【NW】pfsense2.0でMulti WAN…のはずだったけど 
2011, January 27, Thursday, 21:35 - PC, Network
投稿者 @xmms
pfsense2.0をGB1200とFireBox X700に入れてから色々いじっているのですが、どうもGWセレクタがうまく動かなくて困ってます。2-3日くらいガチでいじったのですが…

試したVer
2.0-BETA5 (i386)
built on Fri Dec 31 14:08:23 EST 2010

2.0-BETA5 (i386)
Built On: Wed Jan 26 22:52:25 EST 2011

ところで2.0からハードウェアなCryptoデバイス(暗号化ボード)持ってると出てくるんですね




まずセットアップするには、WAN側がDHCPなどの自動取得かスタティック設定かによって若干変わるのですが、ここではDHCPを使用して進めます。まあ、結論から言ってしまえばどっちにしろうまく動かないのですが。。。


ケース1:同じサブネットに2つのゲートウェイがある場合



まずここでのネットワーク設定
WAN:192.168.1.0/24
LAN:172.16.1.0/24
WAN側のDHCPで割り振られるのは192.168.1.1でこれがデフォルトゲートで、192.168.1.129にサブゲートウェイがあるとします。

DHCPの場合は、インターフェースを有効にした時点でSystem>Routingタブに自動的にゲートウェイが追加されます。




そして、ここにもう一つ待機用のGWを追加します。
結果こうなります。





GWを追加したらGroupsで使用するGWを選択して、重み付けをします。Tier1が一番優先度が高く、同じ値を複数設定することによりGWのロードバランシングをする…らしいです。ここでTier1とTier2を設定した場合、普段は1を使い、1がHigh latencyになったりダウンした場合はTier2を使用するようになるらしいです。

(原文:Multiple links of the same priority will balance connections until all links in the priority will be exhausted. If all links in a priority level are exhausted we will use the next available link(s) in the next priority level. )

参考

ここで設定が終わると、Status->Gateway Groupsに今のGWの状態が表示されます。





そして、FirewallのRuleを編集してLANから編集したGWを有効にするルールを作ります。





この状態でのルーティングテーブル

# netstat -nr
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.1.1 UGS 0 66 re0
127.0.0.1 link#10 UH 0 97 lo0
172.16.1.0/24 link#2 U 0 3042 re1
172.16.1.32 link#2 UHS 0 0 lo0
192.168.1.0/24 link#1 U 0 1969 re0
192.168.1.128 link#1 UHS 0 0 lo0


そして192.168.1.1へ繋がるケーブルを抜くなりSWのポートを無効にするなりして経路を殺します。
そしてステータスを確認するとしっかりオフラインになっています。




ですがルーティングテーブルを見ても反映されていません。
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.1.1 UGS 0 67 re0
127.0.0.1 link#10 UH 0 97 lo0
172.16.1.0/24 link#2 U 0 3100 re1
172.16.1.32 link#2 UHS 0 0 lo0
192.168.1.0/24 link#1 U 0 2525 re0
192.168.1.128 link#1 UHS 0 0 lo0


Status->Systemlogを見るとしっかりダウンしたという通知は来ているんですが…
時刻は地域を設定してないので適当です

Jan 27 11:31:00 apinger: ALARM: WAN(192.168.1.1) *** down ***
Jan 27 11:31:10 check_reload_status: reloading filter
Jan 27 11:31:11 php: : MONITOR: WAN has high latency, removing from routing group



ケース2:違うサブネットにそれぞれゲートウェイがある場合



同じサブネットにGWを持ってるのが悪いのか?と思いOpt1を追加し、10.0.1.0/24のネットワークを追加して同じ要領(DHCP取得)でOpt1が10.0.1.129でGWが10.0.1.1、GW-Gropusに追加してFW-Ruleに追加して…とやったのですが、やはりDOWN通知は来るもののfailoverしてくれない!!!!!!

