近（なぜか）FortiWiFiだったり、FortiGateとFortiAPの組み合わせを触ることが多くなりました。たまたまだと思うんですけどね。圧倒的にMerakiのAPの方が多いので。

さて、今回はそんなFortiAPをCAPWAPでFortiGateから制御している環境で、APの方式にトンネルモードとブリッジモードがあることに気が付きました。私の理解をまとめておきます。

ざっくり違うところ

結論を先にシンプルに書きます。トンネルモードとブリッジモードの違いは、AP（アクセスポイント）の役割と、同一LAN内のフォワーディングの違いがあります。

詳細は後述しますが、例えば、クライアントAがWi-Fiに繋いでおり、クライアントBが有線接続をしており、双方のデータのやりとりは、トンネルモードならFortiGateを経由し、ブリッジモードなら手前のL2Switchで折り返します。

基本となる構成

上図のような構成で考えてみます。

トンネルモード

トンネルモードは前述の通り、アクセスポイントから繋がってくるクライアントAが、同じセグメントに優先接続しているクライアントBと通信するためには、FortiGateを経由します。

FortiGateと言っても、無線と有線では論理的にインターフェースが異なりますので、内部に論理的なスイッチ（Software Switch）を持つこととなります。

まさにアクセスポイントとFortiGateがトンネルを張り、その中を全ての通信が通って、アクセスポイントからFortiGateにトラフィックを渡します。

ブリッジモード

ブリッジモードでは、FortiGateとトンネルを張らずに、クライアントとスイッチをブリッジングします。

分かりやすい例えか分かりませんが、アクセスポイントをL2スイッチに見立てると、トランクポートで繋がっているようなイメージです。

そのため、アクセスポイントに繋がっているクライアントAから有線のクライアントBへの通信は、中継のスイッチで折り返すこととなります。

まとめ

どちらのモードでも同じようなことは実現できます。公式の情報によるとネットワーク規模によって使い分けてと書いてありますが、私個人的には設計観点ではあまり難易度・管理性は変わらないのではないかと思いましが。

私が携わってきた案件のほとんどは、同じ用途（例えば従業員業務用）のネットワークでも、有線と無線でセグメントを分けてました。そのため相互通信が必要な場合はFortiGateで許可します。

他のメーカの場合（あるいは混在する場合）はおのずとブリッジモードのようになるので、そういう意味ではブリッジモードの方が、分かりやすい設計と言えるかも知れません。