FortiGate之间测速

FortiGate之间测速

功能介绍

从FortiOS 7.0起，FortiGate可以作为iPerf服务器（之前只能做客户端）。

当遇到两台FortiGate之间的连接速度过低（如VPN隧道的带宽无法达到运营商带宽），可以在两台FortiGate之间进行iPerf测速，以便验证两台FortiGate之间的线路带宽。

网络拓扑

客户反馈VPN Tunnel/专线互联场景下，C/S上传下载速度达不到预期值（运营商承诺的值）。
某些情况下，当怀疑是营运商的问题时，可以开启防火墙的iPerf Server功能，直接在两台防火墙上跨运营商线路进行打流测试。

配置步骤

iPerf Server配置

全局下开启speedtest-server，iPerf Server运行在TCP 5201，此端口无法修改，只支持TCP ：
```
config system global
   set speedtest-server enable
end
```

在FortiGate的WAN接口下开启允许seed-test：

config system interface
  edit "port1"
     append allowaccess speed-test
end

iPerf Client配置

配置iPerf Client，server-intf和client-intf均选择WAN接口，端口配置为5201，协议配置为0（TCP）：

Client # diagnose traffictest server-intf port1
server-intf:    port1
Client # diagnose traffictest client-intf port1
client-intf:    port1
Client # diagnose traffictest port 5201
port:   5201
Client # diagnose traffictest proto 0
proto:  TCP

Client # diagnose traffictest show
server-intf:    port1
client-intf:    port1
port:   5201
proto:  TCP

Client FortiGate使用traffictest工具向Server FortiGate打流（相关参数参考iPerf命令）：
```
Client # diagnose traffictest run -c 192.168.91.97 -t 120 -b 10M
```

注意事项

FortiGate作为iPerf服务器时有以下局限性：
- Server不能修改端口
- Server不支持UDP流量
- Server不支持多会话并发流量
某些运营商会限制客户端每条会话的速率，此时在FortiGate之间iPerf测试就无法准确的测出两台FortiGate之间运营商的实际带宽。
这种情况下需要改变测试拓扑，将iPerf服务器更换为内网的真实iPerf Server，FortiGate使用DNAT映射内网的iPerf Server，可以接受多会话iPerf测速：
```
Client # diagnose traffictest run -c 192.168.91.92 -P 5
```

FortiGate之间测速

FortiGate之间测速

功能介绍

网络拓扑

配置步骤

iPerf Server配置

iPerf Client配置

注意事项

results matching ""

No results matching ""