Fortigateのネットワークインターフェース設計 その3
前回はVDOMとネットワークインターフェースの組み合わせについて基礎を書きました。
普段からFortigateを使ってネットワーク設計している人には特に役に立たない記事なんですけれども。まぁ、Fortigateに四六時中触っている人なんてほとんと代理店やディストリビュータの製品担当ぐらいなんじゃないかと思います。
それはともかく、この記事ではバーチャルワイヤーペアとVDOM使用時のネットワークインターフェースの設定制限について書いていきます。
バーチャルワイヤーペア
実際のネットワークで使ったことはないのですが・・・、端的に言うとVDOM内でL3モードとトランスペアレントモードを併用したい場合に使用します。
作成はネットワークインターフェースの新規作成から行います。設定項目は基本的にこのバーチャルワイヤーペアで使用するインターフェースを指定するだけです。ただし、指定できるのは物理ポートのみなので注意してください。物理ポートが少ないFortigateではあまり活用できません。ただ、同一VDOM内で使用できるのが利点ですね。
というか、トランスペアレントモードでファイアウォール使うことってそんなに多いですかね。ネットワーク構成を変えなくても導入できるとかよく言われますけど、真面目にセキュリティを考えるならL3モードでちゃんと設計して導入した方が良いと思います。トランスペアレントモードだと機能制限色々大きいので。
VDOM使用時のネットワークインターフェース設定
細かいですが運用体制によっては重要な話です。FortigateではFortigateへのログイン用アカウントにアクセス可能なVDOMを割り当てることができます。これにより特定VDOMの管理を他人に委任することができます。アカウントに対して何の権限を割り当てるかにもよりますが、ネットワークインターフェースの作成も委任可能な権限の一つです。そうなると、VDOM間で同一のネットワークインターフェースが作られる可能性があります。これは特に弾かれることなく設定可能なのでしょうか。
ということで試してみました。
ということで面白みはさっぱりで、全て重複可能でした。IPアドレスも重複可能なのでネットワーク構成に気をつけましょう。
書いていてもイマイチ面白みのない記事になってしまいました。ネットワークインターフェースについては今回で終了とします。次はFortigateの管理アカウントの話に移りたいと思います。