Differences

This shows you the differences between two versions of the page.

--- informatique:fortinet:fortigate [2020/05/12 11:37] – [Processeurs] pteu
+++ informatique:fortinet:fortigate [2020/12/07 08:42] – connectivité interne des NPs (XAUI) pteu
@@ Line 36: / Line 36: @@
   * **NPx** : FortiASIC **N**etwork **P**rocessor, permet d'offloader certaines tâche réseau (principalement les trafics IPv4 et les trafics des tunnels VPN IPSec)
   * **SPx** : **S**ecurity **P**rocessor permet d'offloader certaines tâches de sécurité notamment l'intégralité des fonctions d'IPS
-  * **ISF** : Integrated Switch Fabric : permet d'interconnecter les NP. L'ISF lève les restrictions qui font que, par exemple, un flux ne peut être accéléré que si les 2 ports d'entrée et de sortie du flux sont connectés physiquement sur le même NP6.
+  * **ISF** : Integrated Switch Fabric : permet d'interconnecter les NPs. L'ISF lève les restrictions qui font que, par exemple, un flux ne peut être accéléré que si les 2 ports d'entrée et de sortie du flux sont connectés physiquement sur le même NP6.
   * les ports physiques
@@ Line 55: / Line 55: @@
 Celui-ci est équipé de 4x CP8, (une CPU), 2x NP6 et une ISF. On notera que le premier NP6 gère les 8 premiers ports alors que le second les 8 derniers. Ainsi, on prendra soin de répartir les interfaces à fort trafic sur des ports reliés aux différents NP6, afin de ne pas les saturer.
-Comme indiqué dans la source, on peut vérifier la connectivité interne d'un Fortigate 3000D avec un des 2 commandes suivantes :
+Comme indiqué dans la source, on peut vérifier la connectivité interne d'un Fortigate 3000D avec une des 2 commandes suivantes (exemple ici avec un 3000D) :
 <code bash>
 diagnose npu np6 port-list
-get hardware npu np6 port-list
+# ou get hardware npu np6 port-list
+Chip   XAUI Ports            Max   Cross-chip
+                             Speed offloading
+------ ---- -------          ----- ----------
+np6_0  0    port1            10G   Yes
+    port6            10G   Yes
+    port2            10G   Yes
+    port5            10G   Yes
+    port3            10G   Yes
+    port8            10G   Yes
+    port4            10G   Yes
+    port7            10G   Yes
+------ ---- -------          ----- ----------
+np6_1  0    port10           10G   Yes
+    port13           10G   Yes
+    port9            10G   Yes
+    port14           10G   Yes
+    port12           10G   Yes
+    port15           10G   Yes
+    port11           10G   Yes
+    port16           10G   Yes
+------ ---- -------          ----- ----------
 </code>
+On voit donc les 2 NP6 (np6_0 et np6_1) ainsi que leur connectivité avec les ports réels.
+La colonne XAUI indique les connexions internes des NPs ; les liens utilisés peuvent être QSGMII (4x 1G), XAUI (10G). Sur ce 3000D par exemple, chaque NP6 est interconnecté par 4 liens internes XAUI (à 10Gbps), pour atteindre la capacité max de traitement d'un NP6 qui est de 40 Gbps. On voit que les ports 1 et 6 sont connectés au np6_0 via le même lien XAUI 0 ; or ces ports ont une capacité de 10Gbps chacun, ils ne pourront donc pas être pleinement accélérés s'ils sont saturés. D’où la nécessité de bien choisir les ports à utiliser en fonction de leur trafic.
 =====Versions de FortiOS=====