FortigateのEnhanced MAC VLANs(EMAC-VLAN)を試してみました．

help.fortinet.com

Enhanced MAC VLANsを使った動機

自宅のインターネットでは，ISPからのDHCP(Dynamic Host Configuration Protocol)かStaticでグローバルIPアドレスをインターフェースに割り振ることにより，インターネットへとつなぐことができます．

LANコンセントは一つしかないため，DHCPを使用した場合は，固定ではないグローバルIPアドレスを使う必要がありますし，StaticなグローバルIPアドレスを使うとDHCP側のグローバルIPアドレスを使うことができません．

そこで，仮想的に複数のインターフェースを構成できるEMAC-VLANを使ってみました．

検証環境

• Fortigate 90d
  • FortiOS v6.0.9 build0335 (GA)

EMAC-VLANの作成

まず，FortigateのGUIにログインをします． 次に，Network -> Interfacesを選択します．

次に，上の[Create New]ボタンを[Interface]を選択します．
選択すると，Interfaceの作成画面が表示されます．
この時に，Typeの部分でEMAC VLANを選択して，Addressing modeをDHCPにします．
物理的なInterfaceと紐づける部分は，wan1を選択します．

正常に仮想的なInterfaceが作成されると以下の画像のように，wan1の下にemac-wanが作られます． また，emac-wanをダブルクリックすることにより，ISPからDHCPが払い出されているかを確認できます．

WANの設定

次に物理的なインターフェースであるWAN1にIPアドレスを設定します．
こちらは，固定のグローバルIPアドレスを使用したいので，ManualでグローバルIPアドレスを設定します．(大半の方はPPPoEだと思います)

SD-WANの設定

上記の設定で，固定のグローバルIPアドレスとISPからDHCP経由でプライベートIPアドレスを取得することができます．
このままでは，固定のグローバルIPアドレスからしかインターネットにアクセスしないため，SD-WAN機能を利用して，振り分けを行います．

Network->SD-WANを選択します．
SD-WANを有効化し，SD-WAN Interface Membersに EMAC-VLANで作成したインターフェースとwan1を追加します．

最後に，SD-WAN Rulesの設定をします． SD-WAN Rulesにルールを追加することにより，特定のInterfaceからの通信をemac-wanのみに流すといった設定ができます． 今回はinternal2のポートから来たトラヒックをemac-wanに流す設定を追加します．

これで，通信ごとに違う経路でインターネットにアクセスすることができます． 以下の画像に違うインターフェースでグローバルIPアドレスを取得した結果です．

最後に

今回のEMAC-VLANを使うと，複数個のグローバルIPアドレスを使うことができます．
ISPの規約によっては，禁止されているところもあると思うので自己責任でお願いします． また，今回のブログ記事の内容が規約違反するなどあれば，ご連絡をいただければ幸いです．