Fortigate Virtual Appliance デプロイ手順書...2014/04/08 · 3 2012/10/29 1.5 a...

Fortigate Virtual Appliance デプロイ手順書

Ver. 2.0

承認確認担当

2 0 1 4 年 4 月 8 日

株式会社ネットワールド

S I 技術本部

ネットワークソリューション技術部

2


Copyrightⓒ2014 Networld Corporation. All rights reserved.

-目次-

1 改訂履歴 .................................................................................................................................... 3

2 はじめに ..................................................................................................................................... 4

3 事前準備 .................................................................................................................................... 5

3.1 作業 PCの準備 .............................................................................................................. 5

3.2 VMware vSphere Client のインストール ...................................................................... 5

3.3 Fortigate Virtual Appliance のメディア保存 ............................................................... 5

3.4 Fortigate 周辺のネットワークの確認 ............................................................................... 5

4 VMware vCenter Server または VMware ESX/iへのアクセス ............................................ 6

5 Fortigate Virtual Appliance のデプロイ ................................................................................. 8

6 vSwitch の設定 ...................................................................................................................... 15

7 Fortigate Virtual Appliance 起動と初期設定 ..................................................................... 17

7.1 Fortigate Virtual Appliance の起動 .......................................................................... 17

7.2 コンソールを開く ............................................................................................................. 17

7.3 初期設定 ....................................................................................................................... 18

7.3.1 ログイン ..................................................................................................................... 18

7.3.2 インターフェース設定 .................................................................................................. 19

7.3.3 デフォルトゲートウェイ設定 ......................................................................................... 21

7.3.4 オートアップデートトンネル設定(プロキシサーバを経由する場合のみ) ........................ 22

8 Fortigate Virtual Appliance ライセンスアップデート ........................................................... 23

9 Fortigate Virtual Appliance CPU とメモリ、ディスク領域の変更 ......................................... 26

10 Fortigate Virtual Appliance ディスクのフォーマット ............................................................ 27

10.1 ディスクフォーマットの実行 ............................................................................................. 27

10.2 フォーマット完了の確認 .................................................................................................. 28

11 よくある質問 ............................................................................................................................. 29

11.1 どの OVF ファイルを使用したらいいのかわかりません。 ................................................. 29

11.2 ライセンスが認証できません！ ....................................................................................... 29

11.3 ライセンスが無効だと注意分が表示され、GUI へログインできません。 ........................... 29

11.4 ログが溜まりません！ .................................................................................................... 29

11.5 FortiGate-VM がライセンス認証できなくなったら機能の動作はどうなるの？ ................. 29

3



1 改訂履歴

変更履歴

番号変更年月日 Version Page status 変更内容作成承認

1 2011/09/01 1.0 新規作成山下

2 2011/10/15 1.1 a MR3 Patch2のovfファイルデプロイ手順に変更山下

3 2012/10/29 1.5 a プロキシ、VLAN 使用時の注意書き追記向井

4 2012/12/26 1.6 a 項番 8, 9, 10 を追記向井

5 2012/12/27 1.6.1 a P23 に、サポートされるブラウザを明記三浦

6 2014/04/08 2.0 r Forti OS ver5.0.6 対応金澤

status: a(dd), d(elete), r(eplace), o(ther)

