FortiGate之间测速

功能介绍

从FortiOS 7.0起,FortiGate可以作为iPerf服务器(之前只能做客户端)。

当遇到两台FortiGate之间的连接速度过低(如VPN隧道的带宽无法达到运营商带宽),可以在两台FortiGate之间进行iPerf测速,以便验证两台FortiGate之间的线路带宽。

网络拓扑

image-20230828155437862

  1. 客户反馈VPN Tunnel/专线互联场景下,C/S上传下载速度达不到预期值(运营商承诺的值)。
  2. 某些情况下,当怀疑是营运商的问题时,可以开启防火墙的iPerf Server功能,直接在两台防火墙上跨运营商线路进行打流测试。

配置步骤

iPerf Server配置

  1. 全局下开启speedtest-server,iPerf Server运行在TCP 5201,此端口无法修改,只支持TCP :

    config system global
       set speedtest-server enable
    end
    
  2. 在FortiGate的WAN接口下开启允许seed-test:

    config system interface
      edit "port1"
         append allowaccess speed-test
    end
    

iPerf Client配置

  1. 配置iPerf Client,server-intf和client-intf均选择WAN接口,端口配置为5201,协议配置为0(TCP):

    Client # diagnose traffictest server-intf port1
    server-intf:    port1
    Client # diagnose traffictest client-intf port1
    client-intf:    port1
    Client # diagnose traffictest port 5201
    port:   5201
    Client # diagnose traffictest proto 0
    proto:  TCP
    
    Client # diagnose traffictest show
    server-intf:    port1
    client-intf:    port1
    port:   5201
    proto:  TCP
    
  2. Client FortiGate使用traffictest工具向Server FortiGate打流(相关参数参考iPerf命令):

    Client # diagnose traffictest run -c 192.168.91.97 -t 120 -b 10M
    

    image-20230828155608907

注意事项

  1. FortiGate作为iPerf服务器时有以下局限性:

    • Server不能修改端口
    • Server不支持UDP流量
    • Server不支持多会话并发流量
  2. 某些运营商会限制客户端每条会话的速率,此时在FortiGate之间iPerf测试就无法准确的测出两台FortiGate之间运营商的实际带宽。

  3. 这种情况下需要改变测试拓扑,将iPerf服务器更换为内网的真实iPerf Server,FortiGate使用DNAT映射内网的iPerf Server,可以接受多会话iPerf测速:

    image-20230828155500151

    Client # diagnose traffictest run -c 192.168.91.92 -P 5
    

    image-20230828155542234

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2023-09-12 15:24:08

results matching ""

    No results matching ""