Fortigate トラブル

スポンサーリンク

FortigateのHA構成でMACアドレス重複

Fortigateで同一セグメントに2ペア以上のHA構成を配置するとMACアドレスが重複した。
私の例では同一セグメント上にHA構成のMGMTポートを接続したFortigateを2ペア配置したら、
MACアドレスが重複して下記の図のように、ルータのMACテーブルがコロコロ変わり通信が不安定になりました。

原因

FortiGateでHA構成する場合、VIPは仮想 MAC アドレスが使用されます。
FortigateでHA構成を組むのに指定するグループIDという値が重複するとMACアドレス重複が発生するようです。

仮想MACアドレスの規則
00:09:0f:09:XX:XX
00:09:0f:09= 固定値
XX = グループ ID「デフォルトは 0」
   (set group-id)にて変更可能
XX = インターフェース番号とバーチャルクラスタ番号(VDOM ID)

解決方法

CLIで下記のコマンドを実行して、各FortigateのHAのグループIDを変更します。

config system ha
set group-id XX (0〜1023までの任意の数値)

各インターフェースの仮想 MAC アドレスは下記のコマンドで確認できます。

get hardware nic 「インターフェース名」
・Hwaddr:仮想MACアドレス値
・Permanent Hwaddr:実MACアドレス値

参考:Fortigateのサポートにて

トランスペアレントモードによるVlan設定時

トランスペアレントモードではデフォルトではすべてのポートはVid1に所属していて、ブロードキャストドメインはVDOMごとになるようです。
トランスペアレントモードでVlanを使いたい場合は、下記のコマンドを設定しないとTag付けしてくれない様です。
もしくはVlan毎にVDOM作成するかです

#config system interface
(interface) # edit VLAN1234
(VLAN1234) #set interface XXXX
(VLAN1234) #set vlanid 1234
(VLAN1234) #set forward-domain 1234 ←これが無いとTagを付けないようです
(VLAN1234) #next

参考URL

バージョンアップによってHAが組めなくなった

バージョンアップ作業時に下記のエラーが出て正常にHAが組めなくなりました

slave and master have different hdisk status. Cannot work with HA master. Shutdown the box

下記のコマンドでHAを組むことができました
fortigate#execute ha ignore-hardware-revision enable

ハードウェア リビジョンを無視してHAを有効にするコマンドの様です

アラームメッセージ

アラーム
 sync_type=”configurations” sync_status=”out-of-sync”
 sync_type=”external-files” sync_status=”in-sync”
 ”external-files”はUTMのシグネチャ
 ”configurations”は機器のコンフィグ

意味
 HAはそれぞれとも、片系にて更新された後にもう一方の機器へ同期が行われますが、
 同期される前にHAの状態チェックが行われた場合、差異が検知されて発生するようです。
対処
 タイミングにより発生するものであり、設定等で発生を止めることは出来ません。
 待ちですね

おすすめFortigate本

FortiGateで始める 企業ネットワークセキュリティ
FortiGateで始める 企業ネットワークセキュリティ

コメント

タイトルとURLをコピーしました