■マニュアルの取り扱いについて

・本書の記載内容の一部または全部を無断で転載することを禁じます。

・本書の記載内容は将来予告無く変更されることがあります。

・本書を使用した結果発生した情報の消失等の損失については、責任を負いかねます。

・本書の設定内容についてのお問い合わせは、受け付けておりませんのでご了承ください。

・本書の記載内容は、動作を保証するものではございません。従いましてお客様への導入時には、

必ず事前に検証を実施してください。

■Networldテクニカルサポート・Networld ホームページ

http://www.networld.co.jp/

・Tech-World

Fortinet製品に関するソフトウェアサポート窓口

https://hds.networld.co.jp/helpdesk/support/login.jsp

・Fortinet FAQ

Fortinet製品に関するよくある問い合わせ

https://hds.networld.co.jp/helpdesk/support/faq_info.jsp?link_id=tec

■メーカサイト・Fortinetテクニカルドキュメント

http://docs.fortinet.com/fgt.html

・Fortinet Knowledge Base

http://kb.fortinet.com/kb/microsites/microsite.do

http://www.networld.co.jp/

https://hds.networld.co.jp/helpdesk/support/login.jsp

https://hds.networld.co.jp/helpdesk/support/faq_info.jsp?link_id=tec

http://docs.fortinet.com/fgt.html

http://kb.fortinet.com/kb/microsites/microsite.do

4



2 はじめに

本書は、Fortigate Virtual Appliance ver5.0.6 を vSphere 5.1 へデプロイする方法について説明した手順書です。

また、本書では以下環境にて、手順書を作成しています。

Product Fortigate

S/W Ver5.0.6

Product VMware vSphere

VMware vSphere Client

VMware vCenter Server

VMware ESX/i

S/W VMware ESX 4.0, 4.1

ESXi 4.0/4.1/5.0/5.1/5.5

※注意事項

ライセンスのアップデートには、Fortigate Virtual Appliance がインターネットにアクセス可能な環境が必要です。

アップデートが出来ない際には TECworldへお問い合わせ下さい(インシデントは消費致します)。

5



3 事前準備

本章では、デプロイする前段階で必要な事前準備について説明します。

3.1 作業 PCの準備

VMware 環境にアクセスできるWindows 端末を用意します。

端末には後述する VMware vSphere Client をインストールする必要があります。

端末には後述する FortiAnalyzer Virtual Appliance (ovf ファイル) を HDD に保存しているか、または

USB デバイス等で参照できる必要があります。

3.2 VMware vSphere Client のインストール

VMware vSphere Client のインストール条件として.NetFramework の導入が必須となります。

作業前にインストールしておくことをお勧めします。

3.3 Fortigate Virtual Appliance のメディア保存

Fortinet パートナー専用サイトより適切なモジュールをダウンロードします。

http://www.networld.co.jp/fortinet/p_download.htm

※ダウンロードには ID・パスワードが必要となります。

購入後に連絡致しておりますので、そちらの情報をご参照ください。

VMware 用は FGT_VM64-v500-build271-FORTINET.out.ovf.zip （約 30MB ）です。

解凍するとデプロイする.ovf ファイルが 4 種類入っているので環境に応じてご使用ください。

• FortiGate-VM64.ovf: OVF template based on Intel e1000 NIC driver

• FortiGate-VM64.hw04.ovf: OVF template file for older (v3.5) VMware ESX server

• FortiGate-VMxx.hw07_vmxnet2.ovf: OVF template file for VMware vmxnet2 driver

• FortiGate-VMxx.hw07_vmxnet3.ovf: OVF template file for VMware vmxnet3 driver

3.4 Fortigate周辺のネットワークの確認

Fortigate は以下の通信でライセンス同期や UTM のシグネチャを最新の状態にするため、

導入する環境に応じて、以下のポートで通信します。

ライセンス同期が必須のため FortiGate-VM をオフラインで使用することはできません。

DNS Server Proxy Server

FortiGate-VM

③

②

①

②

内部/外部 DNSを参照してから Internetへアクセスする

①DNSサーバで名前解決 UDP:53.8888,1027,1031

②SSHで Internetへ TCP:443,

プロキシ経由で Internet へアクセスする

内部/外部 DNSを参照してからプロキシへアクセスする

② 内部、もしくは外部 DNS サーバで名前解決

②プロキシサーバへアクセス TCP:8080(プロキシのポート)

