Introdução
Os equipamentos FortiGate utilizam processadores especializados chamados NPU (Network Processing Unit) para acelerar o encaminhamento de pacotes em hardware. Esse mecanismo, conhecido como NPU Offload, permite que sessões sejam tratadas fora da CPU principal, reduzindo latência e aumentando significativamente o throughput do firewall.
Porém, em alguns cenários operacionais e de troubleshooting, pode ser necessário desabilitar o NPU Offload. Neste artigo, vamos entender o que isso significa, para que serve e em quais situações a prática é recomendada.
O que é NPU Offload no FortiGate?
O NPU Offload é um recurso de aceleração por hardware que move o processamento de sessões da CPU para chips dedicados (NP6, NP7, SoC4, entre outros).
Quando o offload está ativo:
- O tráfego passa diretamente pela ASIC do equipamento
- A inspeção básica ocorre em hardware
- A CPU fica livre para tarefas de controle e serviços avançados
Benefícios principais:
- Alto desempenho
- Menor uso de CPU
- Baixa latência
- Melhor escalabilidade de sessões
O que significa “disable npu offload”?
Desabilitar o NPU Offload força o firewall a processar o tráfego totalmente pela CPU, sem utilizar a aceleração por hardware.
Configuração típica em uma policy:
config firewall policy
edit <ID>
set auto-asic-offload disable
next
end
Após essa alteração, as sessões deixam de ser aceleradas pelo ASIC e passam a ser tratadas via software.
Para que serve desabilitar o NPU Offload?
1. Troubleshooting e análise detalhada
Esse é o motivo mais comum.
Quando o tráfego é offloadado:
- Algumas informações deixam de aparecer em debugs
- Sniffer e diagnósticos podem não capturar corretamente
- Counters de sessão podem ficar limitados
Desabilitar o offload permite:
- Uso completo do
diagnose debug flow - Capturas mais precisas
- Análise real do path da sessão
2. Aplicação correta de inspeções avançadas
Alguns recursos exigem processamento em software:
- Deep Inspection SSL
- IPS avançado
- Application Control específico
- Traffic Shaping complexo
- Proxy-based inspection
Se o tráfego for acelerado pela NPU, certas inspeções podem não ocorrer como esperado.
3. Problemas de NAT, assimetria ou roteamento
Em ambientes complexos (VPN, SD-WAN, políticas múltiplas), o offload pode:
- Manter sessões presas ao hardware
- Ignorar mudanças dinâmicas de rota
- Gerar comportamentos inconsistentes após alterações
Desabilitar o NPU ajuda a validar se o problema é causado pelo fast path.
4. Ambientes de laboratório ou validação técnica
Em cenários de testes, muitas equipes preferem:
- Ver o comportamento completo do firewall
- Validar regras passo a passo
- Garantir que o tráfego passe pelo engine principal
Impactos ao desabilitar o NPU Offload
É importante entender os efeitos colaterais:
- Aumento do uso de CPU
- Possível redução de throughput
- Maior latência em alto volume
- Limitação de sessões simultâneas em modelos menores
Por isso, a prática recomendada é:
- Desabilitar apenas temporariamente
- Aplicar somente na policy necessária
- Evitar desabilitar globalmente em produção
Como verificar se uma sessão está offloadada?
Via CLI:
diagnose sys session list
Procure por indicadores como:
npu_flag=...
offload=...
Se o offload estiver ativo, a sessão está sendo acelerada pelo hardware.
Boas práticas operacionais
- Utilize disable offload somente quando necessário
- Prefira aplicar em políticas específicas
- Após o troubleshooting, reative o offload
- Monitore CPU com
get system performance status
Conclusão
O recurso de NPU Offload é essencial para o desempenho dos equipamentos FortiGate, permitindo alto processamento de tráfego com baixa carga na CPU. Entretanto, em cenários de análise avançada, inspeção profunda ou investigação de problemas, desabilitar o offload pode ser fundamental para obter visibilidade completa do fluxo de rede.
Saber quando utilizar essa configuração diferencia uma abordagem operacional comum de uma análise técnica aprofundada, especialmente em ambientes corporativos com alto volume de tráfego e múltiplas integrações de segurança.
Comments are closed