NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

トップ > セキュリティ > Fortigate の VDOM について

Fortigate の VDOM について

セキュリティ セキュリティ-Fortigate

VDOM とは

VDOM(Virtual Domain:仮想ドメイン)は仮想ファイアウォール機能です。
VDOM により、標準で 10 台の仮想 FortiGate を構築可能です(一部、機種を除く)。
VDOM を複数作成することによって、VDOM ごとにモード設定、VPN 設定、ファイアウォール/UTM 設定、管理者設定、WEBUI 設定、VLAN 設定を個別に管理することができます。
FortiOS が提供する VPN/ファイアウォール、UTM 機能は VDOM アーキテクチャ上に構築されます。
VDOM 毎に利用するアドレス設定を管理され、VDOM が異なれば、アドレス重複可能です。
出典:日立ソリューションズ

f:id:FriendsNow:20210131150657p:plain:w600
出典:Fortigate Document Library

VDOM の利用方法

CLI による基本的な設定例です。
VDOM を有効化します。

config system global
set vdom-admin enable
end

上記を実行すると、ログオフするように促されますので「y」を入力します。これで VDOM が有効になります。

You will be logged out for the operation to take effect.
Do you want to continue? (y/n)y

VDOM を作成します。本例では、「VDOM-A」という名前の VDOM を作成します。

config vdom
edit VDOM-A
end

VDOM を利用する上で必要な操作は以上で、非常に簡単です。
VDOM 作成後は、VDOM ごとに GUI や CLI で設定が可能となります。

VDOM の活用例

複数の VDOM は、複数の物理インターフェースを束ねた LAG(Link Aggregation)インターフェースを共通で使用することが可能です。
例えば、以下のように VDOM-A と VDOM-B 上で PPPoE/NAT/IPsec を動作させ、これらのトラフィックを共通の LAG インターフェース上を流すといったことが可能です。

(例)VDOM-A と VDOM-B を1つの共通の LAG へ紐づけ

f:id:FriendsNow:20151031233541p:plain:w400

設定例

VDOM の有効化

config system global
set vdom-admin enable
end

VDOMの作成

config vdom
edit VDOM-A
next
edit VDOM-B
end

LAG(LACP)の設定
※LAG インターフェースは、root VDOM に所属する必要があります。

config vdom
edit root
config system interface
edit wan-lag
set vdom "root"
set type aggregate
set member "port1" "port2"
set lacp-mode active
next
edit lan-lag
set vdom "root"
set type aggregate
set member "port3" "port4"
set lacp-mode active
end

LAG の状態確認

config vdom
edit root
config system  interface
get

VDOM-A、VLAN100を適用したインターフェース"lan-lag-v100"を作成し、LAG を関連付け

config system interface
edit "lan-lag-v100"
set vdom "VDOM-A"
set ip 192.168.1.254 255.255.255.0
set interface "lan-lag"
set vlanid 100
end

VDOM-B、VLAN200を適用したインターフェース"lan-lag-v200"を作成し、LAG を関連付け

config system interface
edit "lan-lag-v200"
set vdom "VDOM-B"
set ip 192.168.2.254 255.255.255.0
set interface "lan-lag"
set vlanid 200
end

VDOM-A、VLAN10を適用したインターフェース"wan-lag-v10"を作成し、LAG を関連付け
同時にインターフェースで PPPoE を有効化

config vdom
edit VDOM-A
config system interface
edit wan-lag-v10
set mode pppoe
set username "aaa@example.com"
set password ****
set interface "wan-lag"
set vlanid 10
set vdom VDOM-A
end

VDOM-B、VLAN20を適用したインターフェース"wan-lag-v20"を作成し、LAG を関連付け
同時にインターフェースで PPPoE を有効化

config vdom
edit VDOM-B
config system interface
edit wan-lag-v20
set mode pppoe
set username "bbb@example.com"
set password ****
set interface "wan-lag"
set vlanid 20
set vdom VDOM-B
end

参考書籍

以上