pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » fortinet » fortigate
Trace:
informatique:fortinet:fortigate

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
informatique:fortinet:fortigate [2019/04/03 13:04] pteuinformatique:fortinet:fortigate [2023/09/26 10:39] (current) – NP7 pteu
Line 9: Line 9:
 <code bash> <code bash>
 # MODEL CORE/HT MODEL NAME # MODEL CORE/HT MODEL NAME
-3000D 2x 10c/ht Intel(R) Xeon(R) CPU E5-2650 v3 @ 2.30GHz +3810A 2c AMD / cpu family 15 / model 33 / model name 02/21 / 
-3040B 4c/ht Intel(R) Xeon(R) CPU           E5540  @ 2.53GHz +                                stepping 2 / 1795 MHz / 1024 KB cache 
-800c 4c Intel(R) Core(TM) i5 CPU         750  @ 2.67GHz+3000D 2x 10c/20t Intel(R) Xeon(R) CPU E5-2650 v3 @ 2.30GHz 
 +3040B 4c/8t Intel(R) Xeon(R) CPU           E5540  @ 2.53GHz
 1240B 4c Intel(R) Xeon(R) CPU           E5504  @ 2.00GHz 1240B 4c Intel(R) Xeon(R) CPU           E5504  @ 2.00GHz
-600D 4c/ht Intel(R) Core(TMi7-3770 CPU @ 3.40GHz +1101E 6c/12t Intel(R) Xeon(RE-2186G CPU @ 3.80GHz 
-600C 2c/ht Intel(R) Core(TM) i3 CPU         540  @ 3.07GHz +800C 4c Intel(R) Core(TM) i5 CPU         750  @ 2.67GHz
-3810A 2c AMD / cpu family 15 / model 33 / model name 02/21 / stepping 2 / 1795 MHz / 1024 KB cache +
-310B 1c Intel(R) Celeron(R) CPU          440  @ 2.00GHz+
 800 1c Mobile Genuine Intel(R) processor       1600MHz 800 1c Mobile Genuine Intel(R) processor       1600MHz
 +600E 6c/12t Intel(R) Core(TM) i7-8700 CPU @ 3.20GHz
 +600D 4c/8t Intel(R) Core(TM) i7-3770 CPU @ 3.40GHz
 +600C 2c/4t Intel(R) Core(TM) i3 CPU         540  @ 3.07GHz
 +310B 1c Intel(R) Celeron(R) CPU          440  @ 2.00GHz
 +300A 1c Intel(R) Celeron(R) CPU 2.00GHz
 +200 1c Celeron (Coppermine) @300MHz
 +100F 8c ARMv8 Processor rev 4 (v8l) @ 1400 MHZ
 60 1c VIA Samuel 2 @ 400 MHz 60 1c VIA Samuel 2 @ 400 MHz
 </code> </code>
 +
 +<WRAP center round tip 60%>
 +On peut récupérer les infos CPU avec la commande :
 +''diagnose hardware sysinfo cpu''
 +</WRAP>
 +
  
 =====Architecture interne===== =====Architecture interne=====
Line 28: Line 40:
   * **NPx** : FortiASIC **N**etwork **P**rocessor, permet d'offloader certaines tâche réseau (principalement les trafics IPv4 et les trafics des tunnels VPN IPSec)   * **NPx** : FortiASIC **N**etwork **P**rocessor, permet d'offloader certaines tâche réseau (principalement les trafics IPv4 et les trafics des tunnels VPN IPSec)
   * **SPx** : **S**ecurity **P**rocessor permet d'offloader certaines tâches de sécurité notamment l'intégralité des fonctions d'IPS   * **SPx** : **S**ecurity **P**rocessor permet d'offloader certaines tâches de sécurité notamment l'intégralité des fonctions d'IPS
-  * **ISF** : Integrated Switch Fabric : permet d'interconnecter les NP. L'ISF lève les restrictions qui font que, par exemple, un flux ne peut être accéléré que si les 2 ports d'entrée et de sortie du flux sont connectés physiquement sur le même NP6.+  * **ISF** : Integrated Switch Fabric : permet d'interconnecter les NPs. L'ISF lève les restrictions qui font que, par exemple, un flux ne peut être accéléré que si les 2 ports d'entrée et de sortie du flux sont connectés physiquement sur le même NP6.
   * les ports physiques   * les ports physiques
  
