监控和诊断
基本概念
三个重要的进程， WAD, WADBD and WAC。
AD进程负责处理协议和识别数据，并于WADBD和WACS通信，是最关键的进 程。 WADBD进程负责处理bytes cache WACS进程连接后端数据，来处理MD5，更新和存储，负责处理Object Cache 如果WACS进程down,数据将不能被Cache到硬盘，Http Object Cache将被缓存到 内存中，直到128M
LAN VDOM-PP ----- Inter-Link ----- VDOM-WANOPT WAN
所有FG型号都支持Web proxy和WCCP v2。 只有FG50B-HD、FG110C-HD、ASM-S08和某些支持ISCSI的FG型号 才支持wan优化。老型号即使有硬盘也不支持。（见后页） 只有CP6型号支持基于SSL和安全通道。 只支持FG-FG或FG-FortiClient间的WAN OPT，不兼容第三方设备或 软件。
peer-peer配置3——注意事项
1，peer-peer模式，两个FGT之间会建立一个通道（TCP端口7810）， 就像VPN通道一样，直接将两边FGT的内网连接在一起，这时服务 器端的FGT甚至不需要配置防火墙策略。
2，客户端的FGT只要配置相应的策略。Wan优化在服务器端不需 要策略
Wan优化1——协议优化
FortiGate使用协议优化的方法来减少带宽的战用，有很多协议是 在局域网环境下开发的，可以通过在两端的FortiGate上采用一些 优化和压缩技术，来减少广域网的数据传输，节省带宽，减少延 迟，提高运行速度。 支持的协议有：
CIFS (file servers) MAPI (E是change/Outlook) HTTP/HTTPS FTP TCP
两种模式的配置要点
1，都要首先配置对等体（peer-list）对等体可以是一个，也可以是 多个)，多个对等体需要用Authentication组 配置。FortiClient或者拨号 的FGT不需要配置对等体，它们需要配置Authentication组 。 2，开始配置规则（rule),选择相关的源地址、目的地址、端口和协 议，如果知道具体地址，端口，要用具体地址和端口，不要用网 段和端口范围。 3，一般要选择Enable Byte Caching，它适用于所有的TCP协议。 4，配置安全通道（Secure Tunnel ）需要配置Authentication组 5，配置Ssl加密，还要在服务器端FG上配置Ssl服务器 6，选择透明（Transparent Mode ）和不选择透明，服务器端会看到 不同的客户端地址，透明显示客户端PC地址，非透明会显示客户 端FG接口地址。
常见诊断命令
Commands to Know
diag vpn ipsec status -显示CP和NP的版本 diag wadbd clear -删掉数据库中所有数据缩减（data deduction）的 内容 diag wadbd check – 检查数据库的完整性 diag wad session list – 显示WAN Op 会话 diag wad session clear – 清楚 WAN Op 会话表 diag test app wad <option> -诊断和统计的命令集，用选项3可以显 示Wad pro是y和硬盘的情况. diagnose wacs stats -显示Cache的使用情况统计. fnsysctl ps – 显示当前运行的进程，可以查看 WAN Op 进程: bin/wa_dbd 和 /bin/wad. 是否在运行 diagnose debug application wad 255 显示实时信息 diagnose wad console-log enable/diagnose debug enable – 在终端 上显示Wad的诊断信息
两种模式各自的适用范围
P-P适用于两个固定IP的FortiGate之间建立Wan优化，和IPsec的Site-toSite类似。A-P适用于移动用户，如拨号的FGT或者FortiClient，类似于 dialup IPsec
P-P模式
A-P模式
A-P模式
Wan优化后的效果演示 -FTP
两次FTP相同文件，时间相差很大
实验
测试FG-FG，FortiClient—FG之间FTP协议的A-P和P-P模式的WAN 优化
Byte Cache需要硬盘的支持。
Wan优化3——Web Cache & 加速
FortiGate支持正向和反向的透明代理缓存,也支持非透明的正向代理 Cache.
