1、Fortinet ConfidentialFortiGate硬件构架及HA介绍1. FortiGate系统构架设计2空槽FortiGate-3950B硬件架构3FMC-XD210GE10GE1GE1GE1GE1GEPort1 Port2 Port3 Port4 Port5 Port610GE10GEFMC-XG210GE10GE总调度及会话管理安全处理加速外部接口多芯片分布式处理4多核CPU (Intel)任务调度及会话处理每秒新建会话:25万FortiASIC-NP数据包转发、NAT小包吞吐量:20GbpsFortiASIC-SPIPS、DDoS加速组播加速FortiASIC-CP 应用层安
2、全加速54x1GPHYNPFMC0NP NP/SPPHYISFCPU BlockFortiASICCP7I/OPortsNP-B NP/SPPHY会话建立及结束过程由CPU处理,然后将会话表同步到参与该会话的NP4控制平面控制平面转发平面64x1GPHYNPFMC0NP A NP/SPPHYISFCPU BlockFortiASICCP7I/OPortsNP B NP/SPPHY会话建立后,NP4依据会话表快速转发,CPU不再参与,直至会话结束(收到FIN包)。转发平面控制平面转发平面包转发流程包转发流程FGT_XT_12 # id=36871 trace_id=1 msg=“vd-root
3、received a packet(proto=6, 192.168.138.1:56174-20.20.20.10:80) from port1.”id=36871 trace_id=1 msg=“allocate a new session-00000058“id=36871 trace_id=1 msg=“find a route: gw-20.20.20.10 via port2“id=36871 trace_id=1 msg=“Allowed by Policy-1:”是否已有会话?有路由吗?收到数据包From: 192.168.138.1:56174To:20.20.20.10:8
4、0On:port1No在会话表中建立新会话Session ID:00000058GW:20.20.20.10Interface:port2查找防火墙策略表AllowedPolicy ID:1允许该流量吗?Forward packetCPU中断映射(MSI-x)9From NPU to CPU or SMP_AFFINITYPHYCPU BlockFortiASICCP7FortiASICNP410G10G1G 1G 1G 1G10G10G1 2 3 465ISFIRQ 160cpu1 cpu2 cpu3 cpu4 cpu5 cpu6 cpu7 cpu8IRQ 1601IRQ 1612IRQ 1
5、624IRQ 1638IRQ 16410IRQ 16520IRQ 16640IRQ 16780IRQ 167Multi RX queue会话建立阶段SYN会话建立阶段SYN/ACK会话建立阶段ACK会话同步至NP会话同步至NP流量转发阶段已建立会话的流量由NP处理,不再经过CPU多平面架构的优势高吞吐NP芯片硬件方式快速转发,能获得极高的小包吞吐量(包转发率)接近万兆线速。无需考虑业务流量中的大包和小包比例。15多平面架构的优势低延迟NP芯片的延迟极低小于8us,对网络流量的影响微乎其微。16多平面架构的优势可控度高17完全由CPU处理 CPU+NP多平面CPUX = 流量Y + 新建会话Z?
6、还是= 流量A + 新建会话B?很难估算组合。CPU X = 新建会话XNP Y = 流量Y非常清晰、可控。由于实际网络中混合了新建会话、并发会话、流量,各项指标与标称值会有明显差别。在实际网络中的表现与理论值基本相同。当发生异常攻击时,会话和流量往往都会大幅提高,对CPU是双重考验。NP芯片线速转发流量,基本无需考虑;只有突发的会话会产生压力。多平面架构的优势18可控度高CPU占用率与每秒新建会话数高度正相关,可通过SNMP监测。多平面架构的优势高可靠性防火墙不稳定或发生故障,经常跟CPU占用率高相关。使用CPU + NP的设计,会话建立完成后,CPU不再处理相关流量,所以CPU可以长期维持
7、较低的占用率,发生问题的几率会明显降低。在有大量长连接的网络中,区别更加明显。192. FortiGate HA机制和原理20HA概述提高可靠性HA(High Availability)指的是通过尽量缩短或完全避免因日常维护操作(计划)和突发的系统崩溃(非计划)所导致的停机,以提高系统和应用的可用性。提高性能HA也提供负载均衡在HA成员中分配会话及流量实现平衡系统负载以及设备性能的最大化。21HA的2种方法22VRRPVRRP Virtual Router Redundancy Protocol:虚拟路由器冗余协议。优点:支持不同型号甚至不同厂商设备间的HA。缺点:配置、会话均不能同步,故障切
8、换前的连接不能保持。通常不建议使用。23FGCP24FGCP FortiGate Cluster Protocol :FortiGate 专有集群协议。完整的HA 故障恢复 会话保持 负载均衡 虚拟集群 全冗余(Full Mesh)HA 集群管理建议使用(之后的HA均指FGCP HA)FGCP要求硬件型号必须一致软件版本必须一致如果设备包含硬盘,则集群中所有设备硬盘的大小、格式及分区必须一致25HA的2种工作模式26HA工作模式1:A-PA-P(主备模式),用于故障恢复,HA主设备处于工作状态下,从设备处于备份状态,主设备故障后,从设备切换至主设备继续工作。27Active-masterPassive-slaveSwitch SwitchHeartbeatInternalHA工作模式2:A-AA-A(主主模式),负载均衡,HA成员都处于工作状态下,任意设备故障后,其他设备仍然正常工作。28Active-masterActive-slaveSwitch SwitchHeartbeatInternal路由/NAT模式下的HA接口一一对应,每组接口使用相同的IP地址29透明模式下的HA使用同样的管理IP地址30
