Bei einem Fortigate Cluster, welches eine Verbindung zu einem Switch, mit einer 802.3ad Link Aggregation verkabelt wurde, kann die Aushandlung der Link Aggregation fehlschlagen, da die MAC Adresse beider Cluster Member gleich ist. Am Switch ist die Link Aggregation Group dann Out of Sync, also fehlerhaft. Dem kann man begegnen, indem man am 802.3ad Interface der Fortigate, den Parameter set lacp-ha-slave disable setzt. Dann wird der Uplink der jeweils sekundären Appliance, nicht an der Aushandlung der Link Aggregation teilnehmen.
Beispielkonfig für das LAG Interface „LAG-Link-01“:
config system interface
edit LAG-Link-01
set lacp-ha-slave disable
next
end
Übrigens ändert sich der Paramter ab FortiOS 7.2.1 in set lacp-ha-secondary disable.
Den Status prüft man dann via CLI mit:
diag netlink aggregate name LAG-Link-01
Exakt beschrieben ist diese Konfiguration durch Fortinet in diesem Artikel:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Initial-troubleshooting-steps-for-LACP-Link/ta-p/198339.