EVE-NGはネットワークエミュレータのソフトウェアで、Cisco機以外も含めて様々なネットワーク機器をエミュレートする事ができます。このページでは、Fortigateのイメージ追加(初期設定)方法を説明します。
前提
公式ドキュメント
参考になる公式ドキュメントを以下に示します。
動作確認済環境
以下の環境で動作確認をします。
- EVE Community Edition Version 5.0.1-19
- VMware ESXi, 7.0.3, 20036589
- FortiGate version 7.4.2
イメージの操作
イメージのダウンロード
「ForiGate Cloud」をブラウザで開きます。アカウント未作成の方は、「登録」を押下しアカウントを作成します。アカウント作成済の方は「ログイン」を押下してください。
EMAILとパスワードを入力し、ログインします。
「Support」「VM image」の順にクリックします。
「Select Product」は「Fortigate」を選びます。「Select Platform」は「KVM」を選びます。その後、ダウンロードしたいバージョンを選択します。
上記の選択後、画面を下の方へスクロールさせます。「New deployment of FortiGate for KVM」の「Download」を押下すると、EVE-NGに配置するKVM用のイメージを入手できます。
この画面でARM64を選ばないように注意ください。ARMはスマートフォン, タブレット, Raspberry Piなどの小型機向けのCPUです。
イメージの追加
EVE-NGへsshなどでログインします。その後、「/opt/unetlab/addons/qemu/」配下にイメージを格納するディレクトリ作成します。ディレクトリ名は「fortinet-FGT-<何か分かりやすい名前>」という命名規則に従ってください。操作例は以下のようになります。
mkdir /opt/unetlab/addons/qemu/fortinet-FGT-v7.4.2.F-build2571/ cd /opt/unetlab/addons/qemu/fortinet-FGT-v7.4.2.F-build2571/
さきほどの操作でダウンロードしたFortigateの圧縮済イメージを上記ディレクトリへ転送します。その後、イメージを展開し、virtioa.qcow2という名前に変更します。
unzip FGT_VM64_KVM-v7.4.2.F-build2571-FORTINET.out.kvm.zip rm -f FGT_VM64_KVM-v7.4.2.F-build2571-FORTINET.out.kvm.zip mv fortios.qcow2 virtioa.qcow2
ライセンス関連の操作
初回アクティベーション
IPアドレス等の設定
FortigateのイメージをEVE-NG上に配置します。検証用ライセンスをアクティベーションする都合がありますので、インターネットへ接続可能になるように結線をしてください。このページではport1からインターネットへ接続可能な構成を例に挙げます。
Fortigateを起動後、コンソールへ接続します。Fortigateの初期ユーザはadminで、初期パスワードは空文字列です。ログイン完了後にパスワード設定を求められますので、パスワードを設定します。
System is starting... Starting system maintenance... Scanning /dev/vda1... (100%) Scanning /dev/vda2... (100%) The config file may contain errors. Please see details by the command 'diagnose debug config-error-log read'. Serial number is FGVMEVJUB9WLTLFC FortiGate-VM64-KVM login: admin Password: You are forced to change your password. Please input a new password. New Password: Confirm Password: Welcome! FortiGate-VM64-KVM #
物理機器の Fortigate は初期IPアドレスが 192.168.1.99/24 になっていますが、以下に示すように仮想アプライアンスの Fortigate は初期IPアドレスはDHCPです。
FortiGate-VM64-KVM # config system interface
FortiGate-VM64-KVM (interface) # edit port1
FortiGate-VM64-KVM (port1) # show
config system interface
edit "port1"
set vdom "root"
set mode dhcp
set allowaccess ping https ssh http fgfm
set type physical
set snmp-index 1
next
end
FortiGate-VM64-KVM (port1) #
IPアドレスとデフォルトゲートウェイを設定します。
config system interface
edit "port1"
set mode static
set ip <IPアドレス>/<サブネットマスク長>
next
end
config router static
edit 1
set dst 0.0.0.0 0.0.0.0
set gateway <デフォルトゲートウェイ>
set device "port1"
next
end
設定後、インターネットへ疎通可能である事を確認します。
FortiGate-VM64-KVM # execute ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8): 56 data bytes 64 bytes from 8.8.8.8: icmp_seq=0 ttl=57 time=5.6 ms 64 bytes from 8.8.8.8: icmp_seq=1 ttl=57 time=8.3 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=57 time=7.1 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=57 time=5.5 ms 64 bytes from 8.8.8.8: icmp_seq=4 ttl=57 time=66.2 ms --- 8.8.8.8 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 5.5/18.5/66.2 ms FortiGate-VM64-KVM #
アクティベーション操作
Fortigate の port1 に設定したIPアドレス宛に、ブラウザで操作画面を開きます。ユーザー名はadmin、パスワードは前述操作で設定した文字列でログインします。
「Evaluation license」タブに切り替えた後、FortiCloudのユーザー名とパスワードを入力し「OK」をクリックします。
アクティベーションに成功した場合は、Fortigate の再起動が発生します。
2回目以降のアクティベーション
注意点
Fortigate の VM image を再び deploy しアクティベーションを試みると、「Error downloading license: Invalid serial number」とのエラーメッセージが表示される事があります。これは、FortiCloudでどの機器にどのライセンスが割り当てられているかが管理されているためです。もし、再アクティベーションをするならば、使用済の検証ライセンスを廃止(decommission)する必要があります。
ライセンスの廃止操作
FortiCloudのトップページで「Services」「Asset Management」の順にクリックします。
「Products」「My Assets」の順にクリックし、その後、シリアル番号欄をクリックします。
「Decommission This Unit」をクリックし、ライセンスの割り当てを廃止します。
