資源描述:
《FortiGate硬件構架及HA介紹》由會員上傳分享��,免費在線閱讀�����,更多相關內(nèi)容在行業(yè)資料-天天文庫。
1�����、FortiGate硬件構架及HA介紹FortinetConfidential1.FortiGate系統(tǒng)構架設計2FortiGate-3950B硬件架構總調(diào)度及會話管理安全處理加速外部接口1111101010101010GEGEGEGEGEGEGEGEGEGEPort1Port2Port3Port4Port5Port6FMC-XD2FMC-XG2空槽3多芯片分布式處理任務調(diào)度及會話處理多核CPU(Intel)每秒新建會話:25萬數(shù)據(jù)包轉發(fā)���、NATFortiASIC-NP小包吞吐量:20GbpsIPS、DDoS加速FortiASIC-SP組播加速FortiASIC-
2����、CP應用層安全加速4控制平面FortiASIC控制平面CPUBlockCP7會話建立及結NPNP/SPNP-BNPNP/SP束過程由CPU處理,然后將轉發(fā)平面會話表同步到I參與該會話的FMCI/OS0PortsFNP4PHYPHYPHY4x1G5轉發(fā)平面控制平面CPUBlockFortiASICCP7會話建立后��,NPANP/SPNPBNPNP/SPNP4依據(jù)會話表快速轉發(fā)����,轉發(fā)平面CPU不再參與,I直至會話結束FMCI/OS0PortsF(收到FIN包)���。PHYPHYPHY4x1G6包轉發(fā)流程包轉發(fā)流程FGT_XT_12#id=36871trace_id=1ms
3��、g="vd-rootreceivedapacket(proto=6,192.168.138.1:56174->20.20.20.10:80)fromport1.”id=36871trace_id=1msg="allocateanewsession-00000058"id=36871trace_id=1msg="findaroute:gw-20.20.20.10viaport2"id=36871trace_id=1msg="AllowedbyPolicy-1:”From:192.168.138.1:56174是否已No在會話表中To:有會話收到數(shù)據(jù)包20.20.2
4���、0.10:80建立新會話On:?port1SessionID:00000058AllowedForwardGW:PolicyID:packet允許該20.20.20.101查找防火墻有路由流量嗎策略表Interface:嗎?����?port2CPU中斷映射(MSI-x)FromNPUtoCPUorSMP_AFFINITYFortiASICCPUBlockCP7IRQ160IRQ167cpu1cpu2cpu3cpu4cpu5cpu6cpu7cpu8FortiASICIRQ1601NP4MultiRXqueueIRQ1612IRQ16240G110GIRQ1638ISFP
5、HYIRQ16410IRQ16520IRQ1664010G10G1G1G1G1GIRQ167805612349會話建立階段SYN會話建立階段SYN/ACK會話建立階段ACK會話同步至NP會話同步至NP流量轉發(fā)階段已建立會話的流量由NP處理��,不再經(jīng)過CPU多平面架構的優(yōu)勢①高吞吐NP芯片硬件方式快速轉發(fā)�����,能獲得極高的小包吞吐量(包轉發(fā)率)——接近萬兆線速���。無需考慮業(yè)務流量中的大包和小包比例�����。15多平面架構的優(yōu)勢②低延遲NP芯片的延遲極低——小于8us��,對網(wǎng)絡流量的影響微乎其微�����。16多平面架構的優(yōu)勢③可控度高完全由CPU處理CPU+NP多平面CPUX=流量Y+新建會
6���、話Z�����?CPUX=新建會話X還是=流量A+新建會話B���?NPY=流量Y很難估算組合。非常清晰�����、可控���。由于實際網(wǎng)絡中混合了新建會話、并發(fā)在實際網(wǎng)絡中的表現(xiàn)與理論值基本相同��。會話�����、流量����,各項指標與標稱值會有明顯差別。當發(fā)生異常攻擊時���,會話和流量往往都NP芯片線速轉發(fā)流量�,基本無需考慮;會大幅提高��,對CPU是雙重考驗�����。只有突發(fā)的會話會產(chǎn)生壓力����。17多平面架構的優(yōu)勢③可控度高CPU占用率與每秒新建會話數(shù)高度正相關,可通過SNMP監(jiān)測���。18多平面架構的優(yōu)勢④高可靠性防火墻不穩(wěn)定或發(fā)生故障�����,經(jīng)常跟CPU占用率高相關��。使用CPU+NP的設計���,會話建立完成后,CPU不再處理相關流量
7�����、,所以CPU可以長期維持較低的占用率����,發(fā)生問題的幾率會明顯降低。在有大量長連接的網(wǎng)絡中��,區(qū)別更加明顯����。192.FortiGateHA機制和原理20HA概述①提高可靠性HA(HighAvailability)指的是通過盡量縮短或完全避免因日常維護操作(計劃)和突發(fā)的系統(tǒng)崩潰(非計劃)所導致的停機����,以提高系統(tǒng)和應用的可用性。②提高性能HA也提供負載均衡在HA成員中分配會話及流量實現(xiàn)平衡系統(tǒng)負載以及設備性能的最大化����。21HA的2種方法22VRRP?VRRP?VirtualRouterRedundancyProtocol:虛擬路由器冗余協(xié)議。?優(yōu)點:支持不同型號甚至不同
8���、廠商設備間的HA����。?缺點
