イノベーション エンジニアブログ


株式会社イノベーションのエンジニアたちの技術系ブログです


このエントリーをはてなブックマークに追加

FortigateのVLAN設定に苦しんだ話

KTNです。
弊社では最新技術に触れるために新しいデバイスや、アイテムを導入しています。
それと一緒に!?社内のネットワークをパワーアップさせたい!ということで、
ネットワーク機器も購入しました。
なので、今回はそれをご紹介したいと思います。

1.jpg

こちらの3台になります!

何に使うの?

・一番下がL2スイッチ
型番:Cisco Catalyst 2960L-24PS-LL(以下 L2スイッチと呼びます)
社内に無線のAPが何台か設置されてまして、
社内ネットワーク専用のSSIDが作成されていますが、
既存のSSIDとは別に、インターネット専用のSSIDを作成したい。
そして、SSIDの接続情報を会議室等に書いておけば、
お客様が弊社にいらっしゃった際に、自由にご利用いただけて便利なはず!!
ということで設定するために購入。
無線APにはPoEで給電しているので、
PoE + タグVLANに対応しているスイッチを選定

・真ん中がルーター
型番:CISCO 1812J
お勉強用のルーター

・一番上がUTM
型番:Fortinet FortiGate-50E(以下 UTMと呼びます)
サテライトオフィスを新設するということで、
そこで利用するルータ + FWとして購入。

ということで、
実際に機器を配置する前にお試し設定してみたいと思います。

どんな構成にするか

15.jpg

Surface Hubのホワイトボードに書いてみました。

UTMでVLAN

ということで、UTMのVLAN設定をしていきます。
電源ONして、PCとUTMのLAN1を接続します。

2.jpg

リンクアップして1がピカピカしてます。

4.png

PCのネットワーク画面を確認すると、
DHCPでIPとゲートウェイ(画面項目:ルーター)が取得出来ています。

ブラウザを開いて、
https://192.168.1.99/
にアクセスすると、

5.png

管理画面が出てきました。とっても簡単!
デフォルト設定は
 User Name:admin
 Password:(なし)
になります。

6.png

ログインするとこんな感じ。

7.png

設定画面にログインして、Network - Interfaces を開きます。

lanポートが「Switch Mode」になっているようで、1~5がひとつのグループになってます。
今回は、
 lan1:社内ネットワーク(VLAN100)
 lan2:インターネット専用ネットワーク(VLAN200)
 lan3:スイッチと接続(タグVLAN)
という感じに設定したいので、
lanポートをバラバラで使う「Interface Mode」に変えたいと思います。

CLIから設定する必要があるようなので、

8.png

Dashboard を開いて、CLI Console を使います。

# config system global

(global) # set internal-switch-mode interface

command parse error before 'internal-switch-mode'
Command fail. Return code -61

インターネットで調べたコマンドを発行してみたのですが、
そんなコマンド知らないと言われてしまいました。
新しいやつは、画面から出来るのか?と探してみると、

9.png

Network - Interfaces を開いて、Hardware Switch欄にある lan をダブルクリックすると、
なんだか設定出来そうな画面を見つけました。
Physical Interface Members を減らしたりできそうです。

10.png

lan1、lan2、lan3を削除して、OKを押して保存します。

するとUTMのlan1の設定が変わってしまい通信できなくなったので、
PCをlan4に接続し、管理画面を再度表示しました。

11.png

きました!
Physical欄に個別のインタフェースとして表示されました。

続いてVLANインタフェースを作ってみます。
設定は以下の通りです。

■lan1の設定
 VLAN ID:100
  Interface:lan1
  IP:192.168.12.1/255.255.255.0
  Administrative Access:HTTPS、PING、SSH

■lan2の設定
 VLAN ID:200
  Interface:lan2
  IP:192.168.13.1/255.255.255.0
  Administrative Access:HTTPS、PING、SSH

■lan3の設定
 VLAN ID:100
  Interface:lan3
  Administrative Access:HTTPS、PING、SSH

 VLAN ID:200
  Interface:lan3
  Administrative Access:HTTPS、PING、SSH

画面でポチポチ登録していきます。

12.png

設定するとこんな感じになります。

これで設定OKなはずなので、動作確認をしてみます。
PCをlan1に接続して、IPを固定で設定して、
https://192.168.12.1/ にアクセスすると、
管理画面が出てきま・・・・・・せんでした。

実は設定中も違和感がありまして、
lan3にVLAN100を割り当てる際に、

This name is already in use by another interface.

