FortiGate防火墙500D下PC至外网丢包

1.现状：

如图，防火墙堆叠，500D共4个出口方向，联通、电信、FQ、运维专线

2.现象：

　　到网关和防火墙上、下联口不丢包，到网联通和运维专线方向丢包4%左右，电信和FQ方向不丢包

　　

　　

3.分析

　　采用从上向下的方式，一点点加网络设备。如先测试运营商，若没问题加防火墙，若没问题加上网行为管理，以此类推。

4.排查

　　去除防火墙，PC直连运营商光猫，不丢包，排除运营商；防火墙剩余端口单接PC，直接ping防火墙直连的交换机，有丢包，确认是防火墙问题；

5.解决

　　2016-12-15

　　config system session-ttl

       　　 config port

          　　  edit 1

               　　 set protocol 1

                　　set timeout 1

            　　next

        　　end

　　end

　　----------

　　把上面这个删掉即可。

　　默认情况下FortiGate维护的会话TTL为3600秒。当TTL超时，防火墙就丢弃该会话。会话TTL可以全局设定，也可以基于端口号或策略设定。将TTL设置为较少的时间可以节省系统资源。