Why would you do that?
FortiGateでunTagフレームとTagフレームを一つの物理ポート(internal)から出力したい。
普通ならいらないこの構成。
自宅マンションの物理接続が各部屋に一本のLANケーブルなのに、unTag(プライベート用)、Tagフレーム(検証・仕事用)みたいな分け方をしたものだから、さあ大変。
上位ルータ兼FWとして使用しているFortiGateへTrunkポートを作って、unTagフレームと(VLAN 1)とTagフレーム(VLAN172)を出力する羽目になった。
自分のメモ用として残しておく。
構成
ルータ兼FW:FortiGate60E ⇒ version:FortiOS6.0.4
・wan1ポートをインターネット用LANケーブルを接続
・internal1,internal2を各部屋のLANケーブルに接続
・internal1,internal2にはVLAN1(192.168.100.0/24)とVLAN172(172.16.0.0/24)を流す。
(どこか後で絵をかきます。)
手順
①ハードウェアスイッチを作成する。
→これはinternalをそのまま使っても問題ない。今回はinternal1~internal5までを対象にする。
(テストのため故意に別ハードウェアスイッチを作成している。)
ポイントはこのハードウェアスイッチ(1_HardwareSW)にIPアドレスを設定すること。これがuntagフレームを出力するためのセグメントになる。
②VLANインターフェースを作成する。今回はIPアドレスを172系を使用するためにVLANID:172を使用。名前も「VLAN172」に。
ポイントはこのインターフェースにはIPアドレスを設定しない。
③ソフトウェアスイッチを作成し、「VLAN172」をメンバーに参加させる
そしてこのソフトウェアスイッチには、「VLAN172」のIPアドレスを設定する。
そうすると、internal1~internal5で、VLAN172とuntagのTrunkポートが作成できる。なんだこの仕様。
※注意※
ここまでの手順だと、各セグメント内の通信は可能なものの、セグメント間では通信できないし、インターネット抜けも不可。
ポリシーに入力インターフェース(ソフトウェアスイッチ)⇒出力インターフェース(wan1)を設定しないといけません。
参考