FortiGate ハードウェアスイッチとソフトウェアスイッチの違いについて

プロモーションを含みます
プロモーションを含みます
PR
環境

機種: FortiGate 50E
ファームウェア: 6.2.15

ハードウェアスイッチとソフトウェアスイッチの違いについてまとめました。

ハードウェアスイッチとソフトウェアスイッチの主な違い

機能ハードウェアスイッチソフトウェアスイッチ
処理パケットは、ハードウェアスイッチコントローラ、または該当する場合は SPU によってハードウェアで処理されます。パケットは CPU によってソフトウェアで処理されます。
STPサポートサポートされていません。
ワイヤレスSSIDサポートされていません。サポート
スイッチ内トラフィックデフォルトで許可されます。デフォルトで許可されています。ポリシーを要求するように明示的に設定できます。
https://docs.fortinet.com/document/fortigate/6.2.15/cookbook/277799/software-switch

ハードウェアスイッチについて

ハードウェアスイッチでは、パケットはハードウェアによって処理されます。

そのため処理速度が速いです。

FortiGate の初期設定状態では、「lan」または「internal」という名前が付けられたデフォルトのハードウェアスイッチが既に作成されています。

ハードウェアスイッチは、異なるインターフェイスを束ね・グループ化し、1つのインターフェイスとして使用できるようにします。

下図では、「lan1」インターフェイスと「lan2」インターフェイスを、「lan」というデフォルトのハードウェアスイッチ上にグループ化しています。

ハードウェアスイッチは、デフォルトではトランクポート(すべての VLAN を伝送する)と見なされます。

以下の例では、ハードウェアスイッチである「lan」に “VLAN100” と “VLAN200” を所属させています。

上図の設定は、Cisco スイッチでいうところの「switchport trunk allowed vlan」のような設定に相当します。※あくまで参考イメージです。

VLAN との通信を可能にするには、Firewall ポリシーの設定が必要です。

https://docs.fortinet.com/document/fortigate/7.4.1/administration-guide/154471/interfaces

ソフトウェアスイッチについて

ソフトウェアスイッチでは、パケットは CPU によって処理されます。

そのためハードウェアスイッチに比べると処理速度が遅いです。

ソフトウェアスイッチは、ハードウェアスイッチに比べより多くの機能があり、より多くの種類のインターフェイスをメンバーに追加することができます。

たとえば、ハードウェアスイッチでは「wan2」インターフェイスをメンバーに追加することができませんが、ソフトウェアスイッチでは「wan2」インターフェイスをメンバーに追加することができます。

ハードウェアスイッチではエントリに「wan2」がそもそも表示されない。

ソフトウェアスイッチではエントリに「wan2」が表示され、メンバーに追加することができる。

ソフトウェアスイッチでは、以下のような柔軟な設定が可能です。

ソフトウェアスイッチを使用すると、異なる FortiGate インターフェイスに接続されたデバイス間の通信を簡素化できます。たとえば、ソフトウェアスイッチを使用すると、内部ネットワークに接続されている FortiGate インタフェースを無線インタフェースと同じサブネットに配置できます。内部ネットワーク上のデバイスは、追加のセキュリティポリシーなど、FortiGate ユニットで追加の設定を行うことなく、ワイヤレスネットワーク上のデバイスと通信できます。

https://docs.fortinet.com/document/fortigate/6.2.15/cookbook/277799/software-switch
https://docs.fortinet.com/document/fortigate/7.4.1/administration-guide/154471/interfaces