というエラーメッセージが出たので、
VLAN100-TRUNKという名前にしてとりあえず登録していました。
そもそもこんなエラーになるということは、
設定の仕方自体に誤りがある気がして、
マニュアル様を確認してみます。

マニュアル確認すると、
VLANインタフェースはタグVLANを使う時だけ設定するようで、
そもそも想定していた以下の構成では設定はできないようです。

設定したいと思っていた構成

内部的なVLANインタフェースに、それぞれの物理ポートをぶら下げていくイメージ
int3のように複数にぶら下がっている場合はタグVLANとして動く

UTM
 ┣ VLAN100
 ┃  ┣ int1
 ┃  ┗ int3
 ┗ VLAN200
      ┣ int2
      ┗ int3
上記手順で設定した結果の構成

各物理インタフェース(lan1、lan2、lan3)で独立したネットワークとして扱われる。
また、VLANインタフェースを設定すると、VLAN設定は1つでもタグVLANとして扱われる。
VLAN100とVLAN100-TRUNKは、両方ともVLAN IDを100としているが、
同じVLANに所属しているという扱いにならない。


UTM
 ┣ int1
 ┃  ┗ VLAN100
 ┣ int2
 ┃  ┗ VLAN200
 ┗ int3
      ┣ VLAN100-TRUNK
      ┗ VLAN200-TRUNK

ということで想定した構成にはなっておらず、
また、設定したいと思っていた構成にすることは仕様上無理なようでした。 つまり、UTMのinternalポートをスイッチポートのように使うのは不可のようです。

16.jpg

こんな感じに構成を変更したいと思います。

UTMの設定を変更します。
lan1、lan2に設定していたVLAN設定が不要なので削除して、
lan3に設定したVLAN設定にゲートウェイとして使うIPアドレスを設定しました。

14.png

設定後はこんな感じになります。

動作確認にL2スイッチも必要になるので、
以下のように設定します。

interface GigabitEthernet0/1
 switchport access vlan 100

interface GigabitEthernet0/24
 switchport mode trunk

interface Vlan100
 no ip address
 no ip route-cache

interface Vlan200
 no ip address
 no ip route-cache

PCのネットワーク設定を変更します。

13.png

PCのIPアドレス:192.168.12.100 を設定して、
L2スイッチの1番ポートに接続してすると通信できました!
結果は以下のとおりです。

$ ping 192.168.12.1
PING 192.168.12.1 (192.168.12.1): 56 data bytes
64 bytes from 192.168.12.1: icmp_seq=0 ttl=255 time=0.629 ms
64 bytes from 192.168.12.1: icmp_seq=1 ttl=255 time=0.540 ms
64 bytes from 192.168.12.1: icmp_seq=2 ttl=255 time=0.603 ms
64 bytes from 192.168.12.1: icmp_seq=3 ttl=255 time=0.539 ms
64 bytes from 192.168.12.1: icmp_seq=4 ttl=255 time=0.581 ms
--- 192.168.12.1 ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.539/0.578/0.629/0.035 ms

やっとUTMの気持ちになれた!?

やっぱりネットワークの設定は難しいですね。
ネットワーク機器の気持ちにならないとダメだということを、改めて認識した次第です。
でも、、、思ったとおりに動くとすごくうれしい!
それではまた次回をお楽しみに、さよなら、さよなら、さよなら。