fortigateのルーティング設定でデフォルトルートなどのstatic routeを設定できるのは当然なのですが、インターネット回線が複数存在する環境では「宛先がgoogleの場合は特定の回線を使いたい」という場合が出てきます。
例えば会社のグループウェアでGoogle Appsを使っていて、そのGoogle Appsは特定の固定IPからのみアクセスを許可している場合。
社内の回線増強などで、通信する回線、経路が変わってしまうと回線に紐づく送信元のグローバル固定IPが変わってしまいGoogle Appsにアクセスできなくなる事態が予測されます。
でもGoogleのサーバ?サービス?Google AppsのIPってたくさんあるし通信ルート、static routeを登録するのが大変そうですよね。
そういう問題もFortigateなら簡単に解決できます。
以下に方法をご紹介いたします。
Contents
fortigateのルーティング設定。宛先googleのstatic routeの設定方法。
まずはstatic routeの登録方法からおさらいです
デフォルトルートを静的に登録する作業は頻繁に実施しますね。
メニューの[ネットワーク]→[ルーティング]を選択すると下記画面になります。
[新規作成]ボタンをクリックすると下記画面になります。
通常であればこの画面で宛先ルートを設定して[OK]ボタンを押せばstatic routeの登録完了です。
宛先googleのstatic routeの設定方法は
途中までは通常のスタティックルートと同じです。
上記画面で[インターネットサービス]のボタンを押します。すると下記画面になりますので宛先のサービスを選びます。
宛先のサービス項目はFortigateによって自動的に登録されています。
googleのサービスもいくつか登録されていますね。こちらを必要なサービスの通信要件の数だけ登録すれば「googleへのstatic route」を設定できます。
fortigateのインターネットサービスってどこに登録されているの?
インターネットサービスのデータベースがFortigateに登録されています。
[ポリシー&オブジェクト]の[インターネットサービスデータベース]に登録されています(下記画像)
下にスクロールするとGoogleのサービスがいくつか登録されています。
画面右側には「エントリ数」がカウントされていますね。
試しに「Google Gmail」を選択してみました(下記画像)
たくさんのグローバルIPが登録されていますね。というか「1.1.1.0」なんてあるんだ。初めて知りました^^;
Gmailは全世界から多数の人々が登録、利用するわけですからこのように複数のサーバ、複数のIPを所持しているわけですね。
勉強になった!
ちなみにfortigateのインターネットサービスは、Fortigateの該当ライセンスが正しく登録されていて、かつインターネットに接続できている環境であれば自動的に更新されます。
※もしかしたらFortigateのDNS設定はデフォルトのFortigateのDNSサーバでないとインターネットサービスのデータベースが更新されないかもしれません。これは未検証です。
結論
本記事ではファイアウォール機器である「Fortigate 60D」という機種で画面キャプチャを取得しました。しかしFortigateはファームウェアのバージョンが変わると画面メニューががらりと変わる場合がありますので要注意です。※本記事ではファームウェアのバージョンは「v5.4.8,build1183 (GA)」でした。
ルーティング設定として「google」のようなサービスレベルで設定できるのはルータやレイヤー3スイッチなどと異なる大きなポイントですね。
本記事が少しでもお役に立てればこれほど嬉しいことはありません。最後まで読んでいただきありがとうございました。
その他、fortigateの他の記事はこちらの記事も合わせてご参照ください。