informatique:fortinet:offloading
Differences
This shows you the differences between two versions of the page.
Next revision | Previous revision | ||
informatique:fortinet:offloading [2016/08/31 10:06] – créée pteu | informatique:fortinet:offloading [2025/01/14 11:27] (current) – pteu | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ======Accélération matérielle sur un Fortigate====== | ||
- | ======Accélération hardware sur un Fortigate====== | + | L' |
- | L'**offloading** (ou **accélération hardware**) est le fait de déléguer certains calculs | + | Chez Fortinet il y a 2 types d'ASICs : des **n**etwork **p**rocessors |
- | Normalement l' | + | |
+ | =====Cas général===== | ||
+ | |||
+ | 2 commandes pour afficher différents informations relatives à la prise en charge sur des NPx : | ||
+ | <code bash> | ||
+ | config global | ||
+ | get hardware npu np6 {options} | ||
+ | # commande plus verbeuse : | ||
+ | diagnose npu np6 {plus d' | ||
+ | </ | ||
+ | |||
+ | ====Port binding==== | ||
+ | |||
+ | Pour afficher l' | ||
+ | <code bash> | ||
+ | diagnose npu np6 port-list | ||
+ | Chip XAUI Ports Max | ||
+ | Speed offloading | ||
+ | ------ ---- ------- | ||
+ | np6_0 0 port1 10G | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | ------ ---- ------- | ||
+ | np6_1 0 port10 | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | ------ ---- ------- | ||
+ | </ | ||
+ | |||
+ | ====Fonctionnalités activées==== | ||
+ | |||
+ | Pour afficher les fonctionnalités activées pour chaque NP (toujours sur notre 3000D) | ||
+ | <code bash> | ||
+ | diagnose npu np6 npu-feature | ||
+ | np_0 np_1 | ||
+ | ------------------- --------- --------- | ||
+ | Fastpath | ||
+ | Low-latency-mode | ||
+ | Low-latency-cap | ||
+ | IPv4 firewall | ||
+ | IPv6 firewall | ||
+ | IPv4 IPSec Yes | ||
+ | IPv6 IPSec Yes | ||
+ | IPv4 tunnel | ||
+ | IPv6 tunnel | ||
+ | GRE tunnel | ||
+ | GRE passthrough | ||
+ | IPv4 Multicast | ||
+ | IPv6 Multicast | ||
+ | CAPWAP | ||
+ | |||
+ | # Pour modifier ces fonctionnalités : | ||
+ | config system np6 | ||
+ | show full-configuration | ||
+ | </ | ||
+ | |||
+ | ====Compteurs==== | ||
+ | |||
+ | Pour afficher l' | ||
+ | * actives | ||
+ | * offloadées (insert-success) | ||
+ | * dropped (insert-total - insert-success) | ||
+ | <code bash> | ||
+ | config global | ||
+ | | ||
+ | Counters | ||
+ | --------------- --------------- --------------- --------------- | ||
+ | active | ||
+ | insert-total | ||
+ | insert-success | ||
+ | delete-total | ||
+ | delete-success | ||
+ | purge-total | ||
+ | purge-success | ||
+ | search-total | ||
+ | search-hit | ||
+ | mcast-tx | ||
+ | --------------- --------------- --------------- --------------- | ||
+ | pht-size | ||
+ | oft-size | ||
+ | oftfree | ||
+ | PBA | ||
+ | </ | ||
+ | |||
+ | ====Afficher l' | ||
+ | |||
+ | Les informations de de l' | ||
+ | <code bash> | ||
+ | diagnose sys session filter dst 10.0.0.1 | ||
+ | diagnose sys session list | ||
+ | |||
+ | session info: proto=6 proto_state=05 duration=64 expire=62 timeout=300 flags=00000000 sockflag=00000000 sockport=0 av_idx=0 use=3 | ||
+ | origin-shaper= | ||
+ | reply-shaper= | ||
+ | per_ip_shaper= | ||
+ | ha_id=0 policy_dir=0 tunnel=/ vlan_cos=0/ | ||
+ | state=may_dirty npu | ||
+ | statistic(bytes/ | ||
+ | tx speed(Bps/ | ||
+ | orgin-> | ||
+ | hook=pre dir=org act=noop 10.40.3.171: | ||
+ | hook=post dir=reply act=noop 10.1.1.78: | ||
+ | pos/ | ||
+ | misc=0 policy_id=294 auth_info=0 chk_client_info=0 vd=0 | ||
+ | serial=d3e5760d tos=ff/ff app_list=0 app=0 url_cat=0 | ||
+ | dd_type=0 dd_mode=0 | ||
+ | npu_state=0x000c00 | ||
+ | npu info: flag=0x81/ | ||
+ | vlifid=146/ | ||
+ | </ | ||
+ | |||
+ | Si '' | ||
+ | <code bash> | ||
+ | offload=1/1 for NP1(FA1) sessions. | ||
+ | offload=2/2 for NP1(FA2) sessions. | ||
+ | offload=3/3 for NP2 sessions. | ||
+ | offload=4/4 for NP4 sessions. | ||
+ | offload=5/5 for XLR sessions. | ||
+ | offload=6/6 for Nplite/ | ||
+ | offload=7/7 for XLP sessions. | ||
+ | offload=8/8 for NP6 sessions. | ||
+ | |||
+ | flag 0x81 means regular traffic. | ||
+ | flag 0x82 means IPsec traffic. | ||
+ | </ | ||
+ | |||
+ | Certaines sessions ne sont pas accélérées, | ||
+ | <code bash> | ||
+ | npu_state=00000000 | ||
+ | no_ofld_reason: | ||
+ | </ | ||
+ | |||
+ | |||
+ | =====Cas de l' | ||
+ | |||
+ | Normalement l' | ||
<code bash> | <code bash> | ||
# Pour les tunnels routés cela se configure dans la phase1-interface : | # Pour les tunnels routés cela se configure dans la phase1-interface : | ||
Line 19: | Line 165: | ||
</ | </ | ||
- | On peut vérifier si un tunnel déjà en fonctionnement est offloader | + | Il faut noter que dans certains cas précis le tunnel n'est pas offloadé alors qu'on penserait qu'il le soit : [[https:// |
+ | |||
+ | On peut vérifier si un tunnel déjà en fonctionnement est offloadé | ||
<code bash> | <code bash> | ||
diagnose vpn tunnel list | diagnose vpn tunnel list | ||
Line 112: | Line 260: | ||
* [[http:// | * [[http:// | ||
* [[http:// | * [[http:// | ||
+ | * [[http:// | ||
informatique/fortinet/offloading.1472638014.txt.gz · Last modified: 2016/08/31 10:06 by pteu