本ブログは、日々お客様よりいただくネットワーク・セキュリティプロダクトに関するお問い合わせを、
エンジニア2年生が先輩の指導を受けながら検証などを行い、回答した内容を一問一答方式でまとめたブログです。

＜お問い合わせ NO.8 Virual-wire pair＞

使用機器はFortiGateを想定しています。
FortiOSは6.2です。

今回頂いたお問い合わせは以下の通りです。

• VDOMを分けずに透過的にセキュリティポリシーを適用することは可能ですか？

FortiGateにはトランスペアレントモードというL2スイッチのように使い透過的にポリシーを適用する機能があります。
詳細は<お問い合わせNo.5 Transparent mode>をご参照ください。

バーチャルワイヤペアは上記と類似した機能ですが、トランスペアレントはVDOMごとに設定するため、
NATモードと併用するにはVDOMを複数に分ける必要があります。
しかしバーチャルワイヤペアでは同一のVDOM内で物理インターフェースを2つ使うことで、
透過的なポリシーの適用が可能です。
下図はバーチャルワイヤペアとトランスペアレントモードのイメージです。

以下では設定方法を紹介していきます。

<バーチャルワイヤペアの作成>

バーチャルワイヤペアを設定するにあたり前提条件は以下の通りです。

• FortiOS 5.4以降であること
• バーチャルワイヤペアにするインターフェースは物理インターフェースであること
• 必ず2ポートの物理インターフェースを利用すること

インターフェース > ネットワークの新規作成からバーチャルワイヤペアを選択します。
名前を付け、ペアにする物理インターフェースメンバを選び作成します。
この時、802.3adインターフェースとRedundantインターフェースもバーチャルワイヤーのメンバとして選出可能です。
しかしVLANを持つインターフェースやハードウェアスイッチ、ソフトウェアスイッチに所属するインターフェースは選択できません。

作成されたバーチャルワイヤペアは以下のように表示されます。

注意事項としてバーチャルワイヤペアにセットされた物理インターフェースは仮想的なワイヤーとして機能するためIPアドレスをもちません。
そのためバーチャルワイヤペアの作成前にマネジメントの役割を持つポートを設定してください。
またバーチャルワイヤペアとして動作している物理インターフェースはその他のインターフェースとの通信はできません。

<ポリシー設定>

ポリシーを設定する際は、通常のIPv4ポリシーではなくIPv4バーチャルワイヤペアポリシーから行います。
IPv4バーチャルワイヤペアポリシー > ポリシー&オブジェクトのページに移動し、新規作成を行います。
この時IPv4バーチャルワイヤペアポリシーが表示されない場合はページを更新するか、一度ログアウトして再度ログインし直してください。

ポリシーは片方、あるいは双方向で設定が可能です。

<確認>

実際にワイヤの両端に機器を接続して通信を行います。
この時FortiGateのarpテーブルとインターフェースの状態を確認すると以下のように表示されます。

バーチャルワイヤペアはarpテーブルを持たないため、
IPアドレス、MACアドレスの情報が表示されていません。
またインターフェースにIPアドレスは設定されていませんが、ステータスがアップしていることが確認できます。

<VLANトランクリンク>

バーチャルワイヤペアではVLANトランクの通信が可能です。
バーチャルワイヤペアの作成・編集画面より、ワイルドカードVLANを有効にします。
VLANフィルタには許可したいタグVLANの範囲を入力することでVLANトラフィックがバーチャルワイヤ上を通過できます。

----------------------

検証後記

バーチャルワイヤペアはレイヤ1で動作するため、MACアドレステーブルを持ちません。
そのため応答MACアドレスと要求MACアドレスが異なるDirect Server Return(DSR)のようなトポロジでの利用に役立ちます。

トランスペアレントモードと比べ、
同一VDOM上でのNATモードとの共存が行えるため、柔軟なネットワークの設計が可能です。
しかし透過対応ポートは必ず1対1で設定する必要がある点、
ゾーンが利用できない等、様々な制限もあるため導入の際は注意が必要です。

以上