流量无法被 NP 加速

问题现象

1. 拓扑信息：

   LAN network----LAG (PG_SNAT_LAN, "port9" "port10")**[FortiGate]**WAN (port5/port6)----Internet

2. 在 FortiGate 200E/201E、2000E、2500E 设备上，出现大部分或所有会话均由 CPU 处理，没有被硬件加速。

   

3. 以 FortiGate 201E 为例，查看会话，可以看到大部分会话中的接口信息是从内网聚合口 PG_SNAT_LAN（成员为 port9 和 port10）与 port5/port6 之间的流量。

   diagnose sys session list | grep dev=
   dev=43->24/24->43
   dev=43->23/23->43
   dev=23->34/34->23
   ...
   
   diagnose ip address list
   ...
   IP=10.179.1.62->10.179.1.62/255.255.255.252 index=43 devname=PG_SNAT_LAN
   IP=123.157.210.114->123.157.210.114/255.255.255.248 index=23 devname=port5
   IP=39.174.163.216->39.174.163.216/255.255.255.128 index=24 devname=port6
   ...

4. 会话信息显示无法加速的原因为non-npu-intf。

   session info: proto=6 proto_state=01 duration=4505 expire=3587 timeout=3600 flags=00000000 socktype=0 sockport=0 av_idx=0 use=3
   origin-shaper=
   reply-shaper=
   per_ip_shaper=40MB
   class_id=0 shaping_policy_id=2 ha_id=0 policy_dir=0 tunnel=/ vlan_cos=0/255
   state=may_dirty per_ip
   statistic(bytes/packets/allow_err): org=442701/2567/1 reply=624811/3382/1 tuples=2
   tx speed(Bps/kbps): 155/1 rx speed(Bps/kbps): 188/1
   orgin->sink: org pre->post, reply pre->post dev=43->24/24->43 gwy=39.174.163.254/10.179.1.61
   hook=post dir=org act=snat 10.179.16.15:61926->120.232.31.208:8080(39.174.163.216:61926)
   hook=pre dir=reply act=dnat 120.232.31.208:8080->39.174.163.216:61926(10.179.16.15:61926)
   pos/(before,after) 0/(0,0), 0/(0,0)
   src_mac=54:c6:ff:a0:18:c1
   misc=0 policy_id=3 pol_uuid_idx=1050 auth_info=0 chk_client_info=0 vd=1
   serial=424a822d tos=ff/ff app_list=0 app=0 url_cat=0
   rpdb_link_id=80000000 ngfwid=n/a
   npu_state=0x040000
   //no_ofld_reason:  non-npu-intf//

5. 关于non-npu-intf或其他无法被 NP 加速的原因，可以参考 Fortinet 官方文档。其中提到non-npu-intf的可能原因：

   • 会话的入接口或出接口不是 NP 加速接口。
   • 会话的入接口或出接口是软交换（Software Switch）接口的成员。（此例中不符合）
   • 禁用了 config system npu 下的 fastpath。（此例中不符合）

问题原因

1. 在此例中，流量从 port9/port10 进入，从 port5/port6 流出，不满足 201E 的硬件加速条件，因为 port9/port10 与 port5/port6 属于不同的 NP 芯片，且接口间的硬件结构没有内置交换模块，所以是无法被 NP 加速的。

2. 参考 FortiGate 201E 的硬件加速架构：

   

   • 只有当流量在连接到同一个 NP6Lite 的接口上转发时，才能被 NP 加速。
   • NP6Lite 连接的接口如下：
     • NP6Lite_0 连接到 6 个 1GE RJ-45 接口（port9 ~ 14）和 4 个 1GE SFP 接口（port15 ~ port18）。
     • NP6Lite_1 连接到 10 个 1GE RJ45 接口（wan1、wan2、port1 ~ port8）。

解决方法

• 选择流量的入接口为 port9 ~ port18，出接口为 port9 ~ port18。
• 或选择流量的入接口为 wan1/wan2、port1 ~ port8，出接口为 wan1/wan2、port1 ~ port8。
• 参考：点击链接查看 FortiGate 2000E与 2500E的硬件加速架构。