ITの窓辺から

三流IT技術者の日常

Fortigateのネットワークインターフェース設計 その2

ネットワーク Fortigate

前回は物理ポート、VLAN、ゾーンに注目してインターフェース検証を行いました。

realizeznsg.hatenablog.com今回はここにVDOMを絡めていきます。VDOMがどういうものかについては特に言及しません。ソフトウェアバージョンはv6.0.7 build0302のFortigateです。

VDOMのネットワーク設計における基本

割とシンプルです。

  • 物理ポートをVDOMに所属させる。
  • VDOM単位でL3モード、トランスペアレントの選択ができる。
  • 一度VDOMに所属させた物理ポートを移動する時はその物理ポートを参照している各設定を削除する必要がある。

最後の条件があるため、一度構成したVDOM構成を変更する場合は通常通信断が発生します。リンクアグリゲーションであれば違うVDOMに物理ポートを混在させられるようなことは聞いたことがありますが、手元の機材で試せないので詳細不明です。

とにかく筐体の物理ポートの搭載数が現実的に構成可能なVDOMの最大数に影響します。VDOMを使用することを考えている場合は機種選定時に物理ポートの数(スイッチングポートはポートがいくつあろうとVDOM的には1ポートなので注意)をよく見ておくべきです。エントリーモデルはだいたい3、4個程度しか物理ポートがないのでVDOMを使うにはあまり適していないでしょう。

VDOMを使用する場合のインターフェースデザイン

エントリーモデルのFortigateの場合、物理ポート数が少ないのでVDOMを使用する場合は少し丁寧に検討する必要があります。とはいえ、サイズの大きいモデルであっても基本的な考え方は同じです。トランスペアレントモードを構成に混ぜる場合、トランスペアレントモードは性質上物理ポートが2個必要なことに注意しましょう。具体的な構成例をいくつか書いていきます。

構成1

単純にFortigateが2台あるかのように見せる構成です。2台のVDOMの技術的な違いはありません。

 この場合、ファイアウォールポリシのインターフェース指定はVLANを指定することになります。VLAN間通信のパターンが少ないうちはこれでも大丈夫でしょう。

構成2

構成1にVLANを増やした場合です。

ゾーンCはあまり意味がないことに気が付きましたが・・・。構成1との違いはVDOM Aにおいてゾーンが複数あることです。このデザインはセグメントは増えたが実はあえて通信制御(≠禁止)を行う必要がないものがある場合に使うものです。通信制御を行う必要がないVLAN同士を同じゾーンに集約した形です。この場合、ファイアウォールポリシのインターフェースは送信元・送信先共にゾーンを指定します。どうしても同一ゾーン内で通信制御をしたい場合は送信元・送信先に同じゾーンを指定すれば良いです。

書いていて思いましたが、ここまでの内容は前回記事で書いておけば良かったかもしれません。

この構成ではだんだん物理ポート1とこれに含まれるVLANの役割が増えてくるので、トラフィック量やスループットに注意する必要があります。1000Base-Tでリンクすることと実際のスループットは別なので注意しましょう。エントリモデル最上位機種のFortigate90シリーズであっても装置全体で4Gbpsのスループットしかありません。物理ポート一つあたりで行きと戻りで最大2Gbpsのスループットリソースを使用する可能性があります。(実際のところ中小規模のネットワークでは問題になるケースは少ないと思いますが)

VDOM B側でも考え方は全く同じです。

実際のネットワークに照らしてみる

構成2を実際に利用するシーンを考えてみましょう。キーポイントはデフォルトルートです。

具体的構成例1

インターネットと接続するキャリアがVDOMごとに用意されているケースです。この場合、VDOMごとにデフォルトルートをそのままそれぞれのISPに向けてやれば良い構成なので、単純にネットワークが2面あるのとほとんど同じです。

f:id:ReaLiZeZNSG:20191124171038p:plain

実際のところ、完全にここまで分離されている組織は多くはありません。例えばグループ会社で同じロケーションに異なる会社が所属しているような場合です。

具体的構成例2

今度はISPが1個しかないケースです。

f:id:ReaLiZeZNSG:20191124172212p:plain

例えばLAN2は業務サーバセグメントになっているような構成です。LAN1とLAN2は通信が必要なので、ルーティング用セグメント等によりVDOM間通信を行う必要があります(Fortigateにはこれを筐体内で実現するVDOMリンクという機能があるのですが)。

これが中小規模ネットワークで最も多い構成ではないでしょうか。クライアントセグメントとサーバセグメント間にファイアウォールを配置してL3-4制御する形です。L3スイッチと比べてスループットが低い代わりに設定難易度が低いのとトラフィックの可視化がしやすいのが特徴です。

絵は省略しますが、ISPは1個かつVDOM間で通信をさせたくないケースもあります。例えばVDOM Bは来客用ネットワークとかそういう場合です。その場合は例えばVDOM A側のファイアウォールポリシにVDOM Bのネットワークアドレスからの通信を禁止するような設定をしておけば良いと思います。

長くなってきたので次の記事に続きます。次はVDOM使用時の設定可能項目の細かい話とバーチャルワイヤーペアについて記載します。