v10”
    next
    end

    FGT # show system interface sw-v10
    config system interface
    edit “sw-v10”
    set vdom “root”
    set ip 192.168.10.99 255.255.255.0
    set type switch
    set device-identification enable
    set lldp-transmission enable
    set role lan
    set snmp-index 17
    next
    end

    • nesuke より:

      情報ありがとうございます!今度きかいがあれば試したいと思います!

      ちなみに、同セグでfwを通過するときはデフォルトでは暗黙の許可になるのですかね?(明示的に拒否したら通信不可になる?)

  2. 23hitou より:

    ご返信、ありがとうございます。
    今回の設定例では lag1-v10、lag2-v10を sw-v10名のスイッチインターフェースに
    メンバー定義しております。

    スイッチインターフェースは L2 Switchと同等の処理となりますので、メンバー間
    の通信は許可になります。

    Firewallを利用したい場合は、スイッチインターフェースの設定より、

    FGT (sw-v10) # set intra-switch-policy
    implicit Traffic between switch members is implicitly allowed.
    explicit Traffic between switch members must match firewall policies.

    FGT (sw-v10) # set intra-switch-policy explicit

    に変更することでメンバー定義したインターフェースを Firewall Policyの
    Src、Dstインターフェースに利用する事が可能になります。

    この場合、拒否がデフォルトの処理となり、Firewall Policy定義がない
    通信は L2 Switchのメンバーであっても拒否の動作になります。

タイトルとURLをコピーしました