Why????Is it still EXPERIMENTAL????????

色々悩んだ結果IX2015でVRRP組んだ方が早くてなおかつ確実だったのでこれは諦めるべきですかね?
2.0RC1のリリースに期待するしかないか…

実はGB-1200デフォルトのGNAT OSにも同じくPingによるGW監視機能があり、外に繋がらなくなったら別のGWを選択するということが出来るのですが、こっちは問題なく動きました。あぅぁぅ…


どなたかうまく動いたらアドバイスお願いします!

[ コメントを書く ] ( 1456 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 3 / 1723 )  |  
【HW】GB-1200にpfsense 
2011, January 9, Sunday, 18:08 - PC, HardWare, Network
投稿者 @xmms
ずっと前から「欲しいけど買うほどじゃないな-」とスルーしていたコンパクトフラッシュをやっと買ってきたのでCFを使う1Uな箱にpfsenseをインスコしてみました。

まずpfsense1.2.3-RELEASEの組み込み向けイメージをCFにDD for Winを使用して焼き込み、焼き込んだCFをGB-1200に差し込んで起動してみる…が、Trying to mount root from ufs:/dev/ad3s1aまで進んだところで待てど暮らせどシリアルコンソールには何もはき出されませんでした。

何が悪いんだろうと色々調べてみると、フォーラムに起動時にhw.ata.ata_dma=0をつけて起動するといけるみたいなことが書いてあったので、カーネルロード中にスペースを押してOKプロンプトを出し

OK set hw.ata.ata_dma=0
OK boot


とやってみましたが効果無し。試しにそのCFをWatchguardのX700とX1000に挿して起動してみると特にブートオプションをつけなくても問題なく起動したのでCFは問題なさそうです。




X700で動いたんだからいいじゃないかとも思ったのですが色々試しているうちに「意地でも動かしてやる」という気になってしまい、そしてpfsenseそのものを試すよりpfsenseをいかにしてGB-1200で起動させるかという方にシフトしていきました…。GB-1200そのものはOSもマニュアルもあるのでpfを無理に入れなくても起動できるのですがあんまりおもしろくないんですよねこれ。それが何故2台もあるのかというと1-2年前にアキバで一台1000円というふざけた値段だったので何も考えずにIYHしたんですけどねw

GB-1200manual

今更需要があるのか知らないですが結構探している人がいるみたいなのでGB-1200のGNAT-OSのマニュアルです。Solitonから警告来たら消すw

1.2.3が駄目なら2.0-BETAはどうだろうと思いBETA-5、4をCFにDDして試してみましたがどれも起動せず。4GBというCFのサイズが悪いのかと思い512MBでも試してみましたが無理でした。
試しにm0n0wallはどうか、と思ったのですが1.3系はBoot不可でした。

調べてみると同じような人がいるらしく1.2.3RC1では起動するとのこと。試してみると確かに4GBのCFを使っててもすんなり起動する。ならばRC1からバージョンあげたら?と試してみましたが組み込み向けじゃないと言われてアップデート不可でした。

/のマウントでこけている感じだったので試しにカバーをばらしVGAカードを挿して内部IDEを使ってHDDを繋いでLiveCDから起動してみる…とビデオに出力が来ない!何故!!!!!
もしかしてPCIに見えてPCIじゃない?とか思ったのですがVGAをRADEON 7000からGeforce5200に変えてみると出力されました。こういう相性が起きたときにジャンクに見えるパーツの山で助かったりするので下手に捨てられなくて困りますw

「こんだけあるんだからなんかくれよ!」
「これは動作検証用の予備パーツなので余ってる物はありません!(キリッ」

割とマジだから困る

さて、ビデオ出力が来たのでCDからHDDにインストールしてCDを抜いてみると普通に起動しました。やっぱりCFリーダが何か悪いみたいです。




しかしここに来て新たな問題が。NICは認識するのにPingが通らない!間違えてVLANに所属させてないか等何度か初期化したのですがfxp0-3全てで疎通できず。メインマシンからarpは見えるのになぜ?LANインターフェースはデフォルトでPing通るはずなんですが。