③プロキシサーバを経由して SSH で Internetへ TCP:443

①

http://www.networld.co.jp/fortinet/p_download.htm

6



4 VMware vCenter Server または VMware ESX/i へのアクセス

3.2 でインストールした VMware vSphere Client のショートカットを起動します。

図 1 ショートカット起動

アクセス先 IP アドレス、ユーザ名、パスワードを確認の上、vCenter Serverまたは ESX/I に接続します。

図 2 ログイン画面

7



vCenter Server または ESX/I に接続した画面例です。

デフォルトではホームが表示されますので、インベントリのホストおよびクラスタをクリックします。

図 3 ホームビュー

ホストおよびクラスタに移動後は、下記のような画面となります。

図 4 ホストおよびクラスタビュー

8



5 Fortigate Virtual Appliance のデプロイ

3.3 で用意した ovf ファイルをデプロイします。

ファイル -> OVFテンプレートのデプロイをクリックするとウィザードが起動します。

図 5 OVF テンプレートのデプロイウィザード起動

ソースパネルでは参照ボタンをクリックし、 3.3 で用意した Fortigate Virtual Appliance (ovf) ファイルを

選択します。次へをクリックします。

図 6 ソースパネル

9



OVF テンプレートの詳細パネルでは、次へをクリックします。

図 7 OVF テンプレートの詳細パネル

エンドユーザー使用許諾契約書パネルでは、内容を確認し承諾ボタンをクリック後、次へをクリックします。

図 8 エンドユーザー使用許諾契約書パネル

10



名前と場所パネルでは、名前フィールドで VMware 上、管理するための任意の名称を設定します。

インベントリの場所を指定し、次へをクリックします。

図 9 名前と場所パネル

ホスト/クラスタパネルでは、クラスタまたはホストを指定し、次へをクリックします。

図 10 クラスタパネル

11



リソースプールが存在する場合は、リソースプールパネルが表示されます。

適切なリソースプールを指定し、次へをクリックします。

図 11 リソースプールパネル

データストアパネルでは、デプロイ先のデータストアを指定し、次へをクリックします。

図 12 データストアパネル

12



ディスクのフォーマットパネルでは、お手持ちの環境に合わせたものを選択し、次へをクリックします。

図 13 ディスクのフォーマットパネル

ネットワークマッピングパネルでは、ソースネットワークにデフォルトで用意されている Network1～10 が

リストされます。ターゲットネットワークで構成されているセグメントを確認し適切に割り当てます。

（全てのポートは必ずどこかの vSwitch につながることになり、切り離すことはできません）

図 14 ネットワークマッピングパネル

13



終了準備の完了パネルには設定値のサマリーが表示されます。

確認後、問題ければ終了ボタンをクリックすることでデプロイが始まります。

図 15 終了準備の完了パネル

デプロイ開始後、プログレスバーが表示されます。デプロイ完了後は完了ダイアログが表示されます。

図 16 デプロイステータスバーおよびデプロイ完了ダイアログ

14



作成した仮想マシンが存在することを確認します。

図 17 仮想マシン作成の確認

15



6 vSwitch の設定

※ネットワークマッピングパネルで設定済みの場合は不要です。

後から設定を修正する場合は、デプロイした FortiGate Virtual Appliance をツリー構造から選択し、右側に

表示されるフィールドのサマリ -> コマンド -> 設定の編集から修正を行ないます。

図 18 ソースパネル

設定の編集をクリックすると仮想マシンのプロパティが表示されます。

ハードウェア -> ネットワークアダプタで編集したいインターフェースを選択し、設定します。

変更後、OK ボタンをクリックします。

図 19 仮想マシンのプロパティ

16



サマリでネットワークフィールドが変更されていることを確認します。

「

図 20 ネットワークフィールドの変更確認

※CPU、メモリの増設は評価ライセンスアクティベーション後に変更してください。

FortiGate-VMには評価ライセンスが付与されているため、評価ライセンスを先にアクティベートします。

その時デフォルトの設定と差異があると有効化できません。

お手持ちのライセンスに合わせた増設は本手順書の手順 9 にて実施します。

なお評価ライセンスの CPU とメモリは『CPU 1 コア/メモリ 1024MB』です。

17



7 Fortigate Virtual Appliance 起動と初期設定

7.1 Fortigate Virtual Applianceの起動

デプロイした Fortigate Virtual Appliance をツリー構造から選択し、右クリックメニューから電源 -> パワーオンを選択して電源を投入します。

図 21 Fortigate Virtual Appliance の起動

7.2 コンソールを開く

デプロイした Fortigate Virtual Appliance をツリー構造から選択し、右クリックメニューからコンソールを開くを選択してコンソール画面を開きます。

