NGFW ÜZERİNDE NIC OFFLOADING, NPU İŞLEME VE PERFORMANS OPTİMİZASYONU
1) NIC OFFLOADING (Network Interface Card Offload)
NIC offloading, bazı paket işleme işlemlerinin ağ kartı üzerinde yapılmasıdır.
Amaç CPU’ya giden yükü azaltmak ve throughput’u artırmaktır.
NIC Offload’ın yaptığı işlemler:
- Checksum offloading: TCP/UDP checksum hesaplamasını NIC yapar
- TSO / LRO: TCP paket segmentleme veya paket birleştirme NIC üzerinde yapılır
- Interrupt moderation: CPU kesmelerinin azaltılması
- VLAN tagging/stripping: VLAN label’ların NIC üzerinde işlenmesi
- RSS (Receive Side Scaling): Trafiğin CPU çekirdeklerine dağıtılması
Sonuç: CPU Packet Path yerine Fast Path aktif olur, gecikme ve CPU kullanımı düşer, throughput artar.
2) NPU İŞLEME (Network Processing Unit)
NPU, NGFW üzerinde L3–L4 paket işleme ve offloading yapan özel güvenlik işlemcileridir.
Fortinet ürünlerinde NP6, NP7, CP9 gibi isimlerle geçer.
NPU’nun işlediği operasyonlara örnek:
- Stateful paket yönlendirme
- IPsec VPN hızlandırma
- NAT işlemleri
- Multicast routing
- Load balancing
NPU’da işlenemeyen ve CPU’ya düşen trafik tipleri:
- IPS / Application Control
- SSL/TLS Inspection
- Antivirus / Sandbox / DLP
- QUIC / HTTP3
- Proxy mode
Açıklama: Bu işlemler payload analizi gerektirir, bu yüzden CPU path’e düşer.
3) PERFORMANS OPTİMİZASYONU İÇİN ÖNERİLER
- Inspection gerektirmeyen trafiği bypass edin
- Flow-based inspection mode kullanın
- QUIC/HTTP3 block veya monitor yapın
- Asymmetric routing kapatın
Özet:
NIC Offload = İşlemleri NIC’e delege ederek CPU yükünü azaltmak
NPU Offload = Paket yönlendirme hızlandırması ve throughput artışı
Optimize etmek = Fast Path'i artırmak, Slow Path'i azaltmak
yazar: Asrın Haktan Şahin