HTTPはおろかPingも通らないと何も出来ないので/boot.configに-Dhを加え、/etc/ttysでttyd0(シリアルポート)からログインできるように設定したあと、VGAを外してIntel Pro1000MTを挿して起動してみるもifconfig -aでem0が出てこないのです。dmesgをみてみると

em0: The EEPROM Checksum Is Not Valid

なん…だと…?他にPro100/Sや蟹カードを何枚か試してみたのですがifconfigに出てこない!何故????

この辺で心が折れてきたので最終手段を使うことにしました。VMwareで1.2.3をインストールして2.0BETA5にアップデートしたあと、ホストマシンのUSB CFカードリーダをVMにブリッジさせ
dd if=/dev/ad0 of=/dev/da1
をして無理矢理2.0から起動してみる。ダメ元だったのですが一応起動しました。
仮想マシンと実マシンではHDDの場所が違うのでfstabが間違ってると言われるので/dev/ad3s1aから起動するように指定したあと、DMAがタイムアウトするみたいなことを言われるのでメニューから6を選びOKプロンプトに落ち、一番最初の

set hw.ata.ata_dma="0"
boot


を実行。すると今度は無事に起動し、LANとWANインターフェースを指定してくれと言われたのでLANとWANを指定します。

そして今度は…無事に疎通!やっと救われた!

自分の備忘録的完成GB-1200用CFイメージ
pfsense-2.0BETA5--20110108-1114.GB1200IMAGE.7z
265084921Bytes(252MB)
MD5 = 870aad8996d0c507d5d16f5ba9b9a0f3

解凍すると3G位までふくらむのでDD使ってCFに書いてください。一応1GBのCFでも起動できましたが本来は4GBのCF向けイメージです。こちらでは使えていますがもし使う場合はAt Your Own Risk(自己責任)でお願いします

LAN/WANともにDHCPで取得なので設定するにはDHCPサーバがある状態で先にLANインターフェースを挿してDHCPのリースログを見て追ってログインするかGB-1200のConsoleと書いてある方のシリアルポートを使ってIPセットしてください。ボーレートは9800です

SSH/WEB user:Pass=admin/pfsense

ちなみにFirebox X700でもブートプロンプトで
mountroot> ufs:ad0s1a

とやれば起動できました。ただし、シリアルポートの出力は
Executing rc.d items...
Starting /usr/local/etc/rc.d/*.sh...done.
Bootup complete

で終わるのでやっぱりDHCPのリースログみてSSHかWEBででログインしてください。

ちなみに元々HDD向けのイメージなので
/etc/rc.conf_mount_rw
をしなくてもCFに書き込めます。

無事に起動するようになったので色々試したいのですがそれは次回に回しますw


【おまけ】
GB-1200は起動してもBeepが鳴らないので"あの音"が聞けません。
HW的にはSpeakerを持っているので鳴るはずなんだけどなとピンヘッダをみているとLEDに電源供給するピンのところに有効無効を切り替えるピンがあったのでジャンパピンを刺してみました




結果

Get the Flash Player to see this player.



/usr/local/bin/beep.sh に
if [ "$1" = "zelda" ]; then
/usr/local/bin/beep -p 430 30
/usr/local/bin/beep -p 467 30
/usr/local/bin/beep -p 493 30
/usr/local/bin/beep -p 523 120
fi

と追加すると遊べます。誰得w

[ 1 コメント ] ( 2451 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 3 / 1769 )  |  
【HW】すいっち 
2010, November 26, Friday, 14:40 - HardWare, Network
投稿者 @xmms


