Fortinet商品など
FortiGateでスループットが遅い場合の対処法について
FortiGateでスループット(通信速度やデータ処理量)が遅いと感じる場合、原因は多岐にわたります。
ハードウェアリソースの問題から設定ミス、不要な機能の有効化まで、さまざまな要素がパフォーマンスに影響します。
以下に、体系的なトラブルシューティングの手順と改善方法を詳しく解説します。
【基本チェック】ハードウェアとファームウェアの状況確認
ファームウェアのバージョン確認とアップデート
- 古いバージョンのファームウェアでは、バグや非最適なパフォーマンスが含まれていることがあります。
- Fortinetのサポートページで最新の安定版ファームウェアを確認してください。
リソース使用率の確認
CLIまたはGUIで次のコマンドを実行して、リソースの使用状況を確認します。
get system performance top
- CPU使用率が80%以上常時使用されている場合は過負荷の兆候。
- メモリ使用率が高い(特にswap使用)と、処理速度に悪影響。
【ネットワーク構成】ルーティング・物理接続の見直し
ネットワークインターフェースの速度・デュプレックス設定
インターフェースが正しくネゴシエーションされていないと、通信速度に影響します。
diagnose hardware deviceinfo nic port1
- Speed: 1000Mbps full duplex などと表示されているか確認
- オートネゴシエーションが失敗して10Mbpsになっているなど、速度低下の原因になります。
ケーブル・スイッチの状態確認
- 不良ケーブル・ポートの断続的な接続は速度に悪影響。
- 別ポート・別ケーブルで検証してみるのも手。
【FortiGateの機能】重いサービスや不要な機能をオフにする
UTM機能(Antivirus, Web Filtering, Application Control)
- これらの機能はCPUリソースを大きく消費します。
- すべてのトラフィックに適用されていないか確認。
改善策
- 特定のセグメントのみに適用範囲を限定する。
- 必要ないサービスはポリシーから除外する。
Logging(ログの過剰出力)
- 詳細なログ(セッションごとなど)を全トラフィックに対して行うと、処理負荷が増加します。
- 通常は「セキュリティイベントのみ」や「ログは必要なポリシーだけ」にするのが望ましい。
【セッション・フロー管理】セッション数の確認と調整
同時セッションの上限確認
get system performance status
Session countがSession setup rateに対して極端に高い場合、処理が滞っている可能性。
NP (Network Processor) の使用状況確認
FortiGateにはASICが搭載されているモデルがあり、高速転送に利用されています。
これがうまく活用されていないとソフトウェアルーティングとなり、遅くなります。
diagnose npu np6 status
- セッションがNPによって処理されているか(
offloaded sessions)を確認。 - されていない場合、セッションの条件や設定(例:SSL Inspection)が原因。
【インスペクションとSSL】ディープパケットインスペクションの見直し
SSL Inspection(SSL復号)
- デフォルトで「full inspection」が有効になっていると大幅にスループットが下がります。
- 「certificate-inspection(証明書の確認のみ)」に変更することで、速度が大幅に改善されることがあります。
【診断ツール】パフォーマンス測定とログ調査
diag debug flow コマンドでフロー調査
どこで処理に遅延が発生しているかを確認可能。
diag debug enable
diag debug flow filter addr <クライアントIP>
diag debug flow show console enable
diag debug flow trace start 100
diag sys top でCPUプロセス確認
どのプロセスがCPUを多く使っているかを確認し、該当機能を見直します。
【ベストプラクティス】構成最適化のヒント
| 項目 | 推奨設定・対応 |
|---|---|
| ルーティング | スタティック経路の見直し、ポリシールーティングが過剰でないか |
| DNS | FortiGuard DNSのレスポンス遅延があると全体に影響するため、内部DNSを使用 |
| MTU | MTUミスマッチによる断続的なパケット再送を防ぐため、正しいMTUを設定 |
| HA構成 | アクティブ/パッシブでの同期が過負荷になっていないかを確認 |
【それでも改善しない場合】さらに深掘り調査へ
- Fortinet TAC(テクニカルサポート)にログを添えて相談
packet captureによるトラフィック遅延のポイントの特定- 実際の帯域測定(iperfやFortiTesterなど)で理論値との差を可視化
まとめ
FortiGateのスループット低下は、「設定ミス」「機能過多」「ハードウェア負荷」「トラフィックの性質」など複数の要素が絡んでいることが多くあります。
以下の順序で対応すると効果的です。
- ハード・ファームウェアの正常性確認
- インターフェースとケーブルの物理レイヤ見直し
- UTM機能やログの最適化
- SSLインスペクションの負荷軽減
- 診断ツールを使ったボトルネック特定
以上、FortiGateでスループットが遅い場合の対処法についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(Zero-Ten Park キャナルシティ博多前)
電話番号:092-600-1222
