Differences

This shows you the differences between two versions of the page.

--- informatique:fortinet:fortigate [2019/08/23 06:40] – [Processeurs] 600E pteu
+++ informatique:fortinet:fortigate [2021/03/12 15:36] – [Processeurs] pteu
@@ Line 9: / Line 9: @@
 <code bash>
 # MODEL		CORE/HT		MODEL NAME
+A		2c		AMD / cpu family 15 / model 33 / model name 02/21 /
+                                stepping 2 / 1795 MHz / 1024 KB cache
 D		2x 10c/20t	Intel(R) Xeon(R) CPU E5-2650 v3 @ 2.30GHz
 B		4c/8t		Intel(R) Xeon(R) CPU           E5540  @ 2.53GHz
-c		4c		Intel(R) Core(TM) i5 CPU         750  @ 2.67GHz
 B		4c		Intel(R) Xeon(R) CPU           E5504  @ 2.00GHz
+E		6c/12t		Intel(R) Xeon(R) E-2186G CPU @ 3.80GHz
+C		4c		Intel(R) Core(TM) i5 CPU         750  @ 2.67GHz
+		1c		Mobile Genuine Intel(R) processor       1600MHz
 E		6c/12t		Intel(R) Core(TM) i7-8700 CPU @ 3.20GHz
 D		4c/8t		Intel(R) Core(TM) i7-3770 CPU @ 3.40GHz
 C		2c/4t		Intel(R) Core(TM) i3 CPU         540  @ 3.07GHz
-A		2c		AMD / cpu family 15 / model 33 / model name 02/21 / stepping 2 / 1795 MHz / 1024 KB cache
 B		1c		Intel(R) Celeron(R) CPU          440  @ 2.00GHz
-		1c		Mobile Genuine Intel(R) processor       1600MHz
 		1c		VIA Samuel 2 @ 400 MHz
 </code>
+<WRAP center round tip 60%>
+On peut récupérer les infos CPU avec la commande :
+''diagnose hardware sysinfo cpu''
+</WRAP>
 =====Architecture interne=====
@@ Line 29: / Line 37: @@
   * **NPx** : FortiASIC **N**etwork **P**rocessor, permet d'offloader certaines tâche réseau (principalement les trafics IPv4 et les trafics des tunnels VPN IPSec)
   * **SPx** : **S**ecurity **P**rocessor permet d'offloader certaines tâches de sécurité notamment l'intégralité des fonctions d'IPS
-  * **ISF** : Integrated Switch Fabric : permet d'interconnecter les NP. L'ISF lève les restrictions qui font que, par exemple, un flux ne peut être accéléré que si les 2 ports d'entrée et de sortie du flux sont connectés physiquement sur le même NP6.
+  * **ISF** : Integrated Switch Fabric : permet d'interconnecter les NPs. L'ISF lève les restrictions qui font que, par exemple, un flux ne peut être accéléré que si les 2 ports d'entrée et de sortie du flux sont connectés physiquement sur le même NP6.
   * les ports physiques
@@ Line 48: / Line 56: @@
 Celui-ci est équipé de 4x CP8, (une CPU), 2x NP6 et une ISF. On notera que le premier NP6 gère les 8 premiers ports alors que le second les 8 derniers. Ainsi, on prendra soin de répartir les interfaces à fort trafic sur des ports reliés aux différents NP6, afin de ne pas les saturer.
-Comme indiqué dans la source, on peut vérifier la connectivité interne d'un Fortigate 3000D avec un des 2 commandes suivantes :
+Comme indiqué dans la source, on peut vérifier la connectivité interne d'un Fortigate 3000D avec une des 2 commandes suivantes (exemple ici avec un 3000D) :
 <code bash>
 diagnose npu np6 port-list
-get hardware npu np6 port-list
+# ou get hardware npu np6 port-list
+Chip   XAUI Ports            Max   Cross-chip
+                             Speed offloading
+------ ---- -------          ----- ----------
+np6_0  0    port1            10G   Yes
+    port6            10G   Yes
+    port2            10G   Yes
+    port5            10G   Yes
+    port3            10G   Yes
+    port8            10G   Yes
+    port4            10G   Yes
+    port7            10G   Yes
+------ ---- -------          ----- ----------
+np6_1  0    port10           10G   Yes
+    port13           10G   Yes
+    port9            10G   Yes
+    port14           10G   Yes
+    port12           10G   Yes
+    port15           10G   Yes
+    port11           10G   Yes
+    port16           10G   Yes
+------ ---- -------          ----- ----------
 </code>
+On voit donc les 2 NP6 (np6_0 et np6_1) ainsi que leur connectivité avec les ports réels.
+La colonne XAUI indique les connexions internes des NPs ; les liens utilisés peuvent être QSGMII (4x 1G), XAUI (10G). Sur ce 3000D par exemple, chaque NP6 est interconnecté par 4 liens internes XAUI (à 10Gbps), pour atteindre la capacité max de traitement d'un NP6 qui est de 40 Gbps. On voit que les ports 1 et 6 sont connectés au np6_0 via le même lien XAUI 0 ; or ces ports ont une capacité de 10Gbps chacun, ils ne pourront donc pas être pleinement accélérés s'ils sont saturés.
+Pour créer un agrégat :
+  * si le forti n'a pas d'ISF, il faut utiliser des ports connectés en interne sur le même NP6 ; de fait, l’agrégat ne pourra pas dépasser 40Gbps de débit accéléré, puisqu’il sera limité par le NP6.
+  * si le forti possède une ISF qui interconnecte plusieurs NP6, on peut utiliser des ports connectés en interne sur les différents NPs, afin de répartir la charge et augmenter la capacité ; le débit accéléré max sera donc de N x 40Gbps (N = nombre de NP6)
+Ces paramètres doivent être pris en compte pour choisir quels ports utiliser pour interconnecter le Fortigate à votre réseau.
 =====Versions de FortiOS=====