\300だったからとりあえず確保しました。ギガで\300は買うしかないですよね。一番下のだけノンインテリですがその他のはインテリです。
GS908Mがデフォルトパスじゃなかったらちょっとめんどくさいなという懸念がありましたがデフォルトのままだったので初期化、ファームのアップデートが出来ました。ちなみに入ってたのは2005年の一番初期のファームでしたw
908も2716もHTTPから設定できるWEB UIを持ってるので、VLAN設定などが簡単に設定できます。というか2716に関してはTelnet等のCLIを持ってないです。まあ普通の人はこれで大体事足りると思います。
Trunkの方式は普通のTrunkのみでLACPには対応してません。

GS908MはEPSRというリング状のネットワークを組めるというのがちょっとおもしろいと思いましたがそれ以外は普通のインテリL2でした。
2716も特に言うことはないかと思います


ああ…またミクの背が伸びていく…w

[ コメントを書く ] ( 1637 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 3 / 1649 )  |  
【Network】IX2015のIPsec 
2010, November 24, Wednesday, 04:33 - PC, Network
投稿者 @xmms



前から予備のIXがほしいなあと思っていたら安く転がっていたので数台確保してきました。一つだけ前にヤフオクで1000円で落札した2010が混ざってますがw

前にIXのIPSecは結構速いという評判を風の噂で聞いたのでIXのIPsec-VPNを試してみました。
えっと…詳しいことはオフィシャルの設定事例が一番わかりやすいのでそれを見てもらうとして簡単に要点だけ

接続はハブ型です。IX1,IX2,IX3があってそれぞれEagle,Falcon,Tomcatというホストネームにします。(戦闘機ヲタ乙
それらがそれぞれ同一サブネット(172.16.1.0/24)でL2-SWにつながってる状態です。

Hostname Eagle
外向きのIPが172.16.1.1
内向きのIP192.168.11.0/24

Hostname Falcon
外 172.16.1.2
内 192.16.22.0/24

Hostname Tomcat
外 172.16.1.3
内 192.168.33.0/24


まとめ役のIX(eagle)
Mode Aggressiveにすることによって動的なIPからの接続を受け付けられるようになります。ただし、固定IPが必要なのと、接続は相手側から開始する必要があります。
Aggressiveなポリシーを2個作ってそれぞれの受付を待つ

------------------------
ike proposal ike-prop1 encryption 3des hash sha lifetime 3600
!
ike policy ike-pol peer any key himitsu mode aggressive ike-prop1
ike commit-bit ike-pol
ike remote-id ike-pol keyid falcon
!
ipsec autokey-proposal ipsec-prop1 esp-3des esp-sha lifetime time 3600
!
ipsec dynamic-map ipsec-pol lst1 ipsec-prop1 ike ike-pol
ipsec commit-bit ipsec-pol
ipsec local-id ipsec-pol 192.168.11.0/24
ipsec remote-id ipsec-pol 192.168.22.0/24
------------------------

これをtunnel0.0にバインドさせてFalconからの接続を待つ

Tomcatを受け入れるためのIPsec2個目のポリシー

------------------------
ike policy ike-pol2 peer any key himitsu mode aggressive ike-prop1
ike commit-bit ike-pol2
ike remote-id ike-pol2 keyid tomcat

ipsec dynamic-map ipsec-pol2 lst1 ipsec-prop1 ike ike-pol
ipsec commit-bit ipsec-pol2
ipsec local-id ipsec-pol2 192.168.11.0/24
ipsec remote-id ipsec-pol2 192.168.33.0/24
------------------------

これをTunnel1.0にバインドさせてTomcatの接続を待つ

192.168.22.0/24へ接続するにはTunnel0.0を使い、192.168.33.0/24へはTunnel1.0を使うようにルーティング

------------------------
ip route 192.168.22.0/24 Tunnel0.0
ip route 192.168.33.0/24 Tunnel1.0
------------------------


