pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » fortinet » fortigate
Trace: fortigate
informatique:fortinet:fortigate

This is an old revision of the document!

Table of Contents

Fortigate

Fortigate est la gamme de firewall++ de Fortinet ; ils font du routage, du firewalling, concentrateur VPN, VPN SSL, antivirus, IPS, etc… bref pas mal de fonctions qui s'implémentent au fil du temps.

Processeurs

Comparatif informel et non-contractuel des CPUs de certains modèles de Fortigate : 

# MODEL		CORE/HT		MODEL NAME
3000D		2x 10c/ht	Intel(R) Xeon(R) CPU E5-2650 v3 @ 2.30GHz
3040B		4c/ht		Intel(R) Xeon(R) CPU           E5540  @ 2.53GHz
800c		4c		Intel(R) Core(TM) i5 CPU         750  @ 2.67GHz
1240B		4c		Intel(R) Xeon(R) CPU           E5504  @ 2.00GHz
600D		4c/ht		Intel(R) Core(TM) i7-3770 CPU @ 3.40GHz
600C		2c/ht		Intel(R) Core(TM) i3 CPU         540  @ 3.07GHz
3810A		2c		AMD / cpu family 15 / model 33 / model name 02/21 / stepping 2 / 1795 MHz / 1024 KB cache
310B		1c		Intel(R) Celeron(R) CPU          440  @ 2.00GHz
800		1c		Mobile Genuine Intel(R) processor       1600MHz
60		1c		VIA Samuel 2 @ 400 MHz

Architecture interne

L'architecture interne (simplifiée) des Fortigate varie selon les modèles, et interconnecte les composants suivants :

  • CPU
  • CPx : Content Processor, permet d'offloader (décharger le processeur principal de) certaines tâches de sécurité (comme les signatures IPS ou la gestion protocolaire IKE/IPSec dans le cas de la génération 8 = CP8)
  • NPx : FortiASIC Network Processor, permet d'offloader certaines tâche réseau (principalement les trafics IPv4 et les trafics des tunnels VPN IPSec)
  • SPx : Security Processor permet d'offloader certaines tâches de sécurité notamment l'intégralité des fonctions d'IPS
  • ISF : Integrated Switch Fabric : permet d'interconnecter les NP. L'ISF lève les restrictions qui font que, par exemple, un flux ne peut être accéléré que si les 2 ports d'entrée et de sortie du flux sont connectés physiquement sur le même NP6.
  • les ports physiques

Il existe souvent des restrictions de prise en charge de l'offloading (par exemple dans le cas de paquets fragmentés, jumbo frames ou autre..) ; dans ce cas lesdits trafics seront traités par le processeur central. Pour en avoir une liste plus exhaustive je vous recommande la consultation du document FortiOS Handbook - Hardware Acceleration trouvable ici : http://docs.fortinet.com/fortigate/admin-guides .

Comparaison indicative des NPx : les différences concernent 1) la capacité de traitement de la puce, 2) sa connectivité, et 3) les fonctions gérées par celle-ci.

  • NP1 : firewalling IPv4 et chiffrement des VPN IPSec ; capacité de traitement de 2 Gbps (2x 1 Gbps)
  • NP2 : idem ; capacité de traitement de 2 Gbps (1x 10 Gbps ou 4x 1Gbps)
  • NP4 : idem ; capacité de traitement de 20 Gbps (2x 10 Gbps)
  • NP6 : idem + IPv6 + CAPWAP + trafic Mcast ; capacité de traitement de 40 Gbps (4x 10 Gbps ou 3x 10 Gbps + 16x 1 Gbps)

Exemple d'architecture interne pour un Fortigate 3000D (source) : Ce modèle est doté de 4x CP8, une CPU, 2x NP6 et une ISF. On notera que le premier NP6 gère les 8 premiers ports alors que le second les 8 derniers. Ainsi, on prendra soin de ne pas brancher toutes les interfaces à fort trafic sur le même NP6, afin de ne pas le saturer.

Comme indiqué dans la source, on peut vérifier la connectivité interne d'un Fortigate 3000D avec un des 2 commandes suivantes : 

diagnose npu np6 port-list
get hardware npu np6 port-list

Versions de FortiOS

Correspondance constatée entre les numéros de version et les numéros de build (ces derniers peuvent changer en fonction des modèles) : 

# VER BUILD			RELEASE				DATE
5.4.1 Build 1064
5.2.7 Build 0718
5.2.6 Build 0711
5.2.5 Build 0701
5.2.3 Build 0670 ou 0350
5.0.6 Build 0271    		Latest 5.0 Patch Release 	Released 24 January 2014
5.0.5 Build 0252    		Latest 5.0 Patch Release 	Released 31 October 2013
5.0.4 Build 0228    		Latest 5.0 Patch Release 	Released 9 August 2013
5.0.3 Build 0208    		Latest 5.0 Patch Release 	Released 3 June 2013
v4.00 Build 0672 MR3 Patch 15   Latest MR3 Patch Release 	Released 4 September 2013
v4.00 Build 0665 MR3 Patch 14	Latest MR3 Patch Release	Released 17 May 2013
v4.00 Build 0656 MR3 Patch 12	Latest MR3 Patch Release	Released 13 Feb 2013
v4.00 Build 0646 MR3 Patch 11	Latest MR3 Patch Release	Released 22 Nov 2012
v4.00 Build 0639 MR3 Patch 10	Latest MR3 Patch Release	Released 10 Sep 2012
v4.00 Build 0637 MR3 Patch 9	Latest MR3 Patch Release	Released 21 Aug 2012
v4.00 Build 0632 MR3 Patch 8	Latest MR3 Patch Release	Released 06 Jul 2012
v4.00 Build 0535 MR3 Patch 7	Latest MR3 Patch Release	Released 11 May 2012
v4.00 Build 0521 MR3 Patch 6	Latest MR3 Patch Release	Released 15 Mar 2012
v4.00 Build 0513 MR3 Patch 5	Latest MR3 Patch Release	Released 01 Feb 2012
v4.00 Build 0511 MR3 Patch 4	Latest MR3 Patch Release	Released 12 Jan 2012
[..]
v4.00 Build 0441 MR3			Latest MR3 Patch Release	Released 19 Mar 2011
informatique/fortinet/fortigate.1521038098.txt.gz · Last modified: 2018/03/14 14:34 by pteu