iT邦幫忙

0

Fortigate 60C

鵝手邊有顆古老的FG-60C,FortiOS已經更新到v5.2.x了,硬體版本也是後期的(有8GB onboard FLASH,WAN也是GbE的,NPU是NP4,LAN是nplite),只是拿來當Site to site VPN和SSL VPN GW用而已(是接固定制的,所以沒有PPPoE的問題,而且所有proxy based的service都關掉了,連WiFi也關了),原本是接100/100M的線路,最近改成300/100M的,才發現Internet access被卡死在100Mbps出頭(而且此時CPU loading已經吃滿了,應該是fastpath沒作用),規格上是寫FW的throughput可以到1Gbps,照說不至於連300/100M都跑不動吧,有邦友知道Fortigate的fastpath到底要怎麼開嗎,還是乾脆挪到隨便一顆現代的IP sharing後面,然後用Port forwarding把IPsec和SSL VPN轉給Fortigate算了(反正60C的IPsec和SSL VPN的throughput本來也不怎麼樣就是了)....

PS:那8GB onboard FLASH真是雞肋,又沒人會拿這類小玩具跑cache,但FortiOS又不讓你拿來放log,還真不知道能幹嘛....

hsiang11 iT邦研究生 2 級 ‧ 2018-07-29 17:27:35 檢舉
你說的throughput應該是指vpn效能
我估計60d可以跑滿300m
可以試試升級5.4,感覺比5.2寫的好多了

2 個回答

0
mytiny
iT邦大師 1 級 ‧ 2018-07-30 12:28:15
最佳解答

樓主拿掉VPN相關設定,可能就可以throughput上的去
Fortigate-60c誠如樓主所言
已是一台非常古老的防火牆(已停產停保)
其中所用的SoC還是第一代最早的
應該是沒有辦法NPU offload VPN的能力
記得fastpath不用特別開,但有很多限制

P.S. FG-60C之前有網友用過接300M的頻寬

看更多先前的回應...收起先前的回應...
cmwang iT邦高手 1 級 ‧ 2018-07-31 10:27:51 檢舉

鵝試的結果是要把Wired LAN和WLAN分開(光把WLAN關掉是不夠的),直接走physical interface,不要被software switch兜成一個LAN(很不幸的default就長這樣),fastpath才會work....

https://ithelp.ithome.com.tw/upload/images/20180731/20004868g3CtMcq8l7.png

https://ithelp.ithome.com.tw/upload/images/20180731/20004868ehA5fKQpDZ.png

https://ithelp.ithome.com.tw/upload/images/20180731/20004868Gvkx6tCnSJ.png

mytiny iT邦大師 1 級 ‧ 2018-07-31 10:38:10 檢舉

感謝樓主回應,原來機型是FortiWiFi-60C
確實如樓主所言,Wlan及softswitch影響效能
都會把流量給CPU運作而非進fastpath

mytiny iT邦大師 1 級 ‧ 2018-08-01 11:37:08 檢舉

話說那8GB的flash還真的很有用
如果對FortiView很擅長操作的話
會很容易找一些網路問題
到之後出的小機種 D、E系列
沒有Disk,基本上Fortiview就是殘廢了
連Log裡正常session都沒有紀錄
再會設定fortigate也沒用

cmwang iT邦高手 1 級 ‧ 2018-08-02 11:26:22 檢舉

真的耶,60D/E都沒有internal storage,要FG-61E才有128G的SSD,不過$$就三級跳了,看在$$的份上,還是60C玩玩就好XD....BTW,鵝的SSL VPN是吃RADIUS認證的,舊的50B除了RADIUS Access request外,還會送RADIUS Accounting request,不過60C就沒送Accounting request出來,好像越改越回去了....

mytiny iT邦大師 1 級 ‧ 2018-08-02 14:15:02 檢舉

樓主所言RADIUS Accounting request不知是何情況
不過在設好RADIUS Server認證時,即有按鍵可以測試是否連通
連通後,要測試帳號使否可通過RADIUS認證
可以下達以下指令
diag test auth radius

SSL-VPN是種比較麻煩的遠端認證方式
樓主下次可試著採用RemoteAP+BYOD的方式
架構完成後,零輸入、零教學,直接上手

cmwang iT邦高手 1 級 ‧ 2018-08-02 16:10:02 檢舉

RADIUS Accounting request是指RADIUS client(i.e. VPN GW)在完成身份認證後,會送session相關資料給RADIUS server(包括user/session id,起始時間等等),等SSL VPN斷線後,會再送user/session id和結束時間及資料傳輸量等等給RADIUS server,所以只要看RADIUS server的log就可以知道每個使用者的使用狀況了(其實是鵝懶得到FW上去撈log啦XD),至於RemoteAP+BYOD因為不太符合鵝這邊使用者的使用習慣,就先不研究了....

mytiny iT邦大師 1 級 ‧ 2018-08-02 19:28:13 檢舉

明白了。
照說Fortigate無論是SSLVPN或是其他登入認證
它對RADIUS來說都只是一個中轉
自然會把相關Attribute送給RADIUS
就是怕user登出時不是正常登出就直接關掉
這樣就沒法送結束訊息給RADIUS訊號
可能要將SSLVPN的timeout時間設短一些

小弟可以確認OS 5.4以後一定可以送Attribute
(因為有CASE這樣用過)
可惜樓主FG-60C只能到5.2.13
只能推論原理上並無二致
建議在RADIUS上再觀察看看

0
msit
iT邦高手 1 級 ‧ 2018-07-30 09:48:45

可以看看"來源"與"目的",應該就能分析出基本造成流量的原因
個人覺得是某些電腦異常流量,加上沒有頻寬控管造成。
https://ithelp.ithome.com.tw/upload/images/20180730/20004874Y9QThPP2U2.jpg

我要發表回答

立即登入回答