Bei älteren Konfigurationen ist die FortiLink-Schnittstelle häufig noch als Hardware-Switch konfiguriert. Erst in neueren Versionen ist es als Aggregate-Interface vorkonfiguriert. Leider gibt es seitens Hersteller bis jetzt keine Dokumentation, wie der Typ geändert werden kann.
Einige Hintergründe zu entsprechenden Anfragen:
- An ein Aggregate-Interface können nicht mehrere eigenständige FortiSwitches angeschlossen werden.
- Ausnahme: Das Aggregate unterstützt mehrere FortiSwitches, wenn diese untereinander verbunden sind:
- Variante 1 mit FortiLink Split Interface: Die Switches werden untereinander als Ring verbunden und die FortiGate nimmt jeweils lediglich einen Port im Aggregate aktiv. Das zweiter Interface bleibt “passiv”.
- Variante 2 mit MCLAG: Switch redundancy with MCLAG
- Die kleineren FortiSwitches (100er-Serie) unterstützen kein MCLAG. Leider hat Fortinet diese Infos aus den DataSheets entfernet und in eine separate Übersicht verfrachtet: Feature Matrix for FortiSwitchOS 7.2.0
- An ein Hardware-Switch können mehrere eigenständige FortiSwitches angeschlossen werden:
- Wenn die FortiSwitches untereinander verbunden sind, dann muss auf dem FortiLink STP (Spanning-Tree) aktiviert sein: HA-mode FortiGate units using hardware-switch interfaces and STP
Lösungswege
Wir empfehlen folgende zwei Varianten, wie der FortiLink im FortiOS entsprechend umgebaut werden kann:
- Das vorhandene FortiLink Interface (inkl. allen Referenzen) löschen und neu erstellen
- Die Konfiguration per Backup/Restore anpassen (ohne Gewähr)
- Dazu den Interface Typ von hard-switch zu aggregate ändern
- Sowie den FortiLink virtual-switch entfernen
# Before
config system interface
edit fortilink
set type hard-switch
config system virtual-switch
edit "fortilink"
set physical-switch "sw0"
config port
edit "a"
next
# After
config system
edit fortilink
set type aggregate
# Restore verifizieren
diagnose debug config-error-log read 
