pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » fortinet » fortigate
Trace:
informatique:fortinet:fortigate

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Last revisionBoth sides next revision
informatique:fortinet:fortigate [2018/03/14 14:34] – [Processeurs] pteuinformatique:fortinet:fortigate [2023/01/03 15:31] – [Processeurs] pteu
Line 9: Line 9:
 <code bash> <code bash>
 # MODEL CORE/HT MODEL NAME # MODEL CORE/HT MODEL NAME
-3000D 2x 10c/ht Intel(R) Xeon(R) CPU E5-2650 v3 @ 2.30GHz +3810A 2c AMD / cpu family 15 / model 33 / model name 02/21 / 
-3040B 4c/ht Intel(R) Xeon(R) CPU           E5540  @ 2.53GHz +                                stepping 2 / 1795 MHz / 1024 KB cache 
-800c 4c Intel(R) Core(TM) i5 CPU         750  @ 2.67GHz+3000D 2x 10c/20t Intel(R) Xeon(R) CPU E5-2650 v3 @ 2.30GHz 
 +3040B 4c/8t Intel(R) Xeon(R) CPU           E5540  @ 2.53GHz
 1240B 4c Intel(R) Xeon(R) CPU           E5504  @ 2.00GHz 1240B 4c Intel(R) Xeon(R) CPU           E5504  @ 2.00GHz
-600D 4c/ht Intel(R) Core(TMi7-3770 CPU @ 3.40GHz +1101E 6c/12t Intel(R) Xeon(RE-2186G CPU @ 3.80GHz 
-600C 2c/ht Intel(R) Core(TM) i3 CPU         540  @ 3.07GHz +800C 4c Intel(R) Core(TM) i5 CPU         750  @ 2.67GHz
-3810A 2c AMD / cpu family 15 / model 33 / model name 02/21 / stepping 2 / 1795 MHz / 1024 KB cache +
-310B 1c Intel(R) Celeron(R) CPU          440  @ 2.00GHz+
 800 1c Mobile Genuine Intel(R) processor       1600MHz 800 1c Mobile Genuine Intel(R) processor       1600MHz
 +600E 6c/12t Intel(R) Core(TM) i7-8700 CPU @ 3.20GHz
 +600D 4c/8t Intel(R) Core(TM) i7-3770 CPU @ 3.40GHz
 +600C 2c/4t Intel(R) Core(TM) i3 CPU         540  @ 3.07GHz
 +310B 1c Intel(R) Celeron(R) CPU          440  @ 2.00GHz
 +300A 1c Intel(R) Celeron(R) CPU 2.00GHz
 +200 1c Celeron (Coppermine) @300MHz
 +100F 8c ARMv8 Processor rev 4 (v8l) @ 1400 MHZ
 60 1c VIA Samuel 2 @ 400 MHz 60 1c VIA Samuel 2 @ 400 MHz
 </code> </code>
 +
 +<WRAP center round tip 60%>
 +On peut récupérer les infos CPU avec la commande :
 +''diagnose hardware sysinfo cpu''
 +</WRAP>
 +
  
 =====Architecture interne===== =====Architecture interne=====
Line 28: Line 40:
   * **NPx** : FortiASIC **N**etwork **P**rocessor, permet d'offloader certaines tâche réseau (principalement les trafics IPv4 et les trafics des tunnels VPN IPSec)   * **NPx** : FortiASIC **N**etwork **P**rocessor, permet d'offloader certaines tâche réseau (principalement les trafics IPv4 et les trafics des tunnels VPN IPSec)
   * **SPx** : **S**ecurity **P**rocessor permet d'offloader certaines tâches de sécurité notamment l'intégralité des fonctions d'IPS   * **SPx** : **S**ecurity **P**rocessor permet d'offloader certaines tâches de sécurité notamment l'intégralité des fonctions d'IPS
-  * **ISF** : Integrated Switch Fabric : permet d'interconnecter les NP. L'ISF lève les restrictions qui font que, par exemple, un flux ne peut être accéléré que si les 2 ports d'entrée et de sortie du flux sont connectés physiquement sur le même NP6.+  * **ISF** : Integrated Switch Fabric : permet d'interconnecter les NPs. L'ISF lève les restrictions qui font que, par exemple, un flux ne peut être accéléré que si les 2 ports d'entrée et de sortie du flux sont connectés physiquement sur le même NP6.
   * les ports physiques   * les ports physiques
  
