FortiGateのソフトウェアスイッチについて

FortiGateのソフトウェアスイッチ（Software Switch）は、複数の物理ポートやWi-Fiインターフェース、仮想インターフェースを論理的に1つのインターフェースとしてまとめる機能です。

これにより、まとめられたポートは同じL2ドメインに属し、スイッチ全体で1つのIPアドレスを持つようになります。

小規模LANの構築や、複数ポートを簡易的に「LAN」として運用する際に有効です。

主な用途

• LANの一元化
  複数のポートを1つのLANとしてまとめ、IPやDHCPサーバ設定を一括管理できる。
• VLANの展開
  ソフトウェアスイッチを親にしてVLANサブインターフェースを作成可能。ただし、各ポートごとに異なるPVIDを割り当てるような高度なスイッチ機能は持たない。
• 簡易スイッチ代替
  専用スイッチを導入しなくても、複数ポートを同一ブロードキャストドメインで扱える。

ポリシー制御の仕組み

• デフォルト（implicit）
  ソフトウェアスイッチ内部の通信は、ファイアウォールポリシーを通さず自動的に許可されます。
• explicit設定
  intra-switch-policy explicit に変更すると、内部通信もファイアウォールポリシーの制御対象となります。さらに、対応モデルではNP（Network Processor）によるオフロード処理が有効になり、性能を確保できます。

補足：多くの誤解として「ソフトウェアスイッチは常にポリシー制御不可」という記述がありますが、explicit設定を使えば制御可能です。

性能面の考慮

• CPU処理依存：implicitモードでは基本的にCPU処理となり、大量トラフィックで性能低下する可能性あり。
• オフロード可能：explicitモード＋適切なポリシー構成では、NPハードウェアによる高速処理が働くため、パフォーマンス面の制約を緩和できます。

STP・LACPなどの制約

• STP（スパニングツリー）
  • ハードウェアスイッチはSTPをサポート（ポート単位で有効化可能）。
  • ソフトウェアスイッチはSTPに参加しません。BPDUフレームは透過しますが、ループ防止機能は期待できません。
• LACP（リンクアグリゲーション）
  • 一般的にはアグリゲートインターフェースをソフトウェアスイッチに追加できません。
  • 例外として、FortiLink用途のソフトウェアスイッチではLAGをメンバーに含めることが可能です。

メンバー化の制約

• インターフェースをスイッチに追加するには、他で参照されていないこととIP未設定（0.0.0.0/0）であることが条件です。
• 1つの物理ポートを複数のスイッチにまたがって所属させることはできません。

設定例（CLI）

port1 と port2 を「lan」というソフトウェアスイッチにまとめる例です。

config system switch-interface
    edit "lan"
        set member "port1" "port2"
        set intra-switch-policy explicit
    next
end

これにより lan が1つのLANインターフェースとして扱われ、ポリシー制御も可能になります。

まとめ

• ソフトウェアスイッチは簡易的な仮想スイッチであり、LAN統合やVLAN展開に便利。
• デフォルトでは内部通信はポリシー制御不可だが、explicit 設定によりFWポリシーで制御可能となり、NPオフロードも効く。
• STPやLACPなどの高度なL2機能は非対応または制約あり。必要ならハードウェアスイッチやFortiSwitchとの連携が推奨される。

以上、FortiGateのソフトウェアスイッチについてでした。

最後までお読みいただき、ありがとうございました。