FortiGate 之间测速

功能介绍

从 FortiOS 7.0 起，FortiGate 可以作为 iPerf 服务器（之前只能做客户端）。

当遇到两台 FortiGate 之间的连接速度过低（如 VPN 隧道的带宽无法达到运营商带宽），可以在两台 FortiGate 之间进行 iPerf 测速，以便验证两台 FortiGate 之间的线路带宽。

网络拓扑

1. 客户反馈 VPN Tunnel/专线互联场景下，C/S 上传下载速度达不到预期值（运营商承诺的值）。
2. 某些情况下，当怀疑是营运商的问题时，可以开启防火墙的 iPerf Server 功能，直接在两台防火墙上跨运营商线路进行打流测试。

配置步骤

iPerf Server 配置

1. 全局下开启 speedtest-server，iPerf Server 运行在 TCP 5201，此端口无法修改，只支持 TCP ：

   config system global
      set speedtest-server enable
   end

2. 在 FortiGate 的 WAN 接口下开启允许 seed-test：

   config system interface
     edit "port1"
        append allowaccess speed-test
   end

iPerf Client 配置

1. 配置 iPerf Client，server-intf 和 client-intf 均选择 WAN 接口，端口配置为 5201，协议配置为 0（TCP）：

   Client # diagnose traffictest server-intf port1
   server-intf:    port1
   Client # diagnose traffictest client-intf port1
   client-intf:    port1
   Client # diagnose traffictest port 5201
   port:   5201
   Client # diagnose traffictest proto 0
   proto:  TCP
   
   Client # diagnose traffictest show
   server-intf:    port1
   client-intf:    port1
   port:   5201
   proto:  TCP

2. Client FortiGate 使用 traffictest 工具向 Server FortiGate 打流（相关参数参考 iPerf 命令）：

   Client # diagnose traffictest run -c 192.168.91.97 -t 120 -b 10M

   

注意事项

1. FortiGate 作为 iPerf 服务器时有以下局限性：

   • Server 不能修改端口
   • Server 不支持 UDP 流量
   • Server 不支持多会话并发流量

2. 某些运营商会限制客户端每条会话的速率，此时在 FortiGate 之间 iPerf 测试就无法准确的测出两台 FortiGate 之间运营商的实际带宽。

3. 这种情况下需要改变测试拓扑，将 iPerf 服务器更换为内网的真实 iPerf Server，FortiGate 使用 DNAT 映射内网的 iPerf Server，可以接受多会话 iPerf 测速：

   

   Client # diagnose traffictest run -c 192.168.91.92 -P 5