図 22 コンソールを開く

18



7.3 初期設定

Fortigate Virtual Appliance はライセンス認証のため、インターネット上にある Fortinet 社のライセンスサー

バへの疎通が必要です。そのための IP アドレスとルーティングの設定を行います。設定は CLIからのみ行

います。

7.3.1 ログイン

Fortigate Virtual Appliance へログインします。

初期設定時のログインアカウントは下記の通りです。

ログイン ID ： admin

パスワード：なし

図 23 CLI 画面

※マウスの操作をWindows 側に戻すには、Ctrl+Alt を押下します。

19



7.3.2 インターフェース設定

以下のコマンドを実行し、「6.vSwitch の設定」で割り当てたポートへ IP アドレスを設定します。

VLAN タグを使用する場合は設定せず、次のページを参照ください。

【コマンド】 config system interface

edit [port 番号]

set ip [IPaddress/Subnet mask]

set allowaccess [管理アクセス用プロトコル] ←設定したプロトコルでのみ Fortigateへのアクセスが可能です。

end

※IP 等パラメータはインストールする環境に合わせて変更ください。

図 24 CLI 画面

20



VLAN タグを使用する環境の場合は以下のコマンドを実行し、物理ポートではなく VLAN インターフェースを

作成します。

設定不要な場合は次へ進みます。

【コマンド】 config system interface

edit [VLAN 名]←任意でつけることが可能です。

set interface [VLAN に所属させるポート]

set vdom root set type vlan set vlanid [VLAN ID] set ip [ip address/Subnet mask]

set allowaccess [管理アクセス用プロトコル] ←設定したプロトコルでのみ Fortigateへのアクセスが可能です。

end


図 25 CLI 画面

21



7.3.3 デフォルトゲートウェイ設定

以下のコマンドを実行し、デフォルトゲートウェイを設定します。

【コマンド】 config router static edit 1

set device [port 番号]※VLANインターフェースを使用している場合はそれを指定します。

set gateway [gateway IPaddress] end

設定後の疎通確認は、「execute ping [IPaddress]」のコマンドをご利用ください。


図 26 CLI 画面

22



7.3.4 オートアップデートトンネル設定(プロキシサーバを経由する場合のみ)

プロキシサーバを経由しインターネットアクセスする場合は以下の設定を実施します。

不要な場合は次へ進みます。

【コマンド】 config system autoupdate tunneling

set address [プロキシサーバの IPaddress]

set port [ポート番号]

set username [ユーザ名]

set password [パスワード]

