FortiGate IT セキュリティ ネットワーク

FortiGateでスタティックルートを設定する方法

投稿日:2020年4月19日 更新日:

どうも社内ニートです。

今回はFortiGateでスタティックルートを設定する方法をご紹介します。
本記事ではFortiOS6.2.2を使用しています。

スタティックルートの設定方法

FortiGateでスタティックルートを設定する方法は、
GUIとCLI2種類があります。
設定をしやすいのはGUIになりますが、
スタティックルートを設定する数が多い場合は、
あらかじめConfigを作成しておきCLIで流し込んだ方が楽です。

GUIで設定する方法

GUIでログインした後、

操作
『ネットワーク』→『スタティックルート』

操作
『新規作成』を押下


スタティックルートを設定する画面が開きます。

今回はLAN側にデフォルトルートを設定していきます。

操作
各値を入力→『OK』を押下
入力値
宛先:0.0.0.0/0.0.0.0
ゲートウェイアドレス:192.168.1.1
インタフェース:internal
その他はデフォルト


OK』を押下すると先ほどの画面に遷移し、スタティックルートの設定完了です。

それでは各設定項目について説明していきます。
【必須】の設定項目と【任意】の設定項目があります。
【任意】の設定項目はデフォルトの値が用意されている項目もあり、
その値を消してしまってはエラーが表示されてしまいますのでご注意ください。

ダイナミックゲートウェイ【任意】

ダイナミックゲートウェイは、
インタフェースでPPPoEやDHCPを使用している場合に有効にします。

宛先【必須】

宛先にはサブネットとインターネットサービスという設定項目があります。

サブネット

通常のスタティックルートのように、ネットワークアドレスとサブネットマスクを入力します。
サブネットマスクは【255.255.255.0】のように2進数で記入する、
【/24】のように10進数で記入する、どちらの方法で記入しても大丈夫です。

インターネットサービス

インターネットサービスでは、FortiGateが独自のデータベースを持っており、
そこに登録されているアプリケーションを指定してルーティングを設定することができます。

一般的にブレークアウトで使用します。
このデータベースはインターネットサービスデータベース、ISDBと呼ばれます。
詳細については別途記載します

ゲートウェイアドレス【任意】

ゲートウェイアドレスつまりネクストホップを設定します。

インタフェース【必須】

ネクストホップがあるインタフェースを設定します。
もしくはPPPoEやDHCPを使用しているインタフェースを設定します。

アドミニストレーティブ・ディスタンス【任意】

いわゆるAD値です。
FortiGateの場合スタティックルートのデフォルトのAD値は10となっています。
変更したい場合は1~255の数字を入力してください。

コメント【任意】

コメント、ディスクリプションです。
好きな文字を入力することができます。
【For_Management】のように用途を入力することが多いです。

ステータス【任意】

文字の通りですが、有効化すればスタティックルートが有効になり、
無効化すればスタティックルートが無効になります。
いちいち削除するのではなく、設定はそのままで停止することができるので、
検証やトラブルシューティングで一時的にスタティックルートを消したい場合に便利です。

プライオリティ【任意】

プライオリティはFortiGate独自の値となります。
プライオリティ値はAD値と同様で低い方が優先となります。
AD値は先ほどご紹介した『アドミニストレ―ティブ・ディスタンス』になり、
AD値とは異なる設定値になります。
AD値が異なる場合は、
ルーティングテーブル上にはAD値が低い(優先の)ルーティングしか表示されません。
AD値が同一でプライオリティが異なる場合は、
ルーティングテーブル上には2つのルーティングが表示されます。
実際に使用されるのはプライオリティが低い(優先の)ルーティングになります。
詳細はPBR(Policy Base Routing)でご紹介しますが、
FortiGateはルーティングテーブル上にルーティングがないとPBRが動作しません。
無理やりルーティングテーブル上に載せて、
PBRを動作させるためプライオリティを設定します。
PBRを使用しないのであれば、プライオリティを意識する必要はありません。

エラー表示

【必須】の設定項目を入力していない場合や、

入力形式が間違っている場合はエラーが表示されます。

設定値を入力している段階でエラー箇所は赤く色付けされ、
間違っている理由まで表示されます。
エラーが表示されている状態では『OK』を押下することができませんので、
間違った状態で設定することができないようになっています。

CLIで設定する方法

スタティックルートをCLIで設定する方法をご紹介します。
先ほどGUIで設定した下記値をCLIで設定していきます。

入力値
宛先:0.0.0.0/0.0.0.0
ゲートウェイアドレス:192.168.1.1
インタフェース:internal
その他はデフォルト

この入力値をConfigで表すとこのようになります。

こちらを実機に流し込んでいきます。

設定したものを確認する場合は『show router static』を使用します。

ただし、設定値がデフォルトのものは表示されません。
設定値すべてを表示したい場合は、
show full-configuration router static』を使用します。

