前回はVDOMとネットワークインターフェースの組み合わせについて基礎を書きました。

realizeznsg.hatenablog.com

普段からFortigateを使ってネットワーク設計している人には特に役に立たない記事なんですけれども。まぁ、Fortigateに四六時中触っている人なんてほとんと代理店やディストリビュータの製品担当ぐらいなんじゃないかと思います。

それはともかく、この記事ではバーチャルワイヤーペアとVDOM使用時のネットワークインターフェースの設定制限について書いていきます。

バーチャルワイヤーペア

実際のネットワークで使ったことはないのですが・・・、端的に言うとVDOM内でL3モードとトランスペアレントモードを併用したい場合に使用します。

作成はネットワークインターフェースの新規作成から行います。設定項目は基本的にこのバーチャルワイヤーペアで使用するインターフェースを指定するだけです。ただし、指定できるのは物理ポートのみなので注意してください。物理ポートが少ないFortigateではあまり活用できません。ただ、同一VDOM内で使用できるのが利点ですね。

というか、トランスペアレントモードでファイアウォール使うことってそんなに多いですかね。ネットワーク構成を変えなくても導入できるとかよく言われますけど、真面目にセキュリティを考えるならL3モードでちゃんと設計して導入した方が良いと思います。トランスペアレントモードだと機能制限色々大きいので。

VDOM使用時のネットワークインターフェース設定

細かいですが運用体制によっては重要な話です。FortigateではFortigateへのログイン用アカウントにアクセス可能なVDOMを割り当てることができます。これにより特定VDOMの管理を他人に委任することができます。アカウントに対して何の権限を割り当てるかにもよりますが、ネットワークインターフェースの作成も委任可能な権限の一つです。そうなると、VDOM間で同一のネットワークインターフェースが作られる可能性があります。これは特に弾かれることなく設定可能なのでしょうか。

ということで試してみました。

• インターフェースタイプ VLANにおけるインターフェース名 : 同一名OK
• VLAN ID : 同一VLAN ID OK
• IPアドレス : 同一IPアドレスOK
• ゾーン : 同一ゾーン名OK

ということで面白みはさっぱりで、全て重複可能でした。IPアドレスも重複可能なのでネットワーク構成に気をつけましょう。

書いていてもイマイチ面白みのない記事になってしまいました。ネットワークインターフェースについては今回で終了とします。次はFortigateの管理アカウントの話に移りたいと思います。