通过上次对比(不需要授权的FortiOS和FortiGate有什么差异?),我们发现直接导入的FortiOS和FortiGate在功能上并没有什么太大区别。最主要的区别就是FortiOS比FortiGate多了无线相关的功能,但是FortiOS不要授权啊,而FortiGate还需要登录FortiCare账户进行授权。
在配置上,为了保证尽量公平,我们都使用的7.2.6版本的虚拟机,虚拟机规格都是导入时默认的配置:1核CPU、2 GB内存。而系统启动完成之后,两者的内存规格存在细微差异,FortiOS显示1996 MB可用,而FortiGate显示为1993 MB可用,差距为0.15 %,应该可以忽略不计。
实际FortiOS在导入时与FortiGate存在细微差异(来吧,给大家分享一下最新版本的FortiGate-VM64,带试用授权),但前五步是基本一致的。
首先点击“创建/注册虚拟机”,选择“从OVF或OVA文件部署虚拟机”,点击“下一页”。
然后为虚拟机指定名称FortiOS.7.2.6,上传文件时选择两个vmdk文件,其中fortios.vmdk是系统盘,datadrive.vmdk会创建一个30 GB的数据盘。
“选择储存”页面,直接点击“下一页”。
“许可协议”页面,先点击“我同意”,再点击“下一页”。
“部署选项”页面,主要是网卡1,选择到管理网络,其他网卡随便配置;磁盘置备为“精简”,无需调整;关闭“自动打开电源”。
然后就是差异点了,有个第6步“其他设置”,这里主要要调整系统和接口的配置。提前透露一下,接口Interface 01就是对应的管理口mgmt,对应FortiGate的默认情况,他是使用DHCP自动获取地址的。但是在FortiOS中,接口默认都是静态IP地址。
如果为了方便操作,我们可以将接口的地址配置模式修改为DHCP,此时即使配置了IP地址也将被忽略。
但是,为了方便管理,我们还是想为它指定一下静态IP地址。
最后,点击“完成”,结束部署。
我们先测试一下默认规格的FortiGate的转发性能,首先在“网络”下的“接口”配置中,配置好互联的IP地址。
然后需要添加防火墙策略,为了方便操作,直接添加全放通的策略吧。
接下来,只要在iperf3主机上配置好路由,就可以开始打流了(iperf3命令简介)。
首先以iperf141作为服务器,使用iperf142进行打流,测得单条流带宽为3.05 Gbps。
如果使用多条流,测得2条流时为4.05 Gbps,3条流时为4.18 Gbps,4条流时为3.73 Gbps,5条流时为4.32 Gbps,6条流时为3.83 Gbps。
对换角色,以iperf142作为服务器,使用iperf141进行打流,测得单条流带宽为2.74 Gbps。
如果使用多条流,测得2条流时为4.26 Gbps,3条流时为3.55 Gbps,4条流时为3.82 Gbps,5条流时为4.72 Gbps,6条流时为3.67 Gbps。
而如果换用iperf进行测试,数据能稍微高一些(iperf命令简介)。以iperf141作为服务器,使用iperf142进行打流,测得4条流时的最大带宽为6.04 Gbps。
以iperf142作为服务器,使用iperf141进行打流,测得4条流时的最大带宽为6.88 Gbps。
然后我们换上FortiOS,使用iperf进行测试。以iperf141作为服务器,使用iperf142进行打流,测得4条流时的最大带宽为3.43 Gbps。
以iperf142作为服务器,使用iperf141进行打流,测得6条流时的最大带宽为3.22 Gbps。
那要是这么看,好像FortiOS的转发性能只有FortiGate的一半左右(分别为56.8%和46.8%)。
接下来,我们来扩展FortiOS的配置试一下。
首先把FortiOS的系统配置调整为2核CPU、4 GB内存,系统启动后,可以看到许可有效期至2038年,还有14年多的光景;分配的可用vCPU数量为2个,内存为4 GB。
再次使用iperf进行测试。以iperf141作为服务器,使用iperf142进行打流,带宽介于3.08-3.19 Gbps之间,没有明显差异。
以iperf142作为服务器,使用iperf141进行打流,带宽介于2.82-2.90 Gbps之间,没有明显差异。
在打流过程中,可以看到CPU利用率变化明显,有1核CPU的利用率比较高,另1核稍低一些,估计是CPU性能瓶颈了。而且两次打流过程中CPU的利用率高低是相反的,估计是使用类似DPDK之类的技术将接口绑定到了CPU上。
干脆,多分配一些计算资源再试一下,这时我们发现最多只能选到8核CPU,说明规格并不是无限上调的,操作系统EULA许可的CPU数量最大仅为8个。
因为前面测试内存利用率一直不高,那我们就把主机规格调整为8核CPU、8 GB内存吧。
再次使用iperf进行测试。以iperf141作为服务器,使用iperf142进行打流,带宽介于3.40-3.84 Gbps之间,提升大约20 %。
以iperf142作为服务器,使用iperf141进行打流,带宽相比之前没有明显差异。并且在打流过程中突然中断了,两台主机之间只能到对端网关,主机不能互通了。测试了重启FortiOS和打流主机,均没有效果。
查看流量统计,发现已经打了149.48 GB流量,难道和这个有关系?
再次查看CPU使用率,果然还是只有两个核在跑,应该是使用的DPDK无疑了。
毕竟它的配置中还有DPDK相关配置。
总结一下,FortiOS的整体性能比FortiGate要差一些,即使调高规格也存在不小差异,如果要在生产环境使用,需要注意是否满足业务需求。
声明:文中观点不代表本站立场。本文传送门:https://eyangzhen.com/341969.html
