流量无法被NP加速

问题现象

  1. 拓扑信息:

    LAN network----LAG (PG_SNAT_LAN, "port9" "port10") [FortiGate] WAN (port5/port6)----Internet

  2. 在FortiGate 200E/201E、2000E、2500E设备上,出现大部分或所有会话均由CPU处理,没有被硬件加速。

    image-20240131150034810

  3. 以FortiGate 201E为例,查看会话,可以看到大部分会话中的接口信息是从内网聚合口PG_SNAT_LAN(成员为port9和port10)与port5/port6之间的流量。

    diagnose sys session list | grep dev=
    dev=43->24/24->43
    dev=43->23/23->43
    dev=23->34/34->23
    ...
    
    diagnose ip address list
    ...
    IP=10.179.1.62->10.179.1.62/255.255.255.252 index=43 devname=PG_SNAT_LAN
    IP=123.157.210.114->123.157.210.114/255.255.255.248 index=23 devname=port5
    IP=39.174.163.216->39.174.163.216/255.255.255.128 index=24 devname=port6
    ...
    
  4. 会话信息显示无法加速的原因为non-npu-intf

    session info: proto=6 proto_state=01 duration=4505 expire=3587 timeout=3600 flags=00000000 socktype=0 sockport=0 av_idx=0 use=3
    origin-shaper=
    reply-shaper=
    per_ip_shaper=40MB
    class_id=0 shaping_policy_id=2 ha_id=0 policy_dir=0 tunnel=/ vlan_cos=0/255
    state=may_dirty per_ip
    statistic(bytes/packets/allow_err): org=442701/2567/1 reply=624811/3382/1 tuples=2
    tx speed(Bps/kbps): 155/1 rx speed(Bps/kbps): 188/1
    orgin->sink: org pre->post, reply pre->post dev=43->24/24->43 gwy=39.174.163.254/10.179.1.61
    hook=post dir=org act=snat 10.179.16.15:61926->120.232.31.208:8080(39.174.163.216:61926)
    hook=pre dir=reply act=dnat 120.232.31.208:8080->39.174.163.216:61926(10.179.16.15:61926)
    pos/(before,after) 0/(0,0), 0/(0,0)
    src_mac=54:c6:ff:a0:18:c1
    misc=0 policy_id=3 pol_uuid_idx=1050 auth_info=0 chk_client_info=0 vd=1
    serial=424a822d tos=ff/ff app_list=0 app=0 url_cat=0
    rpdb_link_id=80000000 ngfwid=n/a
    npu_state=0x040000
    //no_ofld_reason:  non-npu-intf//
    
  5. 关于non-npu-intf或其他无法被NP加速的原因,可以参考Fortinet官方文档。其中提到non-npu-intf的可能原因:

    • 会话的入接口或出接口不是NP加速接口。
    • 会话的入接口或出接口是软交换(Software Switch)接口的成员。(此例中不符合)
    • 禁用了config system npu下的fastpath。(此例中不符合)

问题原因

  1. 在此例中,流量从port9/port10进入,从port5/port6流出,不满足201E的硬件加速条件,因为port9/port10与port5/port6属于不同的NP芯片,且接口间的硬件结构没有内置交换模块,所以是无法被NP加速的。

  2. 参考FortiGate 201E的硬件加速架构

    image-20240131152642651

    • 只有当流量在连接到同一个NP6Lite的接口上转发时,才能被NP加速。
    • NP6Lite连接的接口如下:
      • NP6Lite_0连接到6个1GE RJ-45接口(port9 ~ 14)和4个1GE SFP接口(port15 ~ port18)。
      • NP6Lite_1连接到10个1GE RJ45 接口(wan1、wan2、port1 ~ port8)。

解决方法

  • 选择流量的入接口为port9 ~ port18,出接口为port9 ~ port18。
  • 或选择流量的入接口为wan1/wan2、port1 ~ port8,出接口为wan1/wan2、port1 ~ port8。
  • 参考:点击链接查看FortiGate 2000E2500E的硬件加速架构。

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-01-31 16:06:06

results matching ""

    No results matching ""