会话无法加速原因
2026/7/1会话管理7.X.X大约 3 分钟
会话无法加速原因
diagnose sys session list 和 diagnose sys sessions6 list 的输出中会显示 no_ofld_reason 字段,用于说明本应卸载到 NP 硬件加速芯片的会话当前为什么没有卸载。
查看方式
查看 IPv4 会话。
diagnose sys session list查看 IPv6 会话。
diagnose sys sessions6 list在输出中确认
npu_state、npu info和no_ofld_reason。session info: proto=6 proto_state=01 duration=10 expire=3590 timeout=3600 flags=00000000 sockflag=00000000 sockport=0 av_idx=0 use=4 state=may_dirty statistic(bytes/packets/allow_err): org=840/10/1 reply=760/8/1 tuples=2 orgin->sink: org pre->post, reply pre->post dev=5->6/6->5 gwy=192.0.2.1/198.51.100.1 hook=pre dir=org act=noop 192.0.2.10:53124->198.51.100.10:443(0.0.0.0:0) hook=post dir=reply act=noop 198.51.100.10:443->192.0.2.10:53124(0.0.0.0:0) misc=0 policy_id=10 auth_info=0 chk_client_info=0 vd=0 serial=00000123 tos=ff/ff app_list=0 app=0 url_cat=0 npu_state=0x000000 no_ofld_reason: non-npu-intf
提示
如果会话已经卸载到 NP,通常会在 npu info 中看到 offload=8/8(NP6)或 offload=9/9(NP7)。no_ofld_reason 主要用于排查未卸载的原因。
常见原因
no_ofld_reason | 说明 |
|---|---|
dirty | 路由、防火墙策略、接口、ARP 表等配置发生变化后,会话需要由 FortiOS 重新校验;重新校验完成前,流量仍可继续匹配该会话,但不会卸载。 |
local | 本地入站或本地出站会话无法卸载,例如管理会话、访问 SSL VPN 门户的 SSL VPN 会话、显式代理会话等。 |
disabled-by-policy | 命中该会话的防火墙策略关闭了 auto-asic-offload;如果会话路径中存在软件交换接口,也可能显示此原因。 |
non-npu-intf | 会话入接口或出接口不是 NP 加速接口,或属于软件交换;如果 config system npu 下的 fastpath 被关闭,也可能显示此原因。 |
npu-flag-off | 会话未设置 NP 加速标志。 |
redir-to-ips | 正常情况下 IPS 处理后应可卸载到 NP,但当前会话无法卸载;该字段可能包含更多原因信息。 |
denied-by-nturbo | IPS 正在处理的会话通常可卸载,但当前不被 nTurbo 支持;可能与 redir-to-ips 同时出现。 |
block-by-ips | IPS 正在处理的会话被阻断;可能与 redir-to-ips 同时出现。 |
intf-dos | 会话匹配接口策略或 DoS 策略,此类会话不进行卸载。 |
redir-to-av | Flow-based antivirus 阻止该会话卸载。 |
sflow | 会话入接口或出接口启用了 sFlow,sFlow 周期性采样需要 CPU 处理。 |
mac-host-check | 设备识别尚未识别出该会话中的终端;识别完成后,该会话可能可以卸载。 |
offload-denied | 通常表示会话由 session helper 处理,而该 session helper 处理的会话不能卸载。 |
not-established | TCP 会话尚未进入 established 状态,即 proto_state 不是 01。 |
排查建议
- 如果显示
disabled-by-policy,检查对应防火墙策略的auto-asic-offload配置。 - 如果显示
non-npu-intf,确认入接口和出接口是否属于支持 NP 加速的接口组合,并检查config system npu下的fastpath。 - 如果显示
redir-to-ips、denied-by-nturbo、block-by-ips或redir-to-av,优先确认 IPS/AV 等安全检查是否改变了转发路径。 - 如果
no_ofld_reason为空,结合state、npu_state和npu info判断会话是否已经满足硬件加速条件。