NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

Fortigate の VDOM について

FortiGateでは VDOM(Virtual Domain)によって、1台の Forti Gate 状に複数の仮想 Fortigate を構築することが可能です。また、複数の VDOM は、複数の物理インターフェースを束ねた LAG(Link Aggregation)インターフェースを共通で使用することが可能です。
例えば、以下のように VDOM-A と VDOM-B 上で PPPoE/NAT/IPsec を動作させ、これらのトラフィックを共通の LAG インターフェース上を流すといったことが可能です。

(例)VDOM-A と VDOM-B を1つの共通の LAG へ紐づけ

f:id:FriendsNow:20151031233541p:plain:w400

VDOM の設定

VDOM の有効化

config system global
set vdom-admin enable
end

VDOMの作成

config vdom
edit VDOM-A
next
edit VDOM-B
end
LAG(LACP)の設定*1
config vdom
edit root
config system interface
edit wan-lag
set vdom "root"
set type aggregate
set member "port1" "port2"
set lacp-mode active
next
edit lan-lag
set vdom "root"
set type aggregate
set member "port3" "port4"
set lacp-mode active
end

LAG 状態の確認

config vdom
edit root
config system  interface
get
VDOM のインターフェース設定と LAG への紐づけ

VDOM-A、VLAN100を適用したインターフェース"lan-lag-v100"を作成し、LAG を関連付け

config system interface
edit "lan-lag-v100"
set vdom "VDOM-A"
set ip 192.168.1.254 255.255.255.0
set interface "lan-lag"
set vlanid 100
end

VDOM-B、VLAN200を適用したインターフェース"lan-lag-v200"を作成し、LAG を関連付け

config system interface
edit "lan-lag-v200"
set vdom "VDOM-B"
set ip 192.168.2.254 255.255.255.0
set interface "lan-lag"
set vlanid 200
end

VDOM-A、VLAN10を適用したインターフェース"wan-lag-v10"を作成し、LAG を関連付け*2

config vdom
edit VDOM-A
config system interface
edit wan-lag-v10
set mode pppoe
set username "aaa@example.com"
set password ****
set interface "wan-lag"
set vlanid 10
set vdom VDOM-A
end

VDOM-B、VLAN20を適用したインターフェース"wan-lag-v20"を作成し、LAG を関連付け*3

config vdom
edit VDOM-B
config system interface
edit wan-lag-v20
set mode pppoe
set username "bbb@example.com"
set password ****
set interface "wan-lag"
set vlanid 20
set vdom VDOM-B
end

*1:LAG インターフェースは、root VDOM に所属する必要があります。

*2:同時にインターフェースで PPPoE を有効化

*3:同時にインターフェースで PPPoE を有効化