01 Juli 2026
Software Switches sind auf einer FortiGate etwas ungern gesehen, aber manchmal benötigt man sie. Ein Problem dabei ist, dass der Traffic nicht an die Network Processing Unit (NPU) geleitet werden kann. Dies führt dazu, dass die CPU diese Aufgabe übernehmen muss, was ineffizient ist und zu Performanceproblemen führen kann.
Es wäre großartig, wenn der Traffic in einem Software Switch an die NPU geht und man von einem der größten Vorteile einer FortiGate profitieren könnte, dem Offloading, und genau das, liebe Leser, schauen wir uns in diesem Beitrag an.
Das Setup
- FortiGate 70G mit 7.6.7
- FortiSwitch 424E mit 7.6.6
- FortiAP 241K mit 7.6.5
- Windows 11 Client
- Android Smartphone
Es wurde ein SSW-VLAN (SSW heißt in diesem Post „Software SWitch“) und eine Tunnel SSW-SSID erstellt, die in dem Software Switch LAB-SSW sind

Der Software Switch
Ein Software Switch ist, wie der Name sagt, eine virtuelle Komponente (eigentlich ist es eine Bridge Group), die Vor- und Nachteile hat. Ein Vorteil ist, dass man mehr Arten von Interfaces zum Switch hinzufügen kann, wie Tunnel SSIDs. Ein Nachteil ist, wie oben erwähnt, das Problem mit dem Offloading, aber dazu kommen wir noch.
Beim Erstellen des Software Switches ist es wichtig, die Entscheidung zwischen einer Implicit und Explicit Intra-switch-policy zu machen, da diese Einstellung später nicht geändert werden kann.

Der Grundunterschied zwischen den beiden Einstellungen ist, dass bei Implicit keine Firewall Policies erstellt werden müssen, damit die Switch Mitglieder miteinander kommunizieren können. Bei Explicit müssen Firewall Policies erstellt werden.
Bei Implicit gibt es zusätzlich noch die Eigenheit, dass keine Sessions für den Traffic zwischen Mitgliedern erstellt werden, was der Grund ist, dass das Offloading an die NPU nicht funktioniert. Die FortiGate CPU hält eine Übersicht der MAC-zu-Port Information und das ist unser Problem.
Ohne eine Session sieht man diesen Traffic auch nicht in Debug Flows oder in den Logs. Bei Explicit werden Sessions erstellt und diese sind sichtbar.
Wie komme ich nun zum Offloading?
Wenn der Software Switch mit der Explicit Intra-switch Policy erstellt wird, müssen Firewall Policies erstellt werden, die den Traffic erlauben oder verbieten, wie sonst auch. Man kann hier so strikt sein, wie man will, also wenn man nur das Offloading benötigt und kein richtiges Firewalling betreiben will, kann man dies mit der beliebten any-any permit Policy umsetzen.
Für diesen Beitrag habe ich auf dem Windows 11 Client einen Webserver laufen, der von dem Android Smartphone aufgerufen wird.
Mit einer passenden Policy, die Traffic von der SSID auf das VLAN erlaubt, kann ich die Verbindung testen und eine Session erzeugen.

Nach Aufruf der Webseite kann ich das Offloading verifizieren. Zum einen in dem FortiView Session Monitor im Dashboard:

