IPSEC VPN Trafiğinin Offload Edilmesi

Birçok FortiGate platformları trafiği belirli türde işlemede sorumlu olan ve ASIC olarak adlandırılan özel olarak tasarlanmış bir donanım bileşeni içerir. Bu ASIC’lerden biri İşlemcisi veya NP dir.

NP çip setine sahip Fortigate donanımları, IPSEC VPN performansını CPU üzerindeki yükü alarak büyük ölçüde artırır. VPN offload özelliği trafiğin tüm yönlerine etki eder. İngress, engress veya her iki yönde yükü üstlenerek anlamlı olarak performans artışı sağlar.

IPSEC VPN Offload için önce aşağıdaki sorulara cevap aramak lazım.

1. Fortigate cihazında NP desteği varmıdır?

2. NP offload için ayrı bir donanım mı kullanıyor yoksa yazılımsal olarak mı işlem görüyor?

3. NP işlemcisi Encryption/Decryption için neler sunuyor?

 

Donanım hızlandırma ve hızlandırma seçenekleri için aşağıdaki linke göz atabilirsiniz.

http://docs.fortinet.com/d/fortigate-hardware-acceleration

NP offload işlemi için yapılması gerekenler:

Öncelikle phase1 vpn ayarlarında npu offload seçeneği enable edilmeli.

# config vpn ipsec phase1-interface
# edit phase-1-name
# set npu-offload enable
# end

İlgili VPN kuralında  asic offload enable edilmeli.

# config firewall policy
# edit <policy_id>
# set auto-asic-offload enable
# end

Diagnostic komutları ile offload durumu kontrol edilebilir.

# diagnose vpn ipsec status

diagvpnIPSECstat2

# diagnose vpn tunnel list

npu_flag=03npu_flag03

npu_flag=00 : Giriş ve çıkış ESP paketlerinin offloading olmadığı anlamına gelmektedir
npu_flag=01  : Sadece çıkış ESP paketlerinin offload olduğu, giriş ESP paketlerinin Kernel tarafından ele alındığını gösterir
npu_flag=02 : Sadece giriş ESP paketlerinin offload olduğu, çıkış ESP paketlerinin Kernel tarafından ele alındığını gösterir
npu_flag=03 : Hem giriş hem de çıkış ESP paketlerinin offload oluğunu gösterir

5,087 total views, 6 views today