Line 39: Line 51:
   * **NP6** : idem + IPv6 + CAPWAP + trafic Mcast ; capacité de traitement de 40 Gbps (4x 10 Gbps ou 3x 10 Gbps + 16x 1 Gbps)   * **NP6** : idem + IPv6 + CAPWAP + trafic Mcast ; capacité de traitement de 40 Gbps (4x 10 Gbps ou 3x 10 Gbps + 16x 1 Gbps)
  
-Exemple d'architecture interne pour un Fortigate 3000D ([[http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-hardware-acceleration-52/np6-fgt-3000D.htm|source]]) :+__Exemple d'architecture interne pour les Fortigate 800C__ ([[https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-hardware-acceleration-52/NP4-diagrams.htm|source]]) : 
 +{{ :informatique:fortinet:fg-800c-acdc-ports.jpg?nolink |}} 
 +Ce modèle est doté de 1x CP8 et 1x NP4 (gérant les ports via une ISF). 
 + 
 +__Exemple d'architecture interne pour les Fortigate 3000D__ ([[http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-hardware-acceleration-52/np6-fgt-3000D.htm|source]]) :
 {{ :informatique:fortinet:3000d-archi.png |}} {{ :informatique:fortinet:3000d-archi.png |}}
-Ce modèle est doté de 4x CP8, une CPU, 2x NP6 et une ISF. On notera que le premier NP6 gère les 8 premiers ports alors que le second les 8 derniers. Ainsi, on prendra soin de ne pas brancher toutes les interfaces à fort trafic sur le même NP6, afin de ne pas le saturer.+Celui-ci est équipé de 4x CP8, (une CPU), 2x NP6 et une ISF. On notera que le premier NP6 gère les 8 premiers ports alors que le second les 8 derniers. Ainsi, on prendra soin de répartir les interfaces à fort trafic sur des ports reliés aux différents NP6, afin de ne pas les saturer.
  
-Comme indiqué dans la source, on peut vérifier la connectivité interne d'un Fortigate 3000D avec un des 2 commandes suivantes :+Comme indiqué dans la source, on peut vérifier la connectivité interne d'un Fortigate 3000D avec une des 2 commandes suivantes (exemple ici avec un 3000D) :
 <code bash> <code bash>
 diagnose npu np6 port-list diagnose npu np6 port-list
-get hardware npu np6 port-list+# ou get hardware npu np6 port-list 
 +Chip   XAUI Ports            Max   Cross-chip 
 +                             Speed offloading 
 +------ ---- -------          ----- ---------- 
 +np6_0  0    port1            10G   Yes 
 +          port6            10G   Yes 
 +          port2            10G   Yes 
 +          port5            10G   Yes 
 +          port3            10G   Yes 
 +          port8            10G   Yes 
 +          port4            10G   Yes 
 +          port7            10G   Yes 
 +------ ---- -------          ----- ---------- 
 +np6_1  0    port10           10G   Yes 
 +          port13           10G   Yes 
 +          port9            10G   Yes 
 +          port14           10G   Yes 
 +          port12           10G   Yes 
 +          port15           10G   Yes 
 +          port11           10G   Yes 
 +          port16           10G   Yes 
 +------ ---- -------          ----- ----------
 </code> </code>
 +On voit donc les 2 NP6 (np6_0 et np6_1) ainsi que leur connectivité avec les ports réels.
 +
 +La colonne XAUI indique les connexions internes des NPs ; les liens utilisés peuvent être QSGMII (4x 1G), XAUI (10G). Sur ce 3000D par exemple, chaque NP6 est interconnecté par 4 liens internes XAUI (à 10Gbps), pour atteindre la capacité max de traitement d'un NP6 qui est de 40 Gbps. On voit que les ports 1 et 6 sont connectés au np6_0 via le même lien XAUI 0 ; or ces ports ont une capacité de 10Gbps chacun, ils ne pourront donc pas être pleinement accélérés s'ils sont saturés.
 +
 +Pour créer un agrégat :
 +  * si le forti n'a pas d'ISF, il faut utiliser des ports connectés en interne sur le même NP6 ; de fait, l’agrégat ne pourra pas dépasser 40Gbps de débit accéléré, puisqu’il sera limité par le NP6.
 +  * si le forti possède une ISF qui interconnecte plusieurs NP6, on peut utiliser des ports connectés en interne sur les différents NPs, afin de répartir la charge et augmenter la capacité ; le débit accéléré max sera donc de N x 40Gbps (N = nombre de NP6)
  
 +Ces paramètres doivent être pris en compte pour choisir quels ports utiliser pour interconnecter le Fortigate à votre réseau.
 =====Versions de FortiOS===== =====Versions de FortiOS=====
  
informatique/fortinet/fortigate.txt · Last modified: 2023/09/26 10:39 by pteu