どうも社内ニートです。
今回はFortiGateでスタティックルートを設定する方法をご紹介します。
本記事ではFortiOS6.2.2を使用しています。
スタティックルートの設定方法
FortiGateでスタティックルートを設定する方法は、
GUIとCLI2種類があります。
設定をしやすいのはGUIになりますが、
スタティックルートを設定する数が多い場合は、
あらかじめConfigを作成しておきCLIで流し込んだ方が楽です。
GUIで設定する方法
GUIでログインした後、
『ネットワーク』→『スタティックルート』
『新規作成』を押下
スタティックルートを設定する画面が開きます。
今回はLAN側にデフォルトルートを設定していきます。
各値を入力→『OK』を押下
宛先:0.0.0.0/0.0.0.0
ゲートウェイアドレス:192.168.1.1
インタフェース:internal
その他はデフォルト
『OK』を押下すると先ほどの画面に遷移し、スタティックルートの設定完了です。
それでは各設定項目について説明していきます。
【必須】の設定項目と【任意】の設定項目があります。
【任意】の設定項目はデフォルトの値が用意されている項目もあり、
その値を消してしまってはエラーが表示されてしまいますのでご注意ください。
ダイナミックゲートウェイ【任意】
ダイナミックゲートウェイは、
インタフェースでPPPoEやDHCPを使用している場合に有効にします。
宛先【必須】
宛先にはサブネットとインターネットサービスという設定項目があります。
サブネット
通常のスタティックルートのように、ネットワークアドレスとサブネットマスクを入力します。
サブネットマスクは【255.255.255.0】のように2進数で記入する、
【/24】のように10進数で記入する、どちらの方法で記入しても大丈夫です。
インターネットサービス
インターネットサービスでは、FortiGateが独自のデータベースを持っており、
そこに登録されているアプリケーションを指定してルーティングを設定することができます。
一般的にブレークアウトで使用します。
このデータベースはインターネットサービスデータベース、ISDBと呼ばれます。
詳細については別途記載します
ゲートウェイアドレス【任意】
ゲートウェイアドレスつまりネクストホップを設定します。
インタフェース【必須】
ネクストホップがあるインタフェースを設定します。
もしくはPPPoEやDHCPを使用しているインタフェースを設定します。
アドミニストレーティブ・ディスタンス【任意】
いわゆるAD値です。
FortiGateの場合スタティックルートのデフォルトのAD値は10となっています。
変更したい場合は1~255の数字を入力してください。
コメント【任意】
コメント、ディスクリプションです。
好きな文字を入力することができます。
【For_Management】のように用途を入力することが多いです。
ステータス【任意】
文字の通りですが、有効化すればスタティックルートが有効になり、
無効化すればスタティックルートが無効になります。
いちいち削除するのではなく、設定はそのままで停止することができるので、
検証やトラブルシューティングで一時的にスタティックルートを消したい場合に便利です。
プライオリティ【任意】
プライオリティはFortiGate独自の値となります。
プライオリティ値はAD値と同様で低い方が優先となります。
AD値は先ほどご紹介した『アドミニストレ―ティブ・ディスタンス』になり、
AD値とは異なる設定値になります。
AD値が異なる場合は、
ルーティングテーブル上にはAD値が低い(優先の)ルーティングしか表示されません。
AD値が同一でプライオリティが異なる場合は、
ルーティングテーブル上には2つのルーティングが表示されます。
実際に使用されるのはプライオリティが低い(優先の)ルーティングになります。
詳細はPBR(Policy Base Routing)でご紹介しますが、
FortiGateはルーティングテーブル上にルーティングがないとPBRが動作しません。
無理やりルーティングテーブル上に載せて、
PBRを動作させるためプライオリティを設定します。
PBRを使用しないのであれば、プライオリティを意識する必要はありません。
エラー表示
【必須】の設定項目を入力していない場合や、
入力形式が間違っている場合はエラーが表示されます。
設定値を入力している段階でエラー箇所は赤く色付けされ、
間違っている理由まで表示されます。
エラーが表示されている状態では『OK』を押下することができませんので、
間違った状態で設定することができないようになっています。
CLIで設定する方法
スタティックルートをCLIで設定する方法をご紹介します。
先ほどGUIで設定した下記値をCLIで設定していきます。
宛先:0.0.0.0/0.0.0.0
ゲートウェイアドレス:192.168.1.1
インタフェース:internal
その他はデフォルト
この入力値をConfigで表すとこのようになります。
config router static edit 1 set dst 0.0.0.0/0.0.0.0 set gateway 192.168.1.1 set device internal next end
こちらを実機に流し込んでいきます。
設定したものを確認する場合は『show router static』を使用します。
