バージョン6.2.0-FW-build0866-190328のFortigate50Eを入手しました。ちょっとしたスモールネットワークでFortigate50EをDHCPサーバとして動作させる可能性が出てきたのでここで再度動作確認。

GUIでの基本設定

インターフェースに対して設定します。設定は至ってシンプルで画像の通り。

注意として、最初のIPアドレスと終了IPとある、いわゆるアドレスレンジはデフォルトゲートウェイ、ネットマスクと矛盾しない値にしないと怒られます。ここまでだけでは大して前回の記事と変わりません。

realizeznsg.hatenablog.com

 複数ネットワークセグメント向けのDHCPサーバ

 今回はクライアントのネットワークセグメントが複数必要というのが要件です。下図の通り。

当然ながらL3スイッチにはDHCPリレー設定を入れています。

先程のGUIからこういう設定をしようとしてもできません。素直に画面を見るとアドレス範囲から新規作成で作れそうにも思えますが、この設定は同一ネットワークセグメント内で複数のアドレスレンジを設定したい場合に使用する項目のようです。

結論を書くと、CLIから設定ができました。設定箇所は下記の通り。

config system dhcp server
     edit 1
         set dns-service default
         set default-gateway 172.20.2.254
         set netmask 255.255.255.0
         set interface "wan1"
         config ip-range
              edit 2
                   set start-ip 172.20.2.51
                   set end-ip 172.20.2.61
              next
         end
         set timezone-option default
     next
     edit 2
         set dns-service default
         set default-gateway 172.20.1.254
         set netmask 255.255.255.0
         set interface "wan1"
         config ip-range
             edit 1
                 set start-ip 172.20.1.51
                 set end-ip 172.20.1.60
             next
         end
     set timezone-option default
     next
end

設定が適当すぎるのは気にしないでください。

この設定をした場合の払い出し状況は以下の通り。

PCをL3スイッチの違うポートに挿して試しました。

ログは？

払い出したならDHCPログも取得したくなるのが管理者というものです。手軽なSyslogサーバを考えたところ、QNAPのNASのSyslogサーバ機能を有効化するのが一番楽そうでした。実際にFortigateから吐き出されたログは以下の通り。

きっちりMACアドレスやIPアドレスがログに吐き出されているので、このログを保管することでいつどの端末にどのIPが払い出されていたか分かります。どこかで語りたい気もしますが、DHCPログをどういう風に可視化するのが運用上便利かって結構難しいんですよね。個人的には指定期間でIPアドレス1個単位でどの端末にリースされていたかを横に表示するような形が好きなんですけれども。

とりあえず最低限のDHCP機能はあるように思えますが、リース性能については未知数なので、小型のFortigateの場合は接続される端末の台数の心配を多少しておいた方が良いんじゃないかと。

そういうわけで、記事投稿再開です。まずはリハビリ記事にてライトな内容で。