fortigateでVLANスイッチなしにtaggedポートとuntaggedポートを共存する方法
目的
FortigateでVLANを設定すると必ず「tagつきポートしか定義できない」「tagなしポートを使うにはVLANスイッチ配下に」という検索結果が多くありましたが、そうではないのではないかということで、調査し、fortigate内でtaggedポートとuntaggedポートの共存が可能であることを確認できましたので報告します。なぜそのような誤解があるのかも触れます。
検証機器
Fortigate 60E v5.6.3 build1547
※古いファームウェアです。 最新のFortigate 40Fを入手して追検証予定です。
目標
・fortigate内でタグなしポートとタグありポートを共存させる。
・各ポートからインターネット接続を確保する
システム構成
fortigate内に検証用vdomを設定
internal 1-2をタグ付きポート (VLAN番号21)
internal 3-4をタグなしポート(VLAN番号21と通信できるようにする)
インターネットへはvdom-linkを使い既存環境へ接続
internal1とinternal2にはVLAN対応のHUBを接続
internal3とinternal4には通常の端末を接続
・設定手順
1.tagをつけたいポートが複数ある場合はハードウェアスイッチを定義する
※ポートによってVLANの内容が違う場合などは、この手順を省略して、個別のポートにVLANを定義します
2.VLANを定義する
VLANを定義します。ただし、ここではIPアドレスなどの設定を行いません。
インターフェース名を「vlan21-hs1」とvlanのIDとインターフェイスの組み合わせがわかるようにネーミングすることをお勧めします。
3.ソフトウェアスイッチを定義する
ソフトウェアスイッチにてtagedポートのhs1のvlan21-hsとuntaggedポートのinternal3 internal4を
インターフェースメンバーに加えたvlan21というソフトウェアスイッチを定義します。
インターフェース名をvlan21としましたが、VLANidではなく具体的な用途の方が管理しやすいと思います。
管理機能やDHCPなどの必要な設定もここで行います。
ソフトウェアスイッチのインターフェース名を利用して、
ポリシー定義を行うとインターネットへの接続などか可能となります。
手順通り行うと上記画面のような設定になります。これにより 一つのfortigate内でtaggedポートとuntaggedポートが共存でき、相互の通信が可能となります。
・なぜ共存できないという記事が多いのか
fortigateでVLANを定義する画面にIPアドレスなどのインターフェースの詳細を定義するところがあり、ここに詳細設定してしまうと、Fortigateの他のポートをuntaggedポートとして設定する余地はないので、そのような誤解があるのだろうと思います。
私も参考文献を見るまでは、そのように思っていました。
ただ、VLANインターフェースをソフトウェアスイッチのメンバーに加えられることと、VLAN定義が個別のインターフェース毎に行うことから、VLANインターフェース画面で詳細定義するかはユーザに委ねられたことであって、それをソフトウェアスイッチで取りまとめることで柔軟な設定が可能であることが解りました。
他のスイッチングHUBではVLANを定義してからタグ付きポート、タグなしポートを定義するわけですが、fortigateでのVLANインターフェースでは、タグ付きの通信をするインターフェイスを定義しているにすぎない事がわかります。
・複雑な設定(より良い理解のため)
以下のようなVLAN構成を実施するとします。
| ポート | VLAN21 | VLAN22 | VLAN23 |
|---|---|---|---|
| 1 | tagged | tagged | |
| 2 | tagged | tagged | |
| 3 | tagged | tagged | untagged |
| 4 | untagged |
VLANのtagged unttagedの組み合わせが違う場合はハードウェアスイッチを使わずに個別にVLANインターフェースを定義して、ソフトウェアスイッチで取りまとめます。
設定すると上記のようになります。
・応用設定 VLANのtagの付け替え
ソフトウェアスイッチは柔軟にインターフェースを取り込めますので、異なるタグVLANを一つのスイッチに入れ込むことができます。
普通のL2スイッチだと定義できないタグの付け替えのて通信も定義できます。
この場合はポート2がタグ付き21番ポート3がタグ付き22番ポート4がタグ付き50番 ポート1がタグなしとなります。
・参考文献
タイトル:FortiGate のソフトウェアスイッチとタグ VLAN を検証する
著者:松田一久様
最後に
FortigateでtagVLANを利用しているが検証用にuntaggedポートを利用したくて確認しました。
Fortigateの上位機種ではポート数が多い機種があるので、センタースイッチングHUB機能を含めた提案などにも使えると思います。参考になれば幸いです。
ソフトウェアスイッチを使うことの是非についても意見がありましたらお寄せください。
Author And Source
この問題について(fortigateでVLANスイッチなしにtaggedポートとuntaggedポートを共存する方法), 我々は、より多くの情報をここで見つけました https://qiita.com/ouchi_Y/items/97d8f35ca09a1e526f16著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .