各位先進前輩晚安
FortiGate為了解決應用層連線問題
發現FG預設會用asic, npu來offload cpu處理封包
因此，抓封包會不全
如下指令關asic offload
某條policy全由cpu抓包，官網說可抓全
config firewall policy
edit <policy_id>
set auto-asic-offload disable
next
end
但實際上，關掉auto-asic-offload後
部份session抓全，部份session抓不全
抓全是從tcp 3-way連線到最後tcp 4-way斷線，抓到全部封包
wireshark另發現部份Ethernet frame大於1514 Bytes會抓不全
frame小於1514 Bytes會抓全
configure system interface
edit <interface_name>
set mtu <new_mtu>
請問兩個問題
1. disable asic後，仍抓封包不全，是mtu預設1500 Bytes問題？
2. 如上面set mtu <new_mtu>，建議設定<new_mtu>為何值？9000 Bytes？ 防火牆有多實體
介面，要全部介面都更改？
謝謝先進

1. No , 2,不要改 ,9000 Jombo Frame 不是你在用尤其你有VPN 跟對外ISP 時不知道你怎捉的,client server 什麼 osdiagnose sniffer packet any 'host <IP>' 6你 disbale 加速後用這試看看

謝謝asdf大大的建議a)FG沒VPN與對外ISP連線，是用跳板去連FG。jumbo frame不會去更動b) 跳板是win server 2016去連FG web 443, 防火牆沒開通ssh連線。連入FG web，開啟右上角terminal去disable asic加速；再用FG web / traffic vodm / network / diagnose / packet capture / 選擇介面, 填入 ip與port, 開始capture，下載.pcap至外部OA win11 wireshark分析，部份session抓不全，部份抓全c) 會依大大建議改用 cli 指令diagnose sniffer packetany 'host <IP>' 6 來試試

如果windows 可能還要停 OS 上的一些設定https://tinyurl.com/bdj8m88你可以參考一下是不是你要的方向

謝謝a大分享與指引之前好像vmware有遇過tcp seg offload問題且已解，但細節已忘，再跟同事請教恢復記憶

請問有沒有解決問題?

謝a大,解決了,抓包條件為一介面與一ip,對應多policy,須disable多條,就不會漏包了