Salut,
Sur un FGT200G, c'est un NP7-Lite. Génération 7 en tous les cas. Donc je
conseillerai plutôt la branche 7.4, tu n'auras aucun bugfix en 7.2.
Il y a des dépendances qui empêchent la montée de version ? (FMG, FAZ,
FSW, FAP, autre ?)
Je confirme qu'il y a bien un ISF (Integrated Switch Fabric) sur ce
modèle, donc pas de limitation particulière.
Le nombre de LAG n'est pas limité, il n'y a pas de licence sur cet
aspect. Par défaut, les LAG sont gérés par l'adom de management (root en
général).
S'il y a un souci avec le LACP actif, ca peut aussi être la faute du
switch. Ils sont à jour les Cisco en firmware ?
Sinon, tu peux tenter de passer dans un autre mode :
# set lacp-mode
static Use static aggregation, do not send and ignore any LACP messages.
passive Passively use LACP to negotiate 802.3ad aggregation.
active Actively use LACP to negotiate 802.3ad aggregation.
Le 05/11/2025 à 08:40, Stephane Perez a écrit :
Bonjour la liste,
Merci pour vos réponses.
@Jeremie
Une histoire de licence ? Limitation de l'équipement sur le nombre de LACP en
même temps ?
Non 2 LACP au total sur un boîtier FGT-200G
@Michaël
Initial troubleshooting steps for LACP (L... - Fortinet Community
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Initial-troubleshooting-steps-for-LACP-Link/ta-p/198339
Déjà fait avant d’envoyer les bouteilles à la mer.
@Guillaume
Ensuite, cela peut être un bug sur la branche 7.2. On pourrait étudier un
upgrade en 7.4.9 :
Upgrade en 7.4 pas possible pour le moment du fait du reste de l’infrastructure
chez le client.
Cela dépend du modèle de FortiGate, et des switchs en face (sont-ils en stack?
avec support MCLAG?)
https://community.fortinet.com/t5/FortiGate/Technical-Tip-LACP-behavior-in-an-HA-cluster/ta-p/195163
Comme précisé initialement, c’est un stack de Cisco 3750 donc je n’ai pas trop
de doutes là dessus et surtout autrement nous aurions un comportement
incohérent entre les FGT qui sont attachés sur la même Stack.
@Nicolas,
Il me semblait que c'était une conf par défaut et que le LACP monte uniquement
lors de la bascule du HA,
mais qu'il y a une conf spécifique pour le forcer à monter en avance de phase.
Cela serait logique si le LACP du vdom root n’était pas monté aussi, or là il
monte sur le Vdom ROOT et pas sur celui de prod or
edit "LACP-IS"
set vdom "root"
set vrf 0
...
set lldp-reception vdom
set lldp-transmission enable
...
set lacp-mode active
set lacp-ha-secondary enable <—
set lacp-speed slow
set min-links 1
set min-links-down operational
…
set aggregate-type physical
next
edit "LACP-NONIS"
set vdom « prod"
...
set lldp-reception vdom
set lldp-transmission enable
…
set lacp-mode active
set lacp-ha-secondary enable. <----
set lacp-speed slow
set min-links 1
set min-links-down operationa
next
@Boris
Je suppose que c'est un cluster de 600F et non G. Tu as du déclencher le bug de
la 7.2.11 sur les NP7.
Je corrige c’est 200G… typo de ma part mais c’est donc bien du NP7
Stéphane, si tu veux vérifier mon hypothèse, il te suffit de lancer un sniffer
npu sur ton LACP en défaut voir les interfaces physiques une à une. Si ça
refonctionne j'avais raison sinon c'est un autre problème.
Je vais regarder cela et le bug mentionné et les étapes de TS, ceci est une
piste qui me paraît très intéressante.
Je vous tiendrai informé.
——
Stéphane
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
