Bonjour Stéphane,
Cela dépend du modèle de FortiGate, et des switchs en face (sont-ils en
stack? avec support MCLAG?)
https://community.fortinet.com/t5/FortiGate/Technical-Tip-LACP-behavior-in-an-HA-cluster/ta-p/195163
Dans le cas d'un cluster FGCP, avec multi-vdoms, la communication
inter-vdoms est préférable en repassant par des
interfaces physiques (si répartiton des vdoms en vcluster), ou par
npu_vlink. Pour le vdom-link, je ne le recommande pas (c'est CPU-based)
Sur des FortiGates hardware (avec ASIC), il y a un npu_vlink, qui est
traité par le NP.
Il faudrait connaitre le hardware précis, pour savoir si les ports 17/18
et 19/20 sont sur le même ISF, ou en direct sur le NP (ce qui peut
limiter le setup).
Ensuite, cela peut être un bug sur la branche 7.2. On pourrait étudier
un upgrade en 7.4.9 :
https://docs.fortinet.com/document/fortigate/7.4.9/fortios-release-notes/289806/resolved-issues
Mantis #1113436: Packets are dropped when using auto-asic-offload with
802.1AD over LACP on FortiGate due to missing MAC address assignment on
QinQ lag interfaces.
Si tu souhaites échanger de manière plus précise sur ce sujet, on peut
poursuivre en MP. Avec NDA si besoin.
Guillaume (NSE8/FCX)
Le 04/11/2025 à 15:09, Stephane Perez a écrit :
Bonjour la liste,
Je viens d'avoir un truc assez loufoque avec un boîtier LACP Fortigate en
version 7.2.11 (je sais ce n'est pas tout jeune) qui est face à une stack
de Cisco 3750.
On a une infra cluster avec 2 boîtiers FGT-600G et 2 vdoms (root + prod).
Deux LACP sont montés sur les boîtiers un pour chaque Vdom
Donc nous avons :
- LACP vdom Root (ports 17/18)
- LACP vdom Prod. (ports 19/20)
La configuration Fortinet est on en peut plus classique en FGCP avec un
Intervdom-link entre les 2 vdoms et du routage statique.
Sauf que:
- Sur le boîtier A (actuellement primaire)
- Les deux aggrégats LACP sont montés
- Sur le boîtier B (actuellement secondaire)
- le LACP du vdom Root est bien monté
- celui du vdom prod ne l'est pas
En allant chercher dans les traces réseaux sur les interfaces du boîtier B
- Les LACP PDU sont bien envoyés sur les ports 17/18
- On reçoit les LACP PDU du Switch
- Les LACP PDU ne sont pas envoyés sur les ports 19/20
- On reçoit bien les LACP PDU du Switch
Bien évidemment la conséquence est que la bascule HA ne fonctionne pas mais
ça c'est une autre histoire.
Si quelqu'un a une idée du pourquoi du comment, j'avoue qu'en dehors de
redémarrer le boîtier, de lui taper dessus ou de faire un reset factory +
resynchro HA.
Merci par avance de votre aide.
a+
--
-----------------------------------------------
Stephane
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