正向:为客户端缓存浏览的网页。减少广域网带宽占用，提高浏览速 度。 反向:缓存本地服务器的内容，供远程用户访问，用户可以通过它访 问静态的网页和文件，减轻本地服务器的负载。
是
是 是 是 是 是
-
是
是 是 是 是 是
All Other FOS 4.0
-
-
是
-
-
ห้องสมุดไป่ตู้
-
-
A-P模式和P-P模式的配置
网络拓扑
测试了一下两种模式，A-P和P-P，还测试了HTTPS的wan优化及 FortiGate在透明模式下的wan优化
WAN优化的规划注意事项
网络流量首先匹配防火墙策略，然后匹配WAN OPT规则。 WAN OPT与保护内容表不能同时使用，但可以通过VDOM划分实 现。
Web透明和显式代理
Web透明配置——Web Cache Only
这种情况一般都是客户端有FortiGate
客户端
服务器
正向Cache
Web显式代理与Cache
要配置显式代理，然后在Cache设置中启用显式Cache
端口启用显式代理
Cache设定中启用显式代理
Cache设定
一般情况下，使用缺省设置即可
可以用SSL加密wan加速的通道，称为安全通道（secure tunnel) ， TCP端口为7810（P-P模式下），和非加密通道的端口号一样。 SSL和安全通道都需要CP6的支持
6
Fortinet Confidential
Product Overview
支持的型号
Platform FGT
5
Fortinet Confidential
Product Overview
Wan优化4——SSL和通道
对于SSL加密的流量(如：https)，仍支持Wan优化：
需要将服务器CA证书输入到FortiGate上。 Full模式，从客户端FG-服务器端FG-服务器全程加密 Half模式，从客户端FG-服务器端FG为加密，服务器端FG-服务器之间 为明文。
50B-HD 110C-HD
WAN OPT
是 是
Web Cache
是 是
Proxy
是 是
iSCSI
-
SAS
-
Internal HDD
是 是
AMC HDD
-
310B
620B 3016B 3600A 3810A 5001ASW
是
是 是 是 是 是
是
是 是 是 是 是
是
是 是 是 是 是
是
是 是 是 是 是
Peer IP
Active-Passive配置2——规则（rule）
和防火墙策略一样，wan优化规则自上而下匹配。 匹配源地址、目的地址和目标端口 第一条匹配的策略被启用
Active-Passive配置3——配置规则
服务器端 客户端 客户端主动，服务器端选被动
Active-Passive配置4—— 注意事项
总是Revalidate，每次都要检查 Cached的有效性。
Negative Response Duration，是否 Cache negative Response（如：404 错误）,Cache多长时间。 Fresh Factor ，新鲜度指数，新鲜 度越低，Cache更新越快，wan带 宽占用越高，反之，则Cache更新 慢，wan带宽占用低 最大/最小/缺省TTL，内容在Cache 中最长、最短和缺省时间
Wan 优化
Course 201 v4.0
Wan 优化简介
Wan优化可以提高通过Wan运行的应用的性能，减少数据 传输，减少延迟，优化为LAN环境设计的应用。 Wan优化需要硬盘支持 FortiGate主要的优化技术有：
协议优化（Protocol optimization）， 数据缩减（data deduction 又叫 Byte caching), Web Cache SSL 安全通道（Secure tunnel ）
FortiGate是靠对等体来识别对方的。每台FG都需要配置Peer, 配置需 要ID和IP地址
对等体可以说一个设备，也可以是一组设备，一组设备就要在 Authentication Group 中配置。
Peer ID
Peer IP
peer-peer配置2——配置规则
服务器端
客户端
只需要在客户端配置规则，服务器端只需要正 确配置Peer.
1，首先要保证客户端PC到服务器端FGT的可达性（Ping）。 2，不建议启用NAT，即使启用也不工作。 3，服务器端FGT要配置一条从外到内的防火墙策略，以允许外部客 户端访问内部服务器。
peer-peer配置1——配置对端
和Active-Passive一样，首先定义对等体（peer）
Active-Passive配置1——定义对端
必须首先定义对端（peer）
FortiGate是靠设置对端来识别对方的。每台FG都需要配置对端(Peer), 配置需要ID和IP地址