User Tools

Site Tools


informatique:fortinet:offloading

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
informatique:fortinet:offloading [2018/06/19 09:09] – Cas général pteuinformatique:fortinet:offloading [2025/01/14 11:27] (current) pteu
Line 1: Line 1:
 +======Accélération matérielle sur un Fortigate======
  
-======Accélération hardware sur un Fortigate====== +L'**offloading** (ou **accélération matérielle**) est le fait de déléguer certains calculs à des puces spécialisées, afin de décharger le CPU du Fortigate. Cela peut être le cas pour le chiffrement des tunnels IPSec ou SSL par exemple.
- +
-L'**offloading** (ou **accélération hardware**) est le fait de déléguer certains calculs pour décharger le CPU du Fortigate. Cela peut être le cas pour le chiffrement des tunnels IPSec ou SSL par exemple.+
  
 Chez Fortinet il y a 2 types d'ASICs : des **n**etwork **p**rocessors (NP) pour accélérer les flux réseaux, et des **c**ontent **p**rocessors (CP) pour la partie sécurité (antivirus, IPS, etc) ; leur suffixe indique leur génération (NP4, NP6, CP8...) et donc leur performance. Chez Fortinet il y a 2 types d'ASICs : des **n**etwork **p**rocessors (NP) pour accélérer les flux réseaux, et des **c**ontent **p**rocessors (CP) pour la partie sécurité (antivirus, IPS, etc) ; leur suffixe indique leur génération (NP4, NP6, CP8...) et donc leur performance.
Line 151: Line 150:
 =====Cas de l'IPSec===== =====Cas de l'IPSec=====
  
-Normalement l'accélération hardware est activée par défaut mais on peut l'activer (ou la désactiver) pour les tunnels IPSec :+Normalement l'accélération hardware est activée par défaut si elle est prise en charge par le matériel, mais on peut l'activer (ou la désactiver) pour les tunnels IPSec :
 <code bash> <code bash>
 # Pour les tunnels routés cela se configure dans la phase1-interface : # Pour les tunnels routés cela se configure dans la phase1-interface :
Line 166: Line 165:
 </code> </code>
  
-On peut vérifier si un tunnel déjà en fonctionnement est offloader avec la commande :+Il faut noter que dans certains cas précis le tunnel n'est pas offloadé alors qu'on penserait qu'il le soit : [[https://community.fortinet.com/t5/FortiGate/Technical-Tip-Information-about-IPsec-on-loopback-interface-and/ta-p/208677|par exemple un Fortigate en version 7.2.0, équipé de NP7, et avec un VPN configuré sur une interface de loopback]] (mais pas s'il est en 7.2.1 !). 
 + 
 +On peut vérifier si un tunnel déjà en fonctionnement est offloadé avec la commande :
 <code bash> <code bash>
 diagnose vpn tunnel list diagnose vpn tunnel list
informatique/fortinet/offloading.1529399343.txt.gz · Last modified: 2018/06/19 09:09 by pteu