備忘録代わりの記事です。
過去にFortiagteのHA構成を同一セグメントに複数配置した際、MACアドレスが重複して疎通確認が出来ないケースがありましたので対処方法の記載です。
MACアドレス重複時の構成
下記に構成図を記載しておりますが、同一セグメント上にFortigateを2台で構成したHAグループが2グループ配置された際に今回の事象が発生しました。
HA構成でなくればMACアドレスの重複は発生しませんのでご安心ください。
また、機種などは関係なく今回の事象は発生します。
MACアドレスが重複する理由
今回の事象の原因としては、FortigateでHA構成を組む際に設定されるグループIDという数値が重複することでMACアドレス重複が発生します。
グループIDとは、HA構成時に自動的に設定が行われますので、ユーザ側で明示的に指定するものではありません。
したがって仕様を知らなければ意図せずMACアドレスの重複が発生してしまいます。
00:09:0f:XX:XX
黃ライン:固定
赤ライン:グループID
青ライン:インターフェースのインデックス番号とバーチャルクラスタ番号
下記図のようにグループIDが初期値の場合はMACアドレスが重複し、通信に影響が発生します。
MACアドレス重複の回避方法
回避方法はシンプルにグループIDを一意のものに設定してください。
グループIDの設定方法は以下コマンドでグループIDを変更します。
config system ha set group-id XX end
XXの箇所に0〜255までの任意の数値を入れてコマンドを実行してください。
設定されたグループIDは以下のコマンドで確認出来ます。
show full-configuration system ha | grep group-id
HA構成を同一セグメントに2グループ配置するケースはあまりないかもしれませんが、HA構成をよく導入する方は気をつけてください。
参考サイト
HA構成のFortiGate間でMACアドレスが重複します/Hitachi Solutions
02424 : HA構成時の仮想MACアドレスについて/Networld
(2024/10/10 23:23:27時点 楽天市場調べ-詳細)