クラウド管理の Firebox の場合は、仮想ローカル エリア ネットワーク (VLAN) として任意のネットワークを構成することができます。VLAN を構成するには、既存の外部ネットワーク、内部ネットワーク、またはゲスト ネットワークの VLAN オプションを有効化する必要があります。
VLAN には、以下を含めることができます。
- 1 つまたは複数のタグ付きインターフェイス
- 1 つまたは複数のタグなしインターフェイス
- タグ付きインターフェイスとタグなしインターフェイスの両方
- 内部ネットワークと外部ネットワークの両方で VLAN のメンバーであるインターフェイス
VLAN には、以下の制限があります。
- 複数のタグ付き VLAN のメンバーであるインターフェイスは、1 つのタグなし VLAN のメンバーにしかなれません。
- VLAN にブリッジ インターフェイスやスタンドアロン インターフェイスを含めることができません。
VLAN とトラフィックの検査
VLAN 内トラフィック は、同じ VLAN を宛先とする VLAN トラフィックです。外部インターフェイスでは、同じ VLAN 内トラフィックの検査が既定で有効化されています。Firebox では、同じ VLAN にあるホスト間でファイアウォールを通過するトラフィックにポリシーが適用されます。ファイアウォール ポリシーを適用するには、VLAN トラフィックが Firebox を通過する必要があります。
たとえば、インターフェイス間で VLAN をブリッジし、インターフェイス間のトラフィックに適用するポリシーを作成することができます。Firebox では、VLAN にある 1 つのインターフェイスから同じ VLAN にある別のインターフェイスに移動するトラフィックが検査されます。これは、ブリッジ WAN 構成とも呼ばれます。
ブリッジ WAN 構成をサポートする設定を配備するには、デバイスで Fireware v12.8 以降が実行されている必要があります。デバイスでこれ以前のバージョンのファームウェアが実行されている場合は、この変更を配備する前に、タグ付け VLAN として 1 つのインターフェイスにのみ表示され、かつインターフェイスで唯一のネットワークとなるように、デバイスのファームウェアをアップグレードする、または外部 VLAN を変更するかのいずれかの操作を実行する必要があります。
ファイアウォール ポリシーは、内部 VLAN インターフェイスの VLAN 内トラフィックには適用されません。
WatchGuard Cloud で VLAN 内トラフィック設定を構成することはできません。
VLAN を有効化する
ネットワーク設定で、VLAN オプションを有効化して VLAN ID を指定することができます。ネットワークに関連付けられている各インターフェイスについて、インターフェイスの VLAN トラフィックのタグ付けの有無を指定することもできます。
ネットワークを VLAN として構成するには、WatchGuard Cloud で以下の手順を実行します。
- 構成 > デバイス の順に選択します。
- クラウド管理の Firebox を選択します。
- デバイス構成 をクリックします。
- ネットワーク タイルをクリックします。
ネットワーク構成ページが開きます。 - 編集するネットワークのタイルをクリックします。
ネットワーク構成ページが開きます。
- VLAN を有効化する チェックボックスを選択します。
確認メッセージが表示されます。
内部ネットワークの確認メッセージ
外部ネットワークの確認メッセージ
- 変更を確認するには、VLAN を有効化する をクリックします。
内部ネットワークの場合は、ネットワークに関連付けられているすべてのインターフェイスがタグなしの VLAN インターフェイスに変更されます。外部ネットワークの場合は、ネットワークに関連付けられているすべてのインターフェイスがタグ付き VLAN インターフェイスに変更されます。 - VLAN ID テキスト ボックスに、このネットワークの VLAN ID を入力します。
- 次のセクションで説明されている通りに、VLAN のインターフェイス設定を構成します。
- 構成変更をクラウドに保存するには、保存 をクリックします。
VLAN のインターフェイス設定を構成する
ネットワークの VLAN オプションを有効化すると、ネットワークに関連付けられているインターフェイスが以下のように自動的に構成されます。
- 内部ネットワーク — ネットワークに関連付けられているインターフェイスが、タグなしとして自動的に構成されます。
- 外部ネットワーク — ネットワークに関連付けられているインターフェイスが、タグ付きとして自動的に構成されます。
ネットワークに関連付けられている各インターフェイスで、タグ付きオプションを タグ付き VLAN または タグなし VLAN に変更することができます。ネットワークに関連付けられていないインターフェイスで、使用可能なインターフェイスそれぞれに、タグ付きオプションを選択することができます。これにより、インターフェイスがネットワークに関連付けられます。
インターフェイスのアイコンの色により、このネットワークに関するインターフェイスのステータスを判断することができます。
|
インターフェイスは別のネットワークに関連付けられています |
|
インターフェイスはこのネットワークと関連付けられています |
|
インターフェイスをこのネットワークに関連付けることができます |
インターフェイスの VLAN 設定を構成するには、WatchGuard Cloud で以下の手順を実行します。
- VLAN ネットワークを編集します。
- インターフェイスに関連付けられている VLAN を表示するには、インターフェイスのタイルで、ネットワークを表示する をポイントします。
- インターフェイス設定を変更するには、インターフェイス オプション (
) メニューで以下を選択します。
- タグなし VLAN — インターフェイスでタグなし VLAN トラフィックが処理される。
- タグ付き VLAN — インターフェイスでタグ付き VLAN トラフィックが処理される。
- トラフィックなし — インターフェイスがこのネットワークに関連付けられない。
オプション メニューには、選択できるオプションのみが表示され、現時点で構成されている オプション は含まれません。
- 構成変更をクラウドに保存するには、保存 をクリックします。
同じインターフェイスに複数の VLAN を構成する
各インターフェイスで複数の VLAN のトラフィックが処理されるように設定することができます。1 つのインターフェイスに VLAN トラフィックが送信されるようにネットワークを構成したら、VLAN トラフィックが同じインターフェイスに送信されるように他のネットワークを構成することもできます。各インターフェイスにタグなし VLAN トラフィックを送信できるネットワークは 1 つのみです。
1 つのインターフェイスで複数の VLAN トラフィックが処理されるように構成するには、以下の手順を実行します。
- 各ネットワークで VLAN オプションを有効化して、一意の VLAN ID を割り当てます。
- 各ネットワークで、タグ付きまたはタグなし VLAN トラフィックが処理されるようにインターフェイスを構成します。
タグなし VLAN トラフィックがインターフェイスに送信されるように VLAN を構成すると、他の VLAN のそのインターフェイスには タグなし VLAN オプションを使用できなくなります。
1 つのインターフェイスで複数のネットワークのタグ付き VLAN トラフィックが処理されるように構成すると、ネットワークを表示する に、そのインターフェイスの各 VLAN のタグ付き VLAN トラフィックのネットワークと VLAN ID が表示されます。
1 つのインターフェイスでタグ付きとタグなしの両方の VLAN トラフィックが処理されるように構成すると、ネットワークを表示する に、タグ付き VLAN トラフィックのネットワークと VLAN ID およびタグなし VLAN トラフィックのネットワーク名が表示されます。
