FortiGateにはオペレーションモードとして、「トランスペアレントモード」と「NATモード」があります。
FWとして利用する上では、ほとんどの場合は「NATモード」として利用すると思いますが、両モードの違いについて解説していきたいと思います。
デフォルトはNATモードです。
Contents
モードの設定方法
デフォルトはNATモードとなっているため、トランスペアレントモードに変更する場合は、
CLIにて下記コマンドを入力します。
#config system setting
#set opmode transparent
#set manageip 192.168.1.100 255.255.255.0
#set gateway 192.168.1.254
「manegeip」の入力ができていない場合は、下記エラーとなります。
node_check_object fail! for manageip
Attribute ‘manageip’ MUST be set.
Command fail. Return code -651
トランスペアレントモードへ変更が完了すると、GUI上からも設定が確認できます。
[システム] > [設定]の[システムオペレーション設定]にて確認可能です。
トランスペアレントモード
トランスペアレントとは、日本語訳すると「透過」という意味なりますが、FortiGateでルーティングせずに、L2として利用する場合にトランスペアレントモードを設定します。
L2スイッチのようなイメージで、IPアドレスは1つの管理用アドレスしか持てず、ルーティングもできません。VLANは作成でき、VLAN間やポート間でポリシーを作成することが可能です。
VLANの作成
[ネットワーク] > [インターフェース]の[新規作成] > [インターフェース]にて、VLANを作成します。
ポリシールールの作成
先ほど作成したVLAN間でポリシールールを作成することができます。
[ポリシー&オブジェクト] > [IPv4ポリシー]の[新規作成]にて、ポリシーを作成します。
NATモード
一方でNATモードはL3で利用する場合になります。
つまり、IPアドレスの複数作成や、ルーティングをすることができます。
通常のインターネットFWで利用する場合はこちらのモードを選択することになります。
VLANインターフェースの設定
トランスペアレントモードの際に作成したVLANにはIPアドレスを割り当てることが可能です。
[ネットワーク] > [インターフェース]の[新規作成] > [インターフェース]にて、VLANを作成します。
ポリシールールの作成
トランスペアレントモードの際に作成したポリシーは消えますので、再度作成します。
「VLAN10セグメント」と「VLAN20セグメント」のようにアドレスオブジェクトの作成も行いました。
参考書籍
コメント