返回
FortiGate硬件构架及HA介绍

FortiGate硬件构架及HA介绍

ID:46579465

大小:2.16 MB

页数:82页

时间:2019-11-25

FortiGate硬件构架及HA介绍_第1页
FortiGate硬件构架及HA介绍_第2页
FortiGate硬件构架及HA介绍_第3页
FortiGate硬件构架及HA介绍_第4页
FortiGate硬件构架及HA介绍_第5页
资源描述:

《FortiGate硬件构架及HA介绍》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、FortiGate硬件构架及HA介绍FortinetConfidential1.FortiGate系统构架设计2FortiGate-3950B硬件架构总调度及会话管理安全处理加速外部接口1111101010101010GEGEGEGEGEGEGEGEGEGEPort1Port2Port3Port4Port5Port6FMC-XD2FMC-XG2空槽3多芯片分布式处理任务调度及会话处理多核CPU(Intel)每秒新建会话:25万数据包转发、NATFortiASIC-NP小包吞吐量:20GbpsIPS、DDoS加速FortiASIC-SP组播加速FortiASIC-

2、CP应用层安全加速4控制平面FortiASIC控制平面CPUBlockCP7会话建立及结NPNP/SPNP-BNPNP/SP束过程由CPU处理,然后将转发平面会话表同步到I参与该会话的FMCI/OS0PortsFNP4PHYPHYPHY4x1G5转发平面控制平面CPUBlockFortiASICCP7会话建立后,NPANP/SPNPBNPNP/SPNP4依据会话表快速转发,转发平面CPU不再参与,I直至会话结束FMCI/OS0PortsF(收到FIN包)。PHYPHYPHY4x1G6包转发流程包转发流程FGT_XT_12#id=36871trace_id=1ms

3、g="vd-rootreceivedapacket(proto=6,192.168.138.1:56174->20.20.20.10:80)fromport1.”id=36871trace_id=1msg="allocateanewsession-00000058"id=36871trace_id=1msg="findaroute:gw-20.20.20.10viaport2"id=36871trace_id=1msg="AllowedbyPolicy-1:”From:192.168.138.1:56174是否已No在会话表中To:有会话收到数据包20.20.2

4、0.10:80建立新会话On:?port1SessionID:00000058AllowedForwardGW:PolicyID:packet允许该20.20.20.101查找防火墙有路由流量吗策略表Interface:吗??port2CPU中断映射(MSI-x)FromNPUtoCPUorSMP_AFFINITYFortiASICCPUBlockCP7IRQ160IRQ167cpu1cpu2cpu3cpu4cpu5cpu6cpu7cpu8FortiASICIRQ1601NP4MultiRXqueueIRQ1612IRQ16240G110GIRQ1638ISFP

5、HYIRQ16410IRQ16520IRQ1664010G10G1G1G1G1GIRQ167805612349会话建立阶段SYN会话建立阶段SYN/ACK会话建立阶段ACK会话同步至NP会话同步至NP流量转发阶段已建立会话的流量由NP处理,不再经过CPU多平面架构的优势①高吞吐NP芯片硬件方式快速转发,能获得极高的小包吞吐量(包转发率)——接近万兆线速。无需考虑业务流量中的大包和小包比例。15多平面架构的优势②低延迟NP芯片的延迟极低——小于8us,对网络流量的影响微乎其微。16多平面架构的优势③可控度高完全由CPU处理CPU+NP多平面CPUX=流量Y+新建会

6、话Z?CPUX=新建会话X还是=流量A+新建会话B?NPY=流量Y很难估算组合。非常清晰、可控。由于实际网络中混合了新建会话、并发在实际网络中的表现与理论值基本相同。会话、流量,各项指标与标称值会有明显差别。当发生异常攻击时,会话和流量往往都NP芯片线速转发流量,基本无需考虑;会大幅提高,对CPU是双重考验。只有突发的会话会产生压力。17多平面架构的优势③可控度高CPU占用率与每秒新建会话数高度正相关,可通过SNMP监测。18多平面架构的优势④高可靠性防火墙不稳定或发生故障,经常跟CPU占用率高相关。使用CPU+NP的设计,会话建立完成后,CPU不再处理相关流量

7、,所以CPU可以长期维持较低的占用率,发生问题的几率会明显降低。在有大量长连接的网络中,区别更加明显。192.FortiGateHA机制和原理20HA概述①提高可靠性HA(HighAvailability)指的是通过尽量缩短或完全避免因日常维护操作(计划)和突发的系统崩溃(非计划)所导致的停机,以提高系统和应用的可用性。②提高性能HA也提供负载均衡在HA成员中分配会话及流量实现平衡系统负载以及设备性能的最大化。21HA的2种方法22VRRP•VRRP•VirtualRouterRedundancyProtocol:虚拟路由器冗余协议。•优点:支持不同型号甚至不同

8、厂商设备间的HA。•缺点

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。