set status enable end


※ユーザ名とパスワードは必要に応じて設定してください。

図 27 CLI 画面

23



8 Fortigate Virtual Appliance ライセンスアップデート

GUI より Fortigate Virtual Appliance へログインします。

初期設定時のログインアカウントは下記の通りです。

ログイン ID ： admin

パスワード：なし

※使用するブラウザは、Microsoft Internet Explorer 9 and 10 または Mozilla FireFox 24 が推奨。

図 28 ログイン画面

「Upload」をクリックします。

※Fortigate-VM には 14 日間の無償ライセンスが付与されているため、ステータスは「Valid」です。

図 29 ステータス画面

24



「参照」ボタンよりライセンスファイルを指定し、OK をクリックします

図 30 ライセンス指定画面

※ライセンスアップデートには機器のリブートが発生します。リブート後、装置へアクセスは出来ますが、

ライセンス認証の完了前ではエラーメッセージが表示されます。

↓

図 31 リブート画面

25



ライセンスの自動認証は時間がかかるため、CLIより手動でアップデートを行います。

実行後数分でライセンスが有効になりますので、再度 GUI 画面よりログインします。

ログイン後、Registration Status が「Valid」であり、Serial Number にシリアルが表示されれば

ライセンス認証は完了です。

Valid の画面

図 32 ステータス画面

【コマンド】 get system status

図 33 CLI 画面

26



9 Fortigate Virtual Appliance CPU とメモリ、ディスク領域の変更

ライセンス有効化後、お手持ちのライセンスに合わせた CPUの数とメモリ、ディスク領域へ変更します。

以下のコマンドを実行して、FortiGate-VMの電源を切ります。

【コマンド】 execute shutdown

Do you want to continue? (y/n)y ←y を入力するとシャットダウンが始まります。

図 34 CLI 画面

シャットダウン完了後、仮想マシンのプロパティ(P15-図 19 参照)から CPUやディスク容量等を変更します。

変更したら、OK ボタンをクリックし、再度電源を ON にして、次の手順に進みます。

図 35 仮想マシンのプロパティ

27



10 Fortigate Virtual Appliance ディスクのフォーマット

10.1 ディスクフォーマットの実行

ディスクのフォーマットは FortiGate VM を使用するにあたり必須です。

コマンド実行時には再起動が発生します。

下記のコマンドを実行し、ディスクをフォーマットします。

フォーマットが完了すると自動で再起動するので起動完了まで待ちます。

【コマンド】 execute formatlogdisk

・・・・

Do you want to continue? (y/n)y ←y を入力するとフォーマットが開始されます。

図 36 CLI 画面

28



10.2 フォーマット完了の確認

再起動完了後、CLIからログインして下記のコマンドを実行し、『Log hard disk』が『Available』であることを確認

します。

【コマンド】 get system status

図 37 CLI 画面

デプロイ手順は以上です。

29



11 よくある質問

11.1 どの OVFファイルを使用したらいいのかわかりません。

・ダウンロードしたデプロイ用のパッケージ(FGT_VM64-v500-buildXXX-FORTINET.out.ovf.zip)には

種類が 4 種あります。

『3.3 FortiGate Virtual Appliance P5』を参照し、環境にあったものをお選びください。

11.2 ライセンスが認証できません！

以下の点をご確認ください。

・FortiGate-VM がインターネットアクセス可能な環境に導入されていますか？

FortiGate-VM はライセンス同期のため、名前解決とインターネットへアクセスできる環境が必要です。

・外部へ Ping が可能ですか？

www.google.com などのパブリックな宛先へ Ping を実行し、インターネットへの接続性をご確認ください。

・プロキシサーバを使用した環境へ導入されていませんか？

プロキシを経由する場合は本手順書 P22 を参照し、FortiGate-VM へ設定を実施してください。

・VLANを使用した環境へ導入していませんか？

FortiGate-VM へ VLANの設定を実施する場合は本手順書 P20 をご参照ください。

・FortiGate-VM の通信を止めていませんか？

FortiGate-VM はライセンス認証などを実施するために外部へアクセスします。

ファイアウォールなど他のネットワーク機器で通信を止めていませんか？

FortiGate-VM が必要とするサービスについては『3.4 FortiGate 周辺のネットワークの確認 P5』を

ご参照ください。

11.3 ライセンスが無効だと注意分が表示され、GUIへログインできません。

以下の点をご確認ください。

・正しいライセンスを使用していますか？

今一度お手持ちのライセンスをお確かめください。

・デプロイ後、初めての認証ですか？

初回認証時は FortiGate-VMにあらかじめ付与されているライセンスの認証が自動で実行されるため、

CPU とメモリの容量は『CPU1 コア/メモリ 1024MB』である必要があります。

詳しくは P15 を参照してください。

・CPU とメモリの容量はお手持ちのライセンスと見合っていますか？

ライセンスによって使用可能な CPUの数やメモリ容量は決まっています。必ず合わせてください。

11.4 ログが溜まりません！

FortiGate-VM を使用する前にディスクフォーマットをする必要があります。

『10.Fortigate Virtual Appliance ディスクのフォーマット P27』を参照し、フォーマットを実施してください。

11.5 FortiGate-VM がライセンス認証できなくなったら機能の動作はどうなるの？

FortiGate-VM がライセンス同期できなくなると GUIログインができなくなりますが、設定されている FW 機能や

有効化されている UTM 機能は設定どおり動きます。

ただし、UTM 機能は所持しているシグネチャで動作し、シグネチャの更新はできません。

また、Email フィルタや Web フィルタの機能で、FDN へ都度問い合わせが必要となるものは使用できなくなりま

す。

Fortigate Virtual Appliance デプロイ手順書...2014/04/08 · 3 2012/10/29 1.5 a...

Documents

Transcript of Fortigate Virtual Appliance デプロイ手順書...2014/04/08 · 3 2012/10/29 1.5 a...