各位先进前辈晚安
FortiGate为了解决应用层连线问题
发现FG默认会用asic, npu来offload cpu处理封包
因此，抓封包会不全
如下指令关asic offload
某条policy全由cpu抓包，官网说可抓全
config firewall policy
edit <policy_id>
set auto-asic-offload disable
next
end
但实际上，关掉auto-asic-offload后
部份session抓全，部份session抓不全
抓全是从tcp 3-way连线到最后tcp 4-way断线，抓到全部封包
wireshark另发现部份Ethernet frame大于1514 Bytes会抓不全
frame小于1514 Bytes会抓全
configure system interface
edit <interface_name>
set mtu <new_mtu>
请问两个问题
1. disable asic后，仍抓封包不全，是mtu默认1500 Bytes问题？
2. 如上面set mtu <new_mtu>，建议设定<new_mtu>为何值？9000 Bytes？ 防火墙有多实体
接口，要全部接口都更改？
谢谢先进

1. No , 2,不要改 ,9000 Jombo Frame 不是你在用尤其你有VPN 跟对外ISP 时不知道你怎捉的,client server 什么 osdiagnose sniffer packet any 'host <IP>' 6你 disbale 加速后用这试看看

谢谢asdf大大的建议a)FG没VPN与对外ISP连线，是用跳板去连FG。jumbo frame不会去更动b) 跳板是win server 2016去连FG web 443, 防火墙没开通ssh连线。连入FG web，开启右上角terminal去disable asic加速；再用FG web / traffic vodm / network / diagnose / packet capture / 选择接口, 填入 ip与port, 开始capture，下载.pcap至外部OA win11 wireshark分析，部份session抓不全，部份抓全c) 会依大大建议改用 cli 指令diagnose sniffer packetany 'host <IP>' 6 来试试

如果windows 可能还要停 OS 上的一些设定https://tinyurl.com/bdj8m88你可以参考一下是不是你要的方向

谢谢a大分享与指引之前好像vmware有遇过tcp seg offload问题且已解，但细节已忘，再跟同事请教恢复记忆

请问有没有解决问题?

谢a大,解决了,抓包条件为一接口与一ip,对应多policy,须disable多条,就不会漏包了