In der Spalte NPU Accelerate werden mir der Status sowie der Prozessortyp angezeigt.
Auf der CLI kann ich den Befehl diagnose sys session list benutzen (es wird empfohlen, davor einen Filter mit z.B. diagnose sys session filter dst x.x.x.x zu konfigurieren).
session info: proto=6 proto_state=05 duration=1 expire=0 timeout=3600 refresh_dir=both flags=00000000 socktype=0 sockport=0 av_idx=0 use=3
origin-shaper=
reply-shaper=
per_ip_shaper=
class_id=0 ha_id=0 policy_dir=0 tunnel=/ vlan_cos=0/0
state=log may_dirty br npu f00
statistic(bytes/packets/allow_err): org=3207/12/1 reply=2415/9/1 tuples=2
tx speed(Bps/kbps): 2853/22 rx speed(Bps/kbps): 2148/17
orgin->sink: org pre->post, reply pre->post dev=37->38/38->37 gwy=0.0.0.0/0.0.0.0
hook=pre dir=org act=noop 192.168.101.20:60844->192.168.101.22:443(0.0.0.0:0)
hook=post dir=reply act=noop 192.168.101.22:443->192.168.101.20:60844(0.0.0.0:0)
pos/(before,after) 0/(0,0), 0/(0,0)
misc=0 policy_id=10 pol_uuid_idx=695 auth_info=0 chk_client_info=0 vd=0
serial=000042af tos=ff/ff app_list=0 app=0 url_cat=0
rpdb_link_id=00000000 ngfwid=n/a
npu_state=0x000c00 ofld-O ofld-R
npu info: flag=0x00/0x00, offload=0/0, ips_offload=0/0, epid=16/23, ipid=23/16, vlan=0x0000/0x0078
vlifid=23/16, vtag_in=0x0000/0x0078 in_npu=1/1, out_npu=1/1, fwd_en=0/0, qid=2/5, ha_divert=0/0
no_ofld_reason:
hrx info: valid=0/0, qid=0/0, npuid=0/0, sublink=0/0
session info: proto=6 proto_state=05 duration=1 expire=0 timeout=3600 refresh_dir=both flags=00000000 socktype=0 sockport=0 av_idx=0 use=3
origin-shaper=
reply-shaper=
per_ip_shaper=
class_id=0 ha_id=0 policy_dir=0 tunnel=/ vlan_cos=0/0
state=log may_dirty br npu f00
statistic(bytes/packets/allow_err): org=2366/9/1 reply=1730/6/1 tuples=2
tx speed(Bps/kbps): 2053/16 rx speed(Bps/kbps): 1501/12
orgin->sink: org pre->post, reply pre->post dev=37->38/38->37 gwy=0.0.0.0/0.0.0.0
hook=pre dir=org act=noop 192.168.101.20:60842->192.168.101.22:443(0.0.0.0:0)
hook=post dir=reply act=noop 192.168.101.22:443->192.168.101.20:60842(0.0.0.0:0)
pos/(before,after) 0/(0,0), 0/(0,0)
misc=0 policy_id=10 pol_uuid_idx=695 auth_info=0 chk_client_info=0 vd=0
serial=000042ae tos=ff/ff app_list=0 app=0 url_cat=0
rpdb_link_id=00000000 ngfwid=n/a
npu_state=0x000c00 ofld-O ofld-R
npu info: flag=0x00/0x00, offload=0/0, ips_offload=0/0, epid=16/23, ipid=23/16, vlan=0x0000/0x0078
vlifid=23/16, vtag_in=0x0000/0x0078 in_npu=1/1, out_npu=1/1, fwd_en=0/0, qid=7/4, ha_divert=0/0
no_ofld_reason:
hrx info: valid=0/0, qid=0/0, npuid=0/0, sublink=0/0
Die wichtigen Zeilen sind die mit npu state und npu info, da diese Zeilen nur erscheinen, wenn diese Session offgeloaded wurde.
In unserem Forward Traffic Log sehen wir, dass die Interfaces auch wirklich die einzelnen Software Switch Mitglieder sind.
![]()
Mit dieser einfachen Konfiguration eines Explicit Intra-switch policy Software Switches und einer passenden Firewall Policy haben wir unser Ziel des Traffic Offloadings erreicht.
Wie sieht es mit Traffic aus, der nicht zwischen Software Switch Mitgliedern passiert?
Wenn Traffic den Software Switch verlässt
Hier gibt es schlechte Nachrichten. Egal, ob die Intra-switch policy Explicit oder Implicit ist gilt die Regel: Traffic zwischen Software Switch Mitgliedern und anderen Interfaces kann nicht offgeloaded werden.
Traffic in solchen Situationen geht immer vom Software Switch als Source Interface aus, nie von den einzelnen Mitgliedern.
Hier ein Beispiel von WAN-Traffic:

Wenn wir im FortiView Sessions Monitor nachschauen, sehen wir auch das fehlende Offloading in der NPU Accelerated Spalte:

Auf der CLI sehen wir auch den Grund:
session info: proto=6 proto_state=01 duration=3552 expire=3434 timeout=3600 refresh_dir=both flags=00000000 socktype=0 sockport=0 av_idx=0 use=3
origin-shaper=
reply-shaper=
per_ip_shaper=
class_id=0 ha_id=0 policy_dir=0 tunnel=/ vlan_cos=0/255
state=log may_dirty f00
statistic(bytes/packets/allow_err): org=1966/16/1 reply=1802/16/1 tuples=2
tx speed(Bps/kbps): 0/0 rx speed(Bps/kbps): 0/0
orgin->sink: org pre->post, reply pre->post dev=39->3/3->39 gwy=192.168.1.1/0.0.0.0
hook=post dir=org act=snat 192.168.101.20:53654->142.251.127.188:5228(192.168.1.202:53654)
hook=pre dir=reply act=dnat 142.251.127.188:5228->192.168.1.202:53654(192.168.101.20:53654)
pos/(before,after) 0/(0,0), 0/(0,0)
misc=0 policy_id=14 pol_uuid_idx=697 auth_info=0 chk_client_info=0 vd=0
serial=000036d0 tos=ff/ff app_list=0 app=0 url_cat=0
rpdb_link_id=80000000 ngfwid=n/a
npu_state=0x040108
no_ofld_reason: non-npu-intf
hrx info: valid=0/0, qid=0/0, npuid=0/0, sublink=0/0
no_ofld_reason: non-npu-intf ist der Grund, was leider nicht zu lösen ist, da die CPU in dieser Art von Traffic voll involviert wird.
Session Close
Ich hoffe, dieser Beitrag zu Software Switch Offloading hat Ihnen, lieber Leser, gefallen und vielleicht konnten Sie etwas für die Zukunft mitnehmen.
Wenn Sie Vorschläge für zukünftige Beträge haben, Konfigurationen sehen wollt, auch in Videoformat, oder Sie Feedback haben, bitte ich Sie, diese an techxperts_central@exclusive-networks.com zu schicken.
Neueste Blogs
Alle Blogs anzeigenAusgewählt
Blogs
FortiGate Software Switch Offloading
Ausgewählt
Blogs
FortiAnalyzer Admin Action Event Handler
Ausgewählt
Blogs
FortiClient EMS Let’s Encrypt Security
Ausgewählt
Blogs
FortiGate FortiLink VLAN Migration
Ausgewählt
Blogs
Fortinet Cybersecurity Skills Gap Report 2026
Ausgewählt
Blogs