A partire dalla versione 3.0 del firmware Fortinet sul cluster di Firewall vengono assegnati dei Mac Addresses virtuali a ogni singola interfaccia del nodo primario. Il protocollo FGCP usato dal cluster Fortinet per la gestione e la sincronizzazione delle unità del cluster utilizza un MAC Address virtuale associato all’IP virtuale del cluster (infatti Fortinet usa un solo IP per gestire tutti nodi del cluster).

L’utilizzo del virtual MAC Address consente al nodo secondario, in caso di fail del nodo primario, di appropriarsi di questo indirizzo; in questo modo i nodi della rete non debbano aspettare lo scadere delle entry nella tabella di arp locale per poter contattare il nodo del firewall e anche quei sistemi che rifiutano metodi di aggiornamento cache basati su gratuitous arp non avranno problemi dato che di fatto continueranno a spedire i loro pacchetti allo stesso IP (virtuale) del firewall e allo stesso MAC address (virtuale).

L’unica modifica nelle tabelle arp sarà quello degli switch a cui sono collegati i firewall dato che dovranno aggiornare la loro MAC forwarding table interna in modo che il virtual MAC address del firewall non sia più associato alla porta switch a cui è collegato il nodo primario, ma sia associato alla porta a cui è collegato il nodo secondario. Per permettere questo quando il cluster Fortiner cambia la priorità dei nodi in seguito a un failover, il nodo eletto come nuovo nodo primario invierà sulla rete dei gratuitous arp per aggiornare la MAC forwarding table dello switch e lo switch di conseguenza invierà tutti i pacchetti destinati al cluster di firewall al nuovo nodo primario.

Se un cluster opera in modalità NAT/Route, l’FGCP assegna dei Mac Addresses virtuali a ogni singola interfaccia del nodo primario. Alle interfacce VLAN viene assegnato lo stesso virtual MAC assegnato all’interfaccia fisica su cui è attestata la VLAN. Le interfacce ridondate o aggregate ricevono un virtual MAC da una lista specifica (di seguito elencata).

Se un cluster opera in modalità Trasparent, l’FGCP assegna un Mac Address virtuale per l’IP di management, ma considerando che la management è raggiungibile da ogni interfaccia si avrà che per il cluster in Trasparent mode ci sarà un virtual MAC Address identico per tutte le interfacce fisiche del cluster.

Una considerazione importante: dato che l’algoritmo di generazione dei Mac Addresses virtuali è sempre identico su ogni unità Fortinet, si otterrà che ogni cluster Fortinet di default ottiene gli stessi Mac Addresses virtuali. Per questo se si utilizzano più cluster all’interno di una stessa network è necessario impostare un parametro, il group ID, in modo che l’algortimo di generazione dei Mac Addresses virtuali generi degli indirizzi diversi per i diversi cluster ed evitae quindi dei MAC addresses duplicati.

Per cambiare il group ID andare in command line e impostarlo con i comandi seguenti:

config system haset group-id <id_integer>

end

Il virtual MAC address sarà generato secondo lo schema:

00-09-0f-09-<group-id_hex>-<vcluster_integer><idx>

Dove

<group-id_hex> è il group ID del cluster

<vcluster_integer> è il numero che identifica il virtual cluster. Nel caso non ci siano i VDOM abilitati ci sarà solo il VDOM root e sarà considerato 1 il valore da assegnare. Con i VDOM abilitati verranno associati i MAC addresses virtuali aggiungendo 1 all’intero <vcluster_integer>, quindi l’intero diventerà 2,3 e così via.

<idx> è il numero identificante l’interfaccia del firewall. In genere sono ordinate in ordine alfabetico con idx assegnato crescente

Qui riportato un esempio di un cluster di FG500 in HA con group ID di default (1) e VDOM non abilitati:

dmz interface virtual MAC: 00-09-0f-09-00-00 external interface virtual MAC: 00-09-0f-09-00-01 ha interface virtual MAC: 00-09-0f-09-00-02 Internal interface virtual MAC: 00-09-0f-09-00-03 port1 interface virtual MAC: 00-09-0f-09-00-04 port2 interface virtual MAC: 00-09-0f-09-00-05 port3 interface virtual MAC: 00-09-0f-09-00-06 port4 interface virtual MAC: 00-09-0f-09-00-07 port5 interface virtual MAC: 00-09-0f-09-00-08 port6 interface virtual MAC: 00-09-0f-09-00-09 port7 interface virtual MAC: 00-09-0f-09-00-0a port8 interface virtual MAC: 00-09-0f-09-00-0b