Fortigateでのスタティックルート最大設定値制限

こんにちは。ネットワークソリューション特集編集部です。
今回は、Fortigateでのスタティックルート最大設定値制限についてご紹介します。

事象

検証にてセンターのFortigateから複数拠点へスタティックルート設定が出来ない事象が発生した。

原因

センター・拠点間はIPsecVPN接続、各拠点には複数セグメントがある。センターから拠点へは全て個別にスタティックルートを設定する設計だったが、設計・検証後、全てのスタティックルートについてブラックホールルートの設定が必要な事が判明した、結果、スタティックルート数が500超えていた。今回調達したFortigateは200Fだったが、スタティックルート設定の諸元が500だった為、設定不可となった。

回避策

SD-WANを使用している場合には、SD-WAN zoneをデフォルトルートに設定し、個別のサブネットに対してはSD-WAN ruleで経路(出力インターフェース)を振り分ける方法。 SD-WAN ruleであれば500以上の設定も可能。
スタティックルートの上限はVDOM単位となるので、VDOMを分ける事でスタティックルート設定数を増やすことが可能。ただし、VDOM使用の為物理でポート分割必要かつVDOM単位でルーティングテーブルが分かれる。
上位モデルの機種を選定する。

　→今回は、①については実装の検証について、期間・人的リソースが取れず、 ②については物理接続を分割出来ない為不可、結果③を選択。
Fortigate 600Fであれば、1万スタティックルートまで対応。

機器選定時の注意点

機器選定時に、スループット・セッション数・トンネル数・ポリシー数を対象にしたが、ルーティング数の考慮が足りなかった。ただ、 Fortigateは200Fのデータシートには、ゲートウェイ間 IPSec VPN トンネル：2,000 の記載があったのでスタティックルート設定数も当然それに対応してると思い込みした。データシートにはルート数の上限記載は無し。

設定可能な最大数は下記のサイトで確認が必要。「router.static」がスタティックルート最大数となります。