ただし、設定値がデフォルトのものは表示されません。
設定値すべてを表示したい場合は、
『show full-configuration router static』を使用します。
各設定項目を具体的に見ていきます。
CLIはGUIよりも設定できる項目が多くあるのですが、
今回はGUIで設定可能な項目に絞ってご紹介していきます。
config router static
FortiGateは各設定がconfig階層に分かれています。
スタティックルートを設定する場合は『config router static』という階層になります。
スタティックルートの場合はconfig階層の配下にある、
『edit X(Xは数字)』という階層に各スタティックルートの設定をしていきます。
edit 1
editの階層にスタティックルートの設定をしていきます。
今回は『edit 1』を指定して、
入力後に『new entry ‘1’ added』とメッセージが表示されています。
メッセージの通りでスタティックルートを新規作成しているという意味になります。
スタティックルートを新規作成したい場合は、
『edit 2』のように重複していない数字を入力する必要があります。
数字は若番から使用していく必要や連番である必要はなく、
いきなり『edit 100』としても問題ありません。
既存のスタティックルートを編集したい場合は、
『edit 1』のように編集したい数字を入力してください。
Tips:『edit 0』
100番代は管理用のスタティックルートとして設定するというように、
番号を管理していないのであれば、新規作成の際に役立つ便利な機能です。
set dynamic-gateway【任意】
GUIの『ダイナミックゲートウェイ』に該当します。
今回の設定では使用していませんので『disable(デフォルト)』となっています。
PPPoEやDHCPを使用している場合で有効にする場合は
set dynamic-gateway enable
と設定します。
set dst【必須】
GUIの『宛先』に該当します。
今回は明示的に
set dst 0.0.0.0/0.0.0.0
を入力しています。
本来はデフォルトルートを作成する場合は、
宛先のデフォルトの値が『0.0.0.0/0.0.0.0』となっているので入力しなくても大丈夫です。
CLIでもサブネットマスクは【255.255.255.0】のように2進数で記入する、
【/24】のように10進数で記入する、どちらの方法で記入しても大丈夫です。
set gateway【任意】
GUIの『ゲートウェイアドレス』に該当します。
今回は
set gateway 192.168.1.1
を入力しています。
set device【必須】
GUIの『インタフェース』に該当します。
今回は
set device internal
を入力しています。
set distance【任意】
GUIの『アドミニストレ―ティブ・ディスタンス』に該当します。
今回の設定では『10(デフォルト)』から変更していませんが、
変更する場合は、1~255の数字を入力して設定することができます。
set distance X <1>-<255>
set comment【任意】
GUIの『コメント』に該当します。
今回の設定は何も入力していませんが、
入力する場合は
set comment "For_Management"
のように設定を行います。
set status【任意】
GUIの『ステータス』に該当します。
今回の設定は『enable(デフォルト)』となっています。
無効にする場合は、
set status disable
を入力します。
set priority【任意】
GUIの『プライオリティ』に該当します。
今回の設定では『0(デフォルト)』から変更していません。
値を変更する場合は、0~4294967295の数字を入力して設定することができます。
set priority X <0>-<4294967295>
のように設定を行います。
next
『next』はeditの階層を抜けるコマンドになります。
FortiGateの場合はCiscoの『write memory』のような保存コマンドがありませんので、
nextを実行したときに保存が実行されます。
end
『end』はconfigの階層を抜けるコマンドになります。
エラー表示
CLIでもサブネットに間違った値を入力してしまった場合はエラーが表示されます。
例えば『edit 2』で新規スタティックルートを作成し、
必須項目である『set device』を設定し忘れて『next』を入力ししまいました。
エラーは表示され、何の設定が足りないかまで表示はしてくれるのですが、
『next』が実行された後にエラーが表示されます。
エラー状態で設定として正しくないので、
今まで設定した『edit 2』は保存されておらず、再度入力しなおす必要があります。
是非『next』の実行前にエラー表示が出るように変更して頂きたいものです。。
まとめ
FortiGateでスタティックルートを設定する方法をGUIとCLI、2種類の方法をご紹介しました。
どちらの設定方法も一長一短であるため、両方で設定できた方がいいですね。
エラーの表示の仕方が親切 |
||
エラーの場合は再入力が必要となる場合がある |
スタティックルート以外の設定についてはこちらに記載しています。
