Fortigateで同一ネットワークに複数のHA構成を配置するとMACアドレスが重複する

備忘録代わりの記事です。
過去にFortiagteのHA構成を同一セグメントに複数配置した際、MACアドレスが重複して疎通確認が出来ないケースがありましたので対処方法の記載です。

MACアドレス重複時の構成

下記に構成図を記載しておりますが、同一セグメント上にFortigateを2台で構成したHAグループが2グループ配置された際に今回の事象が発生しました。
HA構成でなくればMACアドレスの重複は発生しませんのでご安心ください。
また、機種などは関係なく今回の事象は発生します。

MACアドレスが重複する理由

今回の事象の原因としては、FortigateでHA構成を組む際に設定されるグループIDという数値が重複することでMACアドレス重複が発生します。
グループIDとは、HA構成時に自動的に設定が行われますので、ユーザ側で明示的に指定するものではありません。
したがって仕様を知らなければ意図せずMACアドレスの重複が発生してしまいます。

00:09:0f:XX:XX

黃ライン:固定

赤ライン:グループID

青ライン:インターフェースのインデックス番号とバーチャルクラスタ番号

下記図のようにグループIDが初期値の場合はMACアドレスが重複し、通信に影響が発生します。

MACアドレス重複の回避方法

回避方法はシンプルにグループIDを一意のものに設定してください。
グループIDの設定方法は以下コマンドでグループIDを変更します。

config system ha
set group-id XX
end

XXの箇所に0〜255までの任意の数値を入れてコマンドを実行してください。

設定されたグループIDは以下のコマンドで確認出来ます。

show full-configuration system ha | grep group-id

HA構成を同一セグメントに2グループ配置するケースはあまりないかもしれませんが、HA構成をよく導入する方は気をつけてください。

参考サイト

HA構成のFortiGate間でMACアドレスが重複します/Hitachi Solutions

02424 : HA構成時の仮想MACアドレスについて/Networld

created by Rinker
¥3,080 (2020/09/28 03:47:09時点 楽天市場調べ-詳細)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です