FortiGateのVDOMとは?VDOMの設定方法とVDOMを削除できない時に確認するポイント
FortiGateには、1台のFortiGate上に、仮想のFortiGateを構築するVDOMという機能があります。
本来複数のUTMを用意しなければならないネットワークでも、VDOMを使うことで、物理的にFortiGate1台にUTMを集約できます。複数のシステムを持つ大規模なネットワークで使われる場面が多い機能です。
本記事では、VDOMの設定方法や、VDOMを削除できない時に確認するポイントについて紹介します。
VDOMとは
VDOMは1台のFortiGateを複数の仮想ユニットに分割する機能です。VDOMごとにIPアドレスや、セキュリティポリシーを設定できます。
VDOMを設定した機器は、物理的にひとつの機器を通って通信しますが、内部的には独立しており、それぞれのルーティングポリシーに従って通信します。そのため、VDOM間でルーティングを許可しない限り、VDOM間は通信ができないため、注意が必要です。
VDOMの設定方法
FortiGateでVDOMを設定する手順は以下の通りです。
- VDOMの有効化
- VDOMの作成
- VDOMリンクの作成
- ポートの設定
- ポリシー、ルートの設定
GUIでも設定ができますが、ここではCLIでの設定方法とコマンドを紹介します。
VDOMの有効化
グローバル階層に移動し、VDOM機能を有効化します。
config system global
set vdom-admin enableVDOMの作成
VDOM階層に移動し、新規VDOMを作成します。
config vdom
edit 【VDOM名】VDOMリンクの作成
VDOMリンク階層に移動し、VDOMリンクを作成します。
config system vdom-link
edit 【VDOMリンク名】VDOMリンクが作成できたら、インターフェース階層に移動し、作成したVDOMリンクを割り当てます。
config system interface
edit 【VDOMリンク名】
set vdom 【VDOM名】ポートの設定
インターフェースにVDOMを割り当てます。
config system interface
edit internal【インターフェース番号】
set vdom 【VDOM名】ポリシー、ルートの設定
作成したVDOMごとに設定が必要なこと以外は、通常の設定方法と変わりません。
VDOMを削除できない時に確認するポイント
VDOMを削除できない場合は、以下の2点を試してみましょう。
- CLIコマンドで削除する
- VDOMに紐づく設定を削除する
CLIコマンドで削除する
VDOMをGUIから削除した後、再び表示されてしまうこともあります。その場合は、CLIの削除コマンドを利用しましょう。
execute log device vdom delete
VDOMに紐づく設定を削除する
以下のようなエラーが表示されて削除できない場合があります。
The entry is used by other 3 entries
これは、削除したいVDOMが他の設定で使用されているため、削除できないというメッセージです。
参照されている該当の設定を削除することで、VDOMを削除できます。
VDOMリンクに紐づいているインターフェースや、ポリシー、ルートの設定を別のVDOMに移動するか、削除して、参照されている該当の設定をVDOMから除外しましょう。
https://ssaits.jp/promapedia/tag/ネットワークのトラブル