Differences

This shows you the differences between two versions of the page.

--- informatique:fortinet:fortigate [2018/03/14 14:34] – [Processeurs] pteu
+++ informatique:fortinet:fortigate [2024/10/14 09:15] (current) – [Processeurs] pteu
@@ Line 6: / Line 6: @@
 =====Processeurs=====
-Comparatif informel et non-contractuel des CPUs de certains modèles de Fortigate :
+Comparatif informel des CPUs de certains modèles de Fortigate :
 <code bash>
 # MODEL		CORE/HT		MODEL NAME
-D		2x 10c/ht	Intel(R) Xeon(R) CPU E5-2650 v3 @ 2.30GHz
+A		2c		AMD / cpu family 15 / model 33 / model name 02/21 /
-B		4c/ht		Intel(R) Xeon(R) CPU           E5540  @ 2.53GHz
+                                stepping 2 / 1795 MHz / 1024 KB cache
-c		4c		Intel(R) Core(TM) i5 CPU         750  @ 2.67GHz
+D		2x 10c/20t	Intel(R) Xeon(R) CPU E5-2650 v3 @ 2.30GHz
+B		4c/8t		Intel(R) Xeon(R) CPU           E5540  @ 2.53GHz
 B		4c		Intel(R) Xeon(R) CPU           E5504  @ 2.00GHz
-D		4c/ht		Intel(R) Core(TM) i7-3770 CPU @ 3.40GHz
+E		6c/12t		Intel(R) Xeon(R) E-2186G CPU @ 3.80GHz
-C		2c/ht		Intel(R) Core(TM) i3 CPU         540  @ 3.07GHz
+C		4c		Intel(R) Core(TM) i5 CPU         750  @ 2.67GHz
-A		2c		AMD / cpu family 15 / model 33 / model name 02/21 / stepping 2 / 1795 MHz / 1024 KB cache
-B		1c		Intel(R) Celeron(R) CPU          440  @ 2.00GHz
 		1c		Mobile Genuine Intel(R) processor       1600MHz
+E		6c/12t		Intel(R) Core(TM) i7-8700 CPU @ 3.20GHz
+D		4c/8t		Intel(R) Core(TM) i7-3770 CPU @ 3.40GHz
+C		2c/4t		Intel(R) Core(TM) i3 CPU         540  @ 3.07GHz
+B		1c		Intel(R) Celeron(R) CPU          440  @ 2.00GHz
+A		1c		Intel(R) Celeron(R) CPU 2.00GHz
+		1c		Celeron (Coppermine) @300MHz
+F		8c		ARMv8 Processor rev 4 (v8l) @ 1400 MHZ
 		1c		VIA Samuel 2 @ 400 MHz
 </code>
+<WRAP center round tip 60%>
+On peut récupérer les infos CPU avec la commande :
+''get hardware stat | grep ^CPU'' ou ''diagnose hardware sysinfo cpu | grep "model name"''
+</WRAP>
+Lien vers une page plus fournie : [[https://yurisk.info/2021/03/14/Fortigate-Firewalls-Hardware-CPU-model-and-number-Memory-size-datasheet-table/|yurisk.info]]
 =====Architecture interne=====
@@ Line 28: / Line 42: @@
   * **NPx** : FortiASIC **N**etwork **P**rocessor, permet d'offloader certaines tâche réseau (principalement les trafics IPv4 et les trafics des tunnels VPN IPSec)
   * **SPx** : **S**ecurity **P**rocessor permet d'offloader certaines tâches de sécurité notamment l'intégralité des fonctions d'IPS
-  * **ISF** : Integrated Switch Fabric : permet d'interconnecter les NP. L'ISF lève les restrictions qui font que, par exemple, un flux ne peut être accéléré que si les 2 ports d'entrée et de sortie du flux sont connectés physiquement sur le même NP6.
+  * **ISF** : Integrated Switch Fabric : permet d'interconnecter les NPs. L'ISF lève les restrictions qui font que, par exemple, un flux ne peut être accéléré que si les 2 ports d'entrée et de sortie du flux sont connectés physiquement sur le même NP6.
