ハードウェアスイッチとは、異なる物理ポートをグループ化し、単一のインターフェイスとして使用できるようにした仮想的なインターフェースです。 仮想インタフェースであるハードウェアスイッチに物理ポートを紐づけます。
Fortigate 60Fを用いて、ハードウェアスイッチの設定、動作確認をします。
ハードウェアスイッチ設定の確認
Fortigate 60Fの外観をみると、番号1から5が割り当てられた物理ポートがあります。 デフォルトでハードウェアスイッチが設定されており、物理ポート1から5はこのハードウェアスイッチに割り当てられています。
実際の設定を確認します。
ネットワーク >> インタフェースを確認すると、デフォルトでは、internalという名前のハードウェアスイッチに物理ポート1〜5が割り当てされています。
internalをクリックすると、インターフェースメンバーに、internal1〜internal5という名称で物理ポートが割り当てられていることが確認できます。
internal1〜internal5 は同一セグメント上のポートとして設定されているため、このポート間はセキュリティ制限なく通信できます。
デフォルトではinternal1〜internal5は同一セグメントですが、例えば、internal1〜internal3 と internal4〜internal5 でセグメントを分けることも可能です。 この場合はハードウェアスイッチを新しく作成する必要があります。
ハードウェアスイッチの追加
まず、デフォルトのハードウェアスイッチ internal から internal4〜internal5 を外します。
すると、internal4、internal5が消えるので、OKをクリックします。
internal4とinternal5がハードウェアスイッチから外れ、物理インタフェースとなりました。
では、internal4とinternal5を所属させる新しいハードウェアスイッチを作成します。左上にある新規作成からインタフェースを選択します。
HW-Switch-4-5という名前のハードウェアスイッチを作成し、192.168.2.0/24のセグメントを割り当てます。
- インターフェース名:任意の名前。HW-Switch-4-5とします。
- タイプ:ハードウェアスイッチを選択
- インターフェースメンバー:internal4, internal5を選択
- IP/ネットワークマスク:192.168.2.99/24を設定
OKをクリックすると、以下のとおり、新しいハードウェアスイッチ(HW-Switch-4-5)にポート4と5が割り当てられていることが確認できます。
動作確認
では、ポート1と5に端末を接続し、pingを実行してみますが、疎通できません。
同一ハードウェアスイッチ内ではセキュリティ制限なく通信できますが、異なるハードウェアスイッチ間はインタフェースが異なるため、セキュリティポリシーを設定する必要があります。
ポリシー&オブジェクト >> ファイアウォールポリシーより、入力インターフェース、出力インターフェースにハードウェアスイッチを選択し、ハードウェアスイッチ間のポリシーを作成します。
ポリシー設定後、異なるハードウェアスイッチ間で疎通できるようになりました。
コメント