User Tools

Site Tools


informatique:fortinet:fortigate

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
informatique:fortinet:fortigate [2020/05/12 13:37]
pteu [Processeurs]
informatique:fortinet:fortigate [2021/03/12 16:36] (current)
pteu [Processeurs]
Line 14: Line 14:
 3040B 4c/​8t Intel(R) Xeon(R) CPU           ​E5540 ​ @ 2.53GHz 3040B 4c/​8t Intel(R) Xeon(R) CPU           ​E5540 ​ @ 2.53GHz
 1240B 4c Intel(R) Xeon(R) CPU           ​E5504 ​ @ 2.00GHz 1240B 4c Intel(R) Xeon(R) CPU           ​E5504 ​ @ 2.00GHz
-800c 4c Intel(R) Core(TM) i5 CPU         ​750 ​ @ 2.67GHz+1101E 6c/​12t Intel(R) Xeon(R) E-2186G CPU @ 3.80GHz 
 +800C 4c Intel(R) Core(TM) i5 CPU         ​750 ​ @ 2.67GHz
 800 1c Mobile Genuine Intel(R) processor ​      ​1600MHz 800 1c Mobile Genuine Intel(R) processor ​      ​1600MHz
 600E 6c/​12t Intel(R) Core(TM) i7-8700 CPU @ 3.20GHz 600E 6c/​12t Intel(R) Core(TM) i7-8700 CPU @ 3.20GHz
Line 36: Line 37:
   * **NPx** : FortiASIC **N**etwork **P**rocessor,​ permet d'​offloader certaines tâche réseau (principalement les trafics IPv4 et les trafics des tunnels VPN IPSec)   * **NPx** : FortiASIC **N**etwork **P**rocessor,​ permet d'​offloader certaines tâche réseau (principalement les trafics IPv4 et les trafics des tunnels VPN IPSec)
   * **SPx** : **S**ecurity **P**rocessor permet d'​offloader certaines tâches de sécurité notamment l'​intégralité des fonctions d'IPS   * **SPx** : **S**ecurity **P**rocessor permet d'​offloader certaines tâches de sécurité notamment l'​intégralité des fonctions d'IPS
-  * **ISF** : Integrated Switch Fabric : permet d'​interconnecter les NP. L'ISF lève les restrictions qui font que, par exemple, un flux ne peut être accéléré que si les 2 ports d'​entrée et de sortie du flux sont connectés physiquement sur le même NP6.+  * **ISF** : Integrated Switch Fabric : permet d'​interconnecter les NPs. L'ISF lève les restrictions qui font que, par exemple, un flux ne peut être accéléré que si les 2 ports d'​entrée et de sortie du flux sont connectés physiquement sur le même NP6.
   * les ports physiques   * les ports physiques
  
Line 55: Line 56:
 Celui-ci est équipé de 4x CP8, (une CPU), 2x NP6 et une ISF. On notera que le premier NP6 gère les 8 premiers ports alors que le second les 8 derniers. Ainsi, on prendra soin de répartir les interfaces à fort trafic sur des ports reliés aux différents NP6, afin de ne pas les saturer. Celui-ci est équipé de 4x CP8, (une CPU), 2x NP6 et une ISF. On notera que le premier NP6 gère les 8 premiers ports alors que le second les 8 derniers. Ainsi, on prendra soin de répartir les interfaces à fort trafic sur des ports reliés aux différents NP6, afin de ne pas les saturer.
  
-Comme indiqué dans la source, on peut vérifier la connectivité interne d'un Fortigate 3000D avec un des 2 commandes suivantes :+Comme indiqué dans la source, on peut vérifier la connectivité interne d'un Fortigate 3000D avec une des 2 commandes suivantes ​(exemple ici avec un 3000D) ​:
 <code bash> <code bash>
 diagnose npu np6 port-list diagnose npu np6 port-list
-get hardware npu np6 port-list+# ou get hardware npu np6 port-list 
 +Chip   XAUI Ports            Max   ​Cross-chip 
 +                             Speed offloading 
 +------ ---- ------- ​         ----- ---------- 
 +np6_0  0    port1            10G   Yes 
 +       ​0 ​   port6            10G   Yes 
 +       ​1 ​   port2            10G   Yes 
 +       ​1 ​   port5            10G   Yes 
 +       ​2 ​   port3            10G   Yes 
 +       ​2 ​   port8            10G   Yes 
 +       ​3 ​   port4            10G   Yes 
 +       ​3 ​   port7            10G   Yes 
 +------ ---- ------- ​         ----- ---------- 
 +np6_1  0    port10 ​          ​10G ​  Yes 
 +       ​0 ​   port13 ​          ​10G ​  Yes 
 +       ​1 ​   port9            10G   Yes 
 +       ​1 ​   port14 ​          ​10G ​  Yes 
 +       ​2 ​   port12 ​          ​10G ​  Yes 
 +       ​2 ​   port15 ​          ​10G ​  Yes 
 +       ​3 ​   port11 ​          ​10G ​  Yes 
 +       ​3 ​   port16 ​          ​10G ​  Yes 
 +------ ---- ------- ​         ----- ----------
 </​code>​ </​code>​
 +On voit donc les 2 NP6 (np6_0 et np6_1) ainsi que leur connectivité avec les ports réels.
  
 +La colonne XAUI indique les connexions internes des NPs ; les liens utilisés peuvent être QSGMII (4x 1G), XAUI (10G). Sur ce 3000D par exemple, chaque NP6 est interconnecté par 4 liens internes XAUI (à 10Gbps), pour atteindre la capacité max de traitement d'un NP6 qui est de 40 Gbps. On voit que les ports 1 et 6 sont connectés au np6_0 via le même lien XAUI 0 ; or ces ports ont une capacité de 10Gbps chacun, ils ne pourront donc pas être pleinement accélérés s'ils sont saturés.
 +
 +Pour créer un agrégat :
 +  * si le forti n'a pas d'ISF, il faut utiliser des ports connectés en interne sur le même NP6 ; de fait, l’agrégat ne pourra pas dépasser 40Gbps de débit accéléré,​ puisqu’il sera limité par le NP6.
 +  * si le forti possède une ISF qui interconnecte plusieurs NP6, on peut utiliser des ports connectés en interne sur les différents NPs, afin de répartir la charge et augmenter la capacité ; le débit accéléré max sera donc de N x 40Gbps (N = nombre de NP6)
 +
 +Ces paramètres doivent être pris en compte pour choisir quels ports utiliser pour interconnecter le Fortigate à votre réseau.
 =====Versions de FortiOS===== =====Versions de FortiOS=====
  
informatique/fortinet/fortigate.1589283459.txt.gz · Last modified: 2020/05/12 13:37 by pteu