Line 38: Line 50:
   * **NP4** : idem ; capacité de traitement de 20 Gbps (2x 10 Gbps)   * **NP4** : idem ; capacité de traitement de 20 Gbps (2x 10 Gbps)
   * **NP6** : idem + IPv6 + CAPWAP + trafic Mcast ; capacité de traitement de 40 Gbps (4x 10 Gbps ou 3x 10 Gbps + 16x 1 Gbps)   * **NP6** : idem + IPv6 + CAPWAP + trafic Mcast ; capacité de traitement de 40 Gbps (4x 10 Gbps ou 3x 10 Gbps + 16x 1 Gbps)
 +  * **NP7** (introduit avec la génération F, à partir du modèle 400F) : idem + GTP, accélération VxLAN, NAT ; capacité de 200 Gbps (2x 100)
  
 __Exemple d'architecture interne pour les Fortigate 800C__ ([[https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-hardware-acceleration-52/NP4-diagrams.htm|source]]) : __Exemple d'architecture interne pour les Fortigate 800C__ ([[https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-hardware-acceleration-52/NP4-diagrams.htm|source]]) :
Line 47: Line 60:
 Celui-ci est équipé de 4x CP8, (une CPU), 2x NP6 et une ISF. On notera que le premier NP6 gère les 8 premiers ports alors que le second les 8 derniers. Ainsi, on prendra soin de répartir les interfaces à fort trafic sur des ports reliés aux différents NP6, afin de ne pas les saturer. Celui-ci est équipé de 4x CP8, (une CPU), 2x NP6 et une ISF. On notera que le premier NP6 gère les 8 premiers ports alors que le second les 8 derniers. Ainsi, on prendra soin de répartir les interfaces à fort trafic sur des ports reliés aux différents NP6, afin de ne pas les saturer.
  
-Comme indiqué dans la source, on peut vérifier la connectivité interne d'un Fortigate 3000D avec un des 2 commandes suivantes :+Comme indiqué dans la source, on peut vérifier la connectivité interne d'un Fortigate 3000D avec une des 2 commandes suivantes (exemple ici avec un 3000D) :
 <code bash> <code bash>
 diagnose npu np6 port-list diagnose npu np6 port-list
-get hardware npu np6 port-list+# ou get hardware npu np6 port-list 
 +Chip   XAUI Ports            Max   Cross-chip 
 +                             Speed offloading 
 +------ ---- -------          ----- ---------- 
 +np6_0  0    port1            10G   Yes 
 +          port6            10G   Yes 
 +          port2            10G   Yes 
 +          port5            10G   Yes 
 +          port3            10G   Yes 
 +          port8            10G   Yes 
 +          port4            10G   Yes 
 +          port7            10G   Yes 
 +------ ---- -------          ----- ---------- 
 +np6_1  0    port10           10G   Yes 
 +          port13           10G   Yes 
 +          port9            10G   Yes 
 +          port14           10G   Yes 
 +          port12           10G   Yes 
 +          port15           10G   Yes 
 +          port11           10G   Yes 
 +          port16           10G   Yes 
 +------ ---- -------          ----- ----------
 </code> </code>
 +On voit donc les 2 NP6 (np6_0 et np6_1) ainsi que leur connectivité avec les ports réels.
 +
 +La colonne XAUI indique les connexions internes des NPs ; les liens utilisés peuvent être QSGMII (4x 1G), XAUI (10G). Sur ce 3000D par exemple, chaque NP6 est interconnecté par 4 liens internes XAUI (à 10Gbps), pour atteindre la capacité max de traitement d'un NP6 qui est de 40 Gbps. On voit que les ports 1 et 6 sont connectés au np6_0 via le même lien XAUI 0 ; or ces ports ont une capacité de 10Gbps chacun, ils ne pourront donc pas être pleinement accélérés s'ils sont saturés.
 +
 +Pour créer un agrégat :
 +  * si le forti n'a pas d'ISF, il faut utiliser des ports connectés en interne sur le même NP6 ; de fait, l’agrégat ne pourra pas dépasser 40Gbps de débit accéléré, puisqu’il sera limité par le NP6.
 +  * si le forti possède une ISF qui interconnecte plusieurs NP6, on peut utiliser des ports connectés en interne sur les différents NPs, afin de répartir la charge et augmenter la capacité ; le débit accéléré max sera donc de N x 40Gbps (N = nombre de NP6)
  
 +Ces paramètres doivent être pris en compte pour choisir quels ports utiliser pour interconnecter le Fortigate à votre réseau.
 =====Versions de FortiOS===== =====Versions de FortiOS=====
  
informatique/fortinet/fortigate.1554296641.txt.gz · Last modified: 2019/04/03 13:04 by pteu