[UPGRADED: 201407300634] FortiGate NPU&FortiOS v5.0.x Learning...

FortiOS v5.2.x討論請至:
http://www.mobile01.com/topicdetail.php?f=110&t=3948153&p=4#51248664

---

Use the NPU feature in FortiOS for supported FortiGate units
FortiSoC提供了極為有效的線性流量ASIC加速, 透過內置的NPU負載各種尺寸的封包大小.

NPU雖然提供了有效的fast-path線性加速, 可惜的是硬件限制問題把H/W Traffic-shaper透過f/w給關閉掉了(目前只有獨立的NP2/4/6支持這項高級特徵, 效果極佳).

如果需要獲得fast-path的ASIC加速需要符合如下幾個要求:

其中最後一項所謂的local host表示在FGT操作的local traffic無法被加速, 即管理型流量.

轉發至不同路由的流量(非管理型流量), 才有機會丟到NPU進行加速.

ASIC流量加速會依照如下的基本判斷, 判定是否能夠加速該流量:

SoC相關的資訊(FortiSoC v1版), 以下為g3版本:

在SoC2版本增強了CPU性能, 提供更高的clock:

縱然CPU提高了clock, 依然無法脫離ARM926EJS古老架構的貧弱性能. 事實上, SoC2提供了雙核心架構, 但是他並不是一個SMP操作. 因此官方沒有特意說明這部分, 當然也沒說明他是SMP.
The two cores are configured in a non-SMP manner. They don't even see the same memory space. They act more like two different CPUs with their own physical memory interface. The only way to reuse the second core is run a different OS on that and offload some traffic or compute to it.
在x86體系的CPU上, 依然可以在FOS操作下保持相當程度的流暢性. ARM-based的CPU難免會有一些delay, 縱然SoC2拉高到800MHz.
SoC2比起SoC1多出了IPsec ASIC加速(1Gbps), 因此可以提供近乎"免費"的效能.
盡可能避免使用UTM掃描, 因為經過UTM操作過後的流量無法被NPU加速(UTM操作會經由CP和CPU操作).


一個很簡單的暴力測試, 用續傳軟體即可測..

沒有FastPath丟去NP進行加速的情況下..
這是60C, 只有悲劇可以形容...

這是80C, 80C沒有NP, 因此只能丟到傳統的CPU進行操作...

60C透過NP啟用FastPath進行大規模加速後:

這是非常明顯的變化, NP使用FastPath起了一個非常大的作用....
CPU資源得以繼續負載其他任務...
作為UTM來說, 這款完全不及格, 性能實在太差!...
但是拿來做為純高速防火牆其實是相當合適的...
要注意的是!如果使用FortiAP或著FortiWiFi建立VAP的話...
很可惜!由VAP跨到PHY送出來的packet無法丟給NP處理, 他只能被CPU照單全收...
因此要注意!!..要配置無線網路還是使用第三方的AP送出給60C, 這樣便可允許NP進行加速...

1. 這款不支援LACP, 不能聚合PHY...
2. 這款不支援Jumbo Frame
3. NPU無法加速本身AP的wireless packet(跨VAP吃不了), 需使用3rd-party AP達成...
ASIC NPU basically can't processing WiFi unit(wireless) logical interface.
4. 不要開UTM(CP0特徵不足), 做單純的防火牆可以提供有效的性能保證...
5. 這款可以建VDOM, 但是建議做2~3個就好
6. DRAM是焊死的, 不能換...
7. 支援VLAN, 可以TRUNK(VLAN出來的packet(tagged)可以被NPU加速)
8. 要用AP的話, 不要開Rogue AP detection, 他會消費CPU資源, 除非你是透過FortiAP做monitor, 那情況會不一樣..
9. 這款要透過CLI微調, 微調後即可達到有效的性能保證(參考Fortinet KB, 可以大幅節省系統資源)
10. FortiOS 4.0MR3功能強大, 調整性高..
11. IPSec/SSL VPN能透過CP0/NPU提供ASIC硬線加速設計(*這是非常有效的)...
12. rev.2 的60C內建的8GB FLASH是焊死的, 不能換(*~!!@#$%^&*())...
13. 支援Web caching, 不過FLASH太小了, 不要做!!..
14. 沒有給RJ-45 to RS-232 console line, 只有附USB cable, 可以使用FortiExplorer..

[20140107, upgraded, FortiOS v5]
1. 開始後支持Jumbo-frame.
2. SoC2依然不能加速CAPWAP, 獨立的NP6才能加速.
3. FortiWiFi的WTP mode已經被移除, 不能再交由上層controller管理.
4. 使用Bridge mode可以讓wireless traffic被NPU加速, 即並非為Tunnel架構.
5. IPv6 traffic不能被加速(目前只有NP6支持IPv6加速).
6. 在SoC2機種提供了2GB記憶體空間(DRAM), 可以建置更多的VDOM.
7. SoC2的Rogue AP detection近乎免費性能的改進.
8. UTM依然對SoC2的性能殺傷力太強, 盡可能避免使用.
9. SSL加速會牽涉到L7的操作, 因此他無法被L3/L4的NPU加速.
10. 比起SoC1, SoC2具備極強的線性流量加速, CPU loading進一步下降.


Policy List View
http://www.mobile01.com/topicdetail.php?f=110&t=2931725&p=21#48102884#48102884
Multi-WAN solution
http://www.mobile01.com/topicdetail.php?f=110&t=2931725&p=17#45872296
Dedicated NPU System
http://www.mobile01.com/topicdetail.php?f=110&t=2931725&p=16#45331813#45331813
How to setup SSLVPN for web mode?
http://www.mobile01.com/topicdetail.php?f=110&t=2931725&r=5&p=20#47704464
Interface - Zone
http://www.mobile01.com/topicdetail.php?f=110&t=2931725&p=21#48051330#48051330
Better disk logging performance using FSM module
http://www.mobile01.com/topicdetail.php?f=110&t=2931725&p=21#48094932
What is the "vlanforward"???
http://www.mobile01.com/topicdetail.php?f=110&t=2931725&p=22#48320736#48320736
UTM Security Profile Grouping
http://www.mobile01.com/topicdetail.php?f=110&t=2931725&p=22#48358026#48358026
Use the IPS to protect my network
http://www.mobile01.com/topicdetail.php?f=110&t=2931725&p=22#48368818#48368818
Optimize the network performance using VDOM for SoC2 line
http://www.mobile01.com/topicdetail.php?f=110&t=2931725&p=22#48374567
Extended IPS Database
http://www.mobile01.com/topicdetail.php?f=110&t=2931725&p=22#48460708
FortiOS v5.0 Patch Release 8 Release Notes
http://www.mobile01.com/topicdetail.php?f=110&t=2931725&p=28#51359539