   * les ports physiques
@@ Line 38: / Line 52: @@
   * **NP4** : idem ; capacité de traitement de 20 Gbps (2x 10 Gbps)
   * **NP6** : idem + IPv6 + CAPWAP + trafic Mcast ; capacité de traitement de 40 Gbps (4x 10 Gbps ou 3x 10 Gbps + 16x 1 Gbps)
+  * **NP7** (introduit avec la génération F, à partir du modèle 400F) : idem + GTP, accélération VxLAN, NAT ; capacité de 200 Gbps (2x 100)
-Exemple d'architecture interne pour un Fortigate 3000D ([[http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-hardware-acceleration-52/np6-fgt-3000D.htm|source]]) :
+__Exemple d'architecture interne pour les Fortigate 800C__ ([[https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-hardware-acceleration-52/NP4-diagrams.htm|source]]) :
+{{ :informatique:fortinet:fg-800c-acdc-ports.jpg?nolink |}}
+Ce modèle est doté de 1x CP8 et 1x NP4 (gérant les ports via une ISF).
+__Exemple d'architecture interne pour les Fortigate 3000D__ ([[http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-hardware-acceleration-52/np6-fgt-3000D.htm|source]]) :
 {{ :informatique:fortinet:3000d-archi.png |}}
-Ce modèle est doté de 4x CP8, une CPU, 2x NP6 et une ISF. On notera que le premier NP6 gère les 8 premiers ports alors que le second les 8 derniers. Ainsi, on prendra soin de ne pas brancher toutes les interfaces à fort trafic sur le même NP6, afin de ne pas le saturer.
+Celui-ci est équipé de 4x CP8, (une CPU), 2x NP6 et une ISF. On notera que le premier NP6 gère les 8 premiers ports alors que le second les 8 derniers. Ainsi, on prendra soin de répartir les interfaces à fort trafic sur des ports reliés aux différents NP6, afin de ne pas les saturer.
-Comme indiqué dans la source, on peut vérifier la connectivité interne d'un Fortigate 3000D avec un des 2 commandes suivantes :
+Comme indiqué dans la source, on peut vérifier la connectivité interne d'un Fortigate 3000D avec une des 2 commandes suivantes (exemple ici avec un 3000D) :
 <code bash>
 diagnose npu np6 port-list
-get hardware npu np6 port-list
+# ou get hardware npu np6 port-list
+Chip   XAUI Ports            Max   Cross-chip
+                             Speed offloading
+------ ---- -------          ----- ----------
+np6_0  0    port1            10G   Yes
+    port6            10G   Yes
+    port2            10G   Yes
+    port5            10G   Yes
+    port3            10G   Yes
+    port8            10G   Yes
+    port4            10G   Yes
+    port7            10G   Yes
+------ ---- -------          ----- ----------
+np6_1  0    port10           10G   Yes
+    port13           10G   Yes
+    port9            10G   Yes
+    port14           10G   Yes
+    port12           10G   Yes
+    port15           10G   Yes
+    port11           10G   Yes
+    port16           10G   Yes
+------ ---- -------          ----- ----------
 </code>
+On voit donc les 2 NP6 (np6_0 et np6_1) ainsi que leur connectivité avec les ports réels.
+La colonne XAUI indique les connexions internes des NPs ; les liens utilisés peuvent être QSGMII (4x 1G), XAUI (10G). Sur ce 3000D par exemple, chaque NP6 est interconnecté par 4 liens internes XAUI (à 10Gbps), pour atteindre la capacité max de traitement d'un NP6 qui est de 40 Gbps. On voit que les ports 1 et 6 sont connectés au np6_0 via le même lien XAUI 0 ; or ces ports ont une capacité de 10Gbps chacun, ils ne pourront donc pas être pleinement accélérés s'ils sont saturés.
+Pour créer un agrégat :
+  * si le forti n'a pas d'ISF, il faut utiliser des ports connectés en interne sur le même NP6 ; de fait, l’agrégat ne pourra pas dépasser 40Gbps de débit accéléré, puisqu’il sera limité par le NP6.
+  * si le forti possède une ISF qui interconnecte plusieurs NP6, on peut utiliser des ports connectés en interne sur les différents NPs, afin de répartir la charge et augmenter la capacité ; le débit accéléré max sera donc de N x 40Gbps (N = nombre de NP6)
+Ces paramètres doivent être pris en compte pour choisir quels ports utiliser pour interconnecter le Fortigate à votre réseau.
 =====Versions de FortiOS=====