FortiGate 4.0流量整形功能配置及故障分析

说明：
本文档针对FortiGate 4.1.0 MR1产品的流量整形功能配置和基本故障分析命令使用进行说明，相关详细命令参照相关手册。

1．基本命令
命令:
config firewall shaper traffic-shaper
diagnose firewall shaper traffic-shaper state
diagnose firewall shaper traffic-shaper stats
diagnose firewall shaper traffic-shaper list
2．概述
2．1 流量整形功能在FOS4.0版本里面已经从防火墙策略里面单独剥离出来，这样就可以让多条策略共用一条流量整形策略；2．2 请尽可能的为一台防火墙策略同时配置正向及反向流量整形策略已更精确控制带宽使用；
2．3 相关P2P流控功能已经转移到应用控制模块实现；
2．4 如何通过“diagnose firewall shaper traffic-sha per”命令来查看防火墙丢包情况；
2．5 如何通过“diagnose debug flow”来分析流量整形问题；
2．6 如何通过“diagnose sys session”来分析流量整形问题。

3．详细说明
3．1流量整形功能在FOS4.0版本里面已经从防火墙策略里面单独剥离出来，在防火墙里面新增加一个独立的“流量整形器”用来配置独立的流量整形配置，也可以通过命令行来配置，格式如下：
config firewall shaper traffic-shaper
edit "limit_GB_25_MB_50_LQ"
set action none（*）――――配额满时的动作
set guaranteed-bandwidth 25 ――――承诺带宽
set maximum-bandwidth 50 ――――限制带宽
set priority high（*）――――带宽优先级
set per-policy disable (*) ――――带宽类型
set quota 0（*）――――配额
set type hour（*）――――带宽报告产生周期
next
end
注意，带“*”表示默认配置，如果“每条策略”没有启用，表示所有的共有这台整形器的防火墙策略共享同一个带宽，启用的话不同的防火墙策略都可以独立享受一个带宽。

3．2 可以同时配置正反向整形策略，如下：
config firewall policy
edit 4
set srcintf "port2"
set dstintf "port6"
set srcaddr "VM3"
set dstaddr "VM6"
set action accept
set schedule "always"
set service "ANY"
set traffic-shaper "limit_GB_25_MB_50_LQ"
set traffic-shaper-reverse "limit_GB_12_MB_25_LQ"
next
end
3．3 P2P协议的带宽控制功能已经转移到应用控制模块，如下图显示：
(点击放大)
命令行的配置如下：
config application list
edit "test"
config entries
edit 1
set action pass
set application 6
set category 2
set shaper "0_150_Low"
set shaper-reverse "0_400_Medium"
next
end
next
end
3．5如何通过“diagnose firewall shaper traffic-shaper”命令来查看防火墙丢包情况。

FOS里面给每个流量整形器都分配了计数器以记录防火墙丢包情况，可以登陆命令行进行丢包状态查看，如下显示：FGT # diagnose firewall shaper traffic-shaper stats
shapers 27 ipv4 42 ipv6 0 drops 242287007
FGT # diagnose firewall shaper traffic-shaper list
name 0_150_Low
maximum-bandwidth 150 KB/sec
guaranteed-bandwidth 0 KB/sec
current-bandwidth 114 B/sec
priority 3
policy 91
dropped 0
config: port=1015 giga=0 mega=0 beh=none type=hour
status: giga=0 mega=0 bytes=0 log=0 action=pass
name 150_250_Medium
maximum-bandwidth 250 KB/sec
guaranteed-bandwidth 150 KB/sec
current-bandwidth 250 KB/sec
priority 2
policy 96
dropped 23979
config: port=1015 giga=0 mega=0 beh=none type=hour
status: giga=0 mega=0 bytes=0 log=0 action=pass
name 50_200_Medium
maximum-bandwidth 200 KB/sec
guaranteed-bandwidth 50 KB/sec
current-bandwidth 120 B/sec
priority 2
policy 98
dropped 117
config: port=1015 giga=0 mega=0 beh=none type=hour
status: giga=0 mega=0 bytes=0 log=0 action=pass
如上表示防火墙总共由于流量整形丢包242287007个，其中策略91没有丢包，策略96丢包23979个，策略98丢包117个。

3．4 通过 debug flow来分析丢包问题，如下：
FGT# diagnose debug flow show console enable
FGT# diagnose debug flow filter addr 10.143.0.5
FGT# diagnose debug flow trace start 1000
id=20085 trace_id=11 msg="vd-root received a packet(proto=17, 10.141.0.11:3735->10.143.0.5:5001) from port5." id=20085 trace_id=11 msg="Find an existing session, id-0000eabc, original direction"
id=20085 trace_id=11 msg="exceeded shaper limit, drop"
3．5 通过查看系统连接表判断丢包问题，如下：
如果防火墙策略配置了双向流量整形器，通过命令可以看出来；
diagnose sys session list
session info: proto=6 proto_state=02 expire=115 timeout=3600 flags=00000000 sock
flag=00000000 sockport=0 av_idx=0 use=4
origin-shaper=Limit_25Mbps prio=1 guarantee 25600/sec max 204800/sec traffic 48/sec
reply-shaper=Limit_100Mbps prio=1 guarantee 102400/sec max 204800/sec traffic 0/sec
ha_id=0 hakey=44020
policy_dir=0 tunnel=/
state=may_dirty rem os rs
statistic(bytes/packets/allow_err): org=96/2/1 reply=0/0/0 tuples=2
orgin->sink: org pre->post, reply pre->post dev=2->3/3->2 gwy=10.160.0.1/0.0.0.0
hook=pre dir=org act=dnat 192.168.171.243:2538->192.168.182.110:80(10.160.0.1:80)
hook=post dir=reply act=snat 10.160.0.1:80->192.168.171.243:2538(192.168.182.110:80)
pos/(before,after) 0/(0,0), 0/(0,0)
misc=0 policy_id=2 auth_info=0 chk_client_info=0 vd=0 serial=00011e81 tos=ff/ff app=0 dd_type=0 dd_rule_id=0。