各設定項目を具体的に見ていきます。
CLIはGUIよりも設定できる項目が多くあるのですが、
今回はGUIで設定可能な項目に絞ってご紹介していきます。

config router static

FortiGateは各設定がconfig階層に分かれています。
スタティックルートを設定する場合は『config router static』という階層になります。
スタティックルートの場合はconfig階層の配下にある、
『edit X(Xは数字)』という階層に各スタティックルートの設定をしていきます。

edit 1

editの階層にスタティックルートの設定をしていきます。
今回は『edit 1』を指定して、
入力後に『new entry ‘1’ added』とメッセージが表示されています。
メッセージの通りでスタティックルートを新規作成しているという意味になります。
スタティックルートを新規作成したい場合は、
『edit 2』のように重複していない数字を入力する必要があります。
数字は若番から使用していく必要や連番である必要はなく、
いきなり『edit 100』としても問題ありません。
既存のスタティックルートを編集したい場合は、
『edit 1』のように編集したい数字を入力してください。

Tips:『edit 0』

『edit 0』と入力すると空いている自動採番を行ってくれます。
100番代は管理用のスタティックルートとして設定するというように、
番号を管理していないのであれば、新規作成の際に役立つ便利な機能です。

set dynamic-gateway【任意】

GUIの『ダイナミックゲートウェイ』に該当します。
今回の設定では使用していませんので『disable(デフォルト)』となっています。
PPPoEやDHCPを使用している場合で有効にする場合は

と設定します。

set dst【必須】

GUIの『宛先』に該当します。
今回は明示的に

を入力しています。
本来はデフォルトルートを作成する場合は、
宛先のデフォルトの値が『0.0.0.0/0.0.0.0』となっているので入力しなくても大丈夫です。
CLIでもサブネットマスクは【255.255.255.0】のように2進数で記入する、
【/24】のように10進数で記入する、どちらの方法で記入しても大丈夫です。

set gateway【任意】

GUIの『ゲートウェイアドレス』に該当します。
今回は

を入力しています。

set device【必須】

GUIの『インタフェース』に該当します。
今回は

を入力しています。

set distance【任意】

GUIの『アドミニストレ―ティブ・ディスタンス』に該当します。
今回の設定では『10(デフォルト)』から変更していませんが、
変更する場合は、1~255の数字を入力して設定することができます。

set comment【任意】

GUIの『コメント』に該当します。
今回の設定は何も入力していませんが、
入力する場合は

のように設定を行います。

set status【任意】

GUIの『ステータス』に該当します。
今回の設定は『enable(デフォルト)』となっています。
無効にする場合は、

を入力します。

set priority【任意】

GUIの『プライオリティ』に該当します。
今回の設定では『0(デフォルト)』から変更していません。
値を変更する場合は、0~4294967295の数字を入力して設定することができます。

のように設定を行います。

next

『next』はeditの階層を抜けるコマンドになります。
FortiGateの場合はCiscoの『write memory』のような保存コマンドがありませんので、
nextを実行したときに保存が実行されます。

end

『end』はconfigの階層を抜けるコマンドになります。

エラー表示

CLIでもサブネットに間違った値を入力してしまった場合はエラーが表示されます。

例えば『edit 2』で新規スタティックルートを作成し、
必須項目である『set device』を設定し忘れて『next』を入力ししまいました。

エラーは表示され、何の設定が足りないかまで表示はしてくれるのですが、
『next』が実行された後にエラーが表示されます。
エラー状態で設定として正しくないので、
今まで設定した『edit 2』は保存されておらず、再度入力しなおす必要があります。
是非『next』の実行前にエラー表示が出るように変更して頂きたいものです。。

まとめ

FortiGateでスタティックルートを設定する方法をGUIとCLI、2種類の方法をご紹介しました。
どちらの設定方法も一長一短であるため、両方で設定できた方がいいですね。

GUI
CLI
メリット
設定が楽
エラーの表示の仕方が親切
流し込みで複数設定できる
デメリット
複数設定に向かない
GUIよりは設定が難しい
エラーの場合は再入力が必要となる場合がある

スタティックルート以外の設定についてはこちらに記載しています。

-FortiGate, IT, セキュリティ, ネットワーク

Copyright© 社内ニート@ネットワークブログ , 2020 All Rights Reserved Powered by STINGER.