J'ai testé ce matin avec le firmware 7.4.0. sur le FGT100F.
La documentation à ce sujet est pas hyper claire et pas beaucoup de détails pour l'instant.
En théorie on devrait pouvoir avec du traffic shaping
config firewall shaping-policy
edit <id>
set traffic-type {forwarding | local-in | local-out}
set cos-mask <3-bit_binary>
set cos <3-bit_binary>
next
end
Sauf que j'ai pas réussi à appliquer une CoS au local-out, du coup ca perd son intérêt.
Par contre en cherchant à comprendre comment ca fonctionnait je suis tombé sur ce lien:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-CoS-marking-for-the-self-originated-traffic/ta-p/190483, où on explique comment appliquer une CoS à du flux via un VDOM dédié en mode transparent.
L'explication se base sur une IP statique configurée sur le VDOM Link.
L'interface VDOM Link n'accepte ni le DHCP, ni le trunk, donc je l'ai remplacé par une interco physique dédiée.
Et là j'arrive à appliquer une CoS spécifique sur les flux de mon choix via la règle qu'ils matchent.
Les paquets sont donc correctement priorisés quand ils sortent du firewall.
Ca fonctionne sur le 100F en 7.4.0, mais ca fonctionne également très bien sur le 500D en 6.4.14.
Je ne note pas de perte de performance sur le débit de ma ligne, mais je n'ai qu'un abonnement à 500Mbs en download et upload.
Je vois deux inconvénients par contre, ca consomme trois ports physiques au lieu d'un seul, et ca double les sessions.
Mais on peut les nuancer par le fait que les firewalls sont rarement utilisés à 100% de leur capacités et qu'ils peuvent se permettre de "gaspiller" un peu de ressources dans les petites et moyennes structures.
Est ce que vous savez s'il existe un tableau qui référence la priorité à appliquer par protocole ?
Dans les captures je vois que certains sont en CoS 6, 4, 0, ...
Et je vois que l'Alcatel en face de ma fibre répond aux demandes DHCP avec un CoS 7 et non 6.