Falconは動的IPという状況だとして、固定IPなEagleに接続をしに行く。

------------------------
ike local-id ike-pol keyid falcon
!
ike proposal ike-prop1 encryption 3des hash sha lifetime 3600
!
ike policy ike-policy peer 172.16.1.1 key himitsu mode aggressive ike-prop1
ike local-id ike-policy keyid falcon
!
ipsec autokey-proposal ipsec-prop1 esp-3des esp-sha lifetime time 3600
!
ipsec autokey-map ipsec lst1 peer 172.16.1.41 ipsec-prop1
ipsec local-id ipsec 192.168.22.0/24
ipsec remote-id ipsec 192.168.11.0/24
!
------------------------

そしてTunnel0.0にバインドさせた後192.168.11.0/24への接続と192.168.33.0/24にTunnel0.0を使うように指定する

------------------------
ip route 192.168.11.0/24 Tunnnel0.0
ip route 192.168.33.0/24 Tunnnel0.0
------------------------


これで192.168.11.1にping等をすればこちらから接続を開始するのでトンネルがつながります。
Tomcatも状況は上とほとんど同じ

------------------------
ike proposal ike-prop1 encryption 3des hash sha lifetime 3600
!
ike policy ike-policy peer 172.16.1.1 key himitsu2 mode aggressive ike-prop1
ike local-id ike-policy keyid tomcat
!
ipsec autokey-proposal ipsec-prop1 esp-3des esp-sha lifetime time 3600
!
ipsec autokey-map ipsec lst1 peer 172.16.1.41 ipsec-prop1
ipsec local-id ipsec 192.168.33.0/24
ipsec remote-id ipsec 192.168.11.0/24
!
ip route 192.168.11.0/24 Tunnnel0.0
ip route 192.168.22.0/24 Tunnnel0.0
------------------------


しかし、ここまでやって何故か繋がらない!

Falcon(config)# logging subsystem ike debug


これでパケットを見ていると、ESPが帰ってこないよ-みたいなことを言っていて、原因はNAPTを有効にしていたことによるESPパケットの宛先が指定されていなかったことでした。
Eagleの方でこれを受け付けるようにします。

interface FastEthernet0/0.0
Eagle(config-FastEthernet0/0.0)# ip napt static FastEthernet0/0.0 50

最後の50というのがIPプロトコル50番であるESPパケットの指定です。ESPをFastEthernet0/0.0のIPに向ける、という意味です

ちなみに、

Eagle(config)# ike nat-traversal

これでUDPの500番を使って認証しに行くように指定できます。まあ、大体の環境ではこっちの方が都合がいいと思われます。500番以外を使うにはどうすればいいのかが解っていないので誰か教えてくださいw

VPNトンネルを1つまたいだ状態でどの程度スピードが出るのかローカルでテストします。
ルーティングは192.168.22.0/24-172.16.1.2-Tunnel-172.16.172.16.1.1-192.168.11.0/24

pingの応答速度

Falcon(config)# ping 192.168.11.1
PING 192.168.22.1 > 192.168.11.1 56 data bytes
64 bytes from 192.168.11.1: icmp_seq=1. time=0.636 ms
64 bytes from 192.168.11.1: icmp_seq=2. time=0.582 ms
64 bytes from 192.168.11.1: icmp_seq=3. time=0.578 ms
64 bytes from 192.168.11.1: icmp_seq=4. time=0.577 ms

様々なウィンドウサイズでiperfを60秒間実行@Win7x64

結果

C:\Users\root>C:\Users\root\Desktop\jperf-2.0.2\bin\iperf.exe -c 192.168.11.20 -i 5 -w 8K -t 60
------------------------------------------------------------
Client connecting to 192.168.11.20, TCP port 5001
TCP window size: 8.00 KByte
------------------------------------------------------------
[148] local 192.168.44.4 port 49196 connected with 192.168.11.20 port 5001
[ ID] Interval Transfer Bandwidth
[148] 0.0- 5.0 sec 30.7 MBytes 51.5 Mbits/sec
[148] 5.0-10.0 sec 31.0 MBytes 51.