FortigateのHA構成でMACアドレス重複
Fortigateで同一セグメントに2ペア以上のHA構成を配置するとMACアドレスが重複した。
私の例では同一セグメント上にHA構成のMGMTポートを接続したFortigateを2ペア配置したら、
MACアドレスが重複して下記の図のように、ルータのMACテーブルがコロコロ変わり通信が不安定になりました。
原因
FortiGateでHA構成する場合、VIPは仮想 MAC アドレスが使用されます。
FortigateでHA構成を組むのに指定するグループIDという値が重複するとMACアドレス重複が発生するようです。
仮想MACアドレスの規則
00:09:0f:09:XX:XX
00:09:0f:09= 固定値
XX = グループ ID「デフォルトは 0」
(set group-id)にて変更可能
XX = インターフェース番号とバーチャルクラスタ番号(VDOM ID)
解決方法
CLIで下記のコマンドを実行して、各FortigateのHAのグループIDを変更します。
config system ha
set group-id XX (0〜1023までの任意の数値)
各インターフェースの仮想 MAC アドレスは下記のコマンドで確認できます。
get hardware nic 「インターフェース名」
・Hwaddr:仮想MACアドレス値
・Permanent Hwaddr:実MACアドレス値
トランスペアレントモードによるVlan設定時
トランスペアレントモードではデフォルトではすべてのポートはVid1に所属していて、ブロードキャストドメインはVDOMごとになるようです。
トランスペアレントモードでVlanを使いたい場合は、下記のコマンドを設定しないとTag付けしてくれない様です。
もしくはVlan毎にVDOM作成するかです
(interface) # edit VLAN1234
(VLAN1234) #set interface XXXX
(VLAN1234) #set vlanid 1234
(VLAN1234) #set forward-domain 1234 ←これが無いとTagを付けないようです
(VLAN1234) #next
バージョンアップによってHAが組めなくなった
バージョンアップ作業時に下記のエラーが出て正常にHAが組めなくなりました
slave and master have different hdisk status. Cannot work with HA master. Shutdown the box
下記のコマンドでHAを組むことができました
fortigate#execute ha ignore-hardware-revision enable
ハードウェア リビジョンを無視してHAを有効にするコマンドの様です
アラームメッセージ
アラーム
sync_type=”configurations” sync_status=”out-of-sync”
sync_type=”external-files” sync_status=”in-sync”
”external-files”はUTMのシグネチャ
”configurations”は機器のコンフィグ
意味
HAはそれぞれとも、片系にて更新された後にもう一方の機器へ同期が行われますが、
同期される前にHAの状態チェックが行われた場合、差異が検知されて発生するようです。
対処
タイミングにより発生するものであり、設定等で発生を止めることは出来ません。
待ちですね
おすすめFortigate本
コメント