본문 바로가기
FortiGate/ETC...

FortiGate ASIC 관련 자료

by 에티버스이비티 2021. 1. 11.

 

 

Product : FortiGate

 

Detail : FortiGate ASIC에 대한 자료 및 NTurbo 콘셉

    1. Contents processor CP 란?

    2. Security Processor SP 란?

    3. Network Processor NP 란?

    4. NTurbo 란?

 

 

Solution :

    소형(엔트리 레벨) 장비를 제외한, 대부분의 FortiGate는 Security Processing Units (SPUs)라고 불리는

    가속화 하드웨어를 가지고 있음. 이는 CPU에 몰리는 처리량에 대해 오프로딩 시켜주는 역할을 함.

    각 ASIC 칩의 버전들은 모델별로 상이할 수 있음.

 

    -1. Content Processor: CP (21. 01.07 시점 최신버전. CP9)   Detail

        FortiGate 장치에서 바이러스 스캔, 공격 탐지, 암호화(Encryption) 및 복호화(Decryption) 등을 담당.

        10Gbps 스루풋 이상의 Flow-based inspection 패턴 매칭 가속화(IPS pre-scan/pre-match)

        고성능 VPN 엔진(IPsec SSL/TLS 프로토콜 프로세서, 암-복호화 가속화 등)

        고성능 IKE, RSA계산을 위한 키 교환 프로세스(RSA Key gen 등)

        

    -2. Security Processor: SP (21.01.07 시점 최신버전. SP3)   Detail

        대량의 트래픽이 많은 환경에서, 방화벽 자체의 처리보다 IPS 기능을 더 선호한다면,

        FortiGate 장치에서 SP를 활성화하여 IPS 성능 향상 및 가속화 함.

        SP 프로세서는 내부에 IPS와 유사한 엔진을 내장하고 있으나 몇가지 차이점 있음.

          =SSL Deep inspection 기능이 지원되지 않아, 정책에 Deep inspection이 켜진 경우,

            SP로의 Offload가 비활성화되고, CPU 및 CP 프로세서가 이를 처리.

          =FortiGuard Webfiltering은 미지원.

            때문에 SP가 작동중인 FortiGate에서 Webfiltering기능을 사용시, 웹페이지 로드 실패가 뜰 수 있음.

 

    -3. Network Processor: NP (21.01.07 시점 최신버전. NP7)   Detail

        대용량 네트워크 트래픽의 부하를 처리, 가속화.

        대부분의 IPv4/ IPv6 트래픽, CAPWAP 트래픽, VXLAN트래픽, NAT 세션설정 등의 오프로딩.

        오프로드 할 수 있는 트래픽, 최대 throughput, NP의 갯수 등은 모델에 따라 틀림.

        NP7부터 2x 100G 인터페이스 포함 및 세션플로우의 단순화로 성능 대폭 향상.

        NP6(X)Lite 등은 NP6와 동일 기능을 하되, 스루풋만 적은 라이트 버전을 의미.

        인터페이스 레벨로 동작하며, 각 NP마다 맡은 인터페이스(포트)가 틀림.

 

        ex1) 아래의 이미지 상, 빨간색 인터페이스는 NP6_0을 통해 오프로딩 됨.

        ex2) NP7은 대용량 트래픽 처리를 통해 하나의 NP#0을 통해 오프로딩 됨.

        ※ FortiGate는 동일한 NP를 타는 트래픽에 대해서만 오프로딩 가능.

ex1) FortiGate 1100E 예시 (NP6)
ex2) FortiGate 1800F 예시 (NP7)

 

        각 모델별 NP에 대한 정보는 Fortinet Fast Path Architecture 참조

 

    -4. NTurbo  Detail

        방화벽으로 들어오는 Flow-based Security profile 세션에 대한 오프로딩 처리

        만일 꺼져있다면, 모든 Flow-based Security profile 세션은 FortiGate CPU를 통해 처리됨.

        정책 등에서 오프로딩이 disable이거나, Proxy-based 세션 또한 CPU를 통해 처리됨.

 

 

Link : Fortinet Fast Path Architecture

 

저작자표시 비영리 변경금지

'FortiGate > ETC...' 카테고리의 다른 글

iPerf3를 이용한 bandwidth 테스트  (0) 2021.01.13
자동 스크립트 기능 활용 방법  (0) 2021.01.13
Fortigate vdom간 통신하는 방법  (0) 2021.01.11
FortiGate Session 필드 정보  (0) 2021.01.06
Fortigate gui 라이선스 만료날짜와 support site 만료날짜 다른 이유  (0) 2021.01.05

관련글

댓글

티스토리툴바