Hello la liste, En voyant tous vos messages j'ai l'impression que le support LACP n'est pas cuit sur les NP7.
J'ai moi meme un bug que j'ai du mal à faire reconnaitre par le support Fortigate. Une paire de 201G en v7.4.9 actif-passif en LACP sur deux Arista en multihoming EVPN. Juste après le handshake TCP (syn, syn-ack, ack) le flux passe en offloading hardware dans le NPU. Et là c'est le drame, le NPU n'utilise pas la meme interface de sortie que le soft une fois sur deux environ (c'est random quoi :D). Ca ignore le hash (L3 ou L4) de l'interface LACP dès que ca passe en hardware. J'ai trouvé 2 solutions : passer le hash en L2 sur l'interface LAG côté Fortigate ou désactiver l'offload NPU dans les policy. Le support Fortigate rechigne à diagnostiquer parce qu'en face j'ai 2 switch différents (multihoming EVPN) et ils disent que c'est pas supporté. Mais çà n'a rien à voir avec la choucroute, on est bien d'accord que le hash de sortie de l'agrégat doit être consistant/déterministe quelque soit le truc en face et quelque soit l'algo utilisé (L2 L3 ou L4) ?! Cédric ----- Le 4 Nov 25, à 20:20, Guillaume via frnog [email protected] a écrit : > Bonjour Stéphane, > > > Cela dépend du modèle de FortiGate, et des switchs en face (sont-ils en > stack? avec support MCLAG?) > > https://community.fortinet.com/t5/FortiGate/Technical-Tip-LACP-behavior-in-an-HA-cluster/ta-p/195163 > > > Dans le cas d'un cluster FGCP, avec multi-vdoms, la communication > inter-vdoms est préférable en repassant par des > > interfaces physiques (si répartiton des vdoms en vcluster), ou par > npu_vlink. Pour le vdom-link, je ne le recommande pas (c'est CPU-based) > > Sur des FortiGates hardware (avec ASIC), il y a un npu_vlink, qui est > traité par le NP. > > Il faudrait connaitre le hardware précis, pour savoir si les ports 17/18 > et 19/20 sont sur le même ISF, ou en direct sur le NP (ce qui peut > limiter le setup). > > > Ensuite, cela peut être un bug sur la branche 7.2. On pourrait étudier > un upgrade en 7.4.9 : > > https://docs.fortinet.com/document/fortigate/7.4.9/fortios-release-notes/289806/resolved-issues > > Mantis #1113436: Packets are dropped when using auto-asic-offload with > 802.1AD over LACP on FortiGate due to missing MAC address assignment on > QinQ lag interfaces. > > > Si tu souhaites échanger de manière plus précise sur ce sujet, on peut > poursuivre en MP. Avec NDA si besoin. > > Guillaume (NSE8/FCX) > > > > Le 04/11/2025 à 15:09, Stephane Perez a écrit : >> Bonjour la liste, >> >> Je viens d'avoir un truc assez loufoque avec un boîtier LACP Fortigate en >> version 7.2.11 (je sais ce n'est pas tout jeune) qui est face à une stack >> de Cisco 3750. >> >> On a une infra cluster avec 2 boîtiers FGT-600G et 2 vdoms (root + prod). >> Deux LACP sont montés sur les boîtiers un pour chaque Vdom >> >> Donc nous avons : >> - LACP vdom Root (ports 17/18) >> - LACP vdom Prod. (ports 19/20) >> >> La configuration Fortinet est on en peut plus classique en FGCP avec un >> Intervdom-link entre les 2 vdoms et du routage statique. >> >> Sauf que: >> - Sur le boîtier A (actuellement primaire) >> - Les deux aggrégats LACP sont montés >> - Sur le boîtier B (actuellement secondaire) >> - le LACP du vdom Root est bien monté >> - celui du vdom prod ne l'est pas >> >> En allant chercher dans les traces réseaux sur les interfaces du boîtier B >> - Les LACP PDU sont bien envoyés sur les ports 17/18 >> - On reçoit les LACP PDU du Switch >> - Les LACP PDU ne sont pas envoyés sur les ports 19/20 >> - On reçoit bien les LACP PDU du Switch >> Bien évidemment la conséquence est que la bascule HA ne fonctionne pas mais >> ça c'est une autre histoire. >> >> Si quelqu'un a une idée du pourquoi du comment, j'avoue qu'en dehors de >> redémarrer le boîtier, de lui taper dessus ou de faire un reset factory + >> resynchro HA. >> >> Merci par avance de votre aide. >> >> a+ >> -- >> ----------------------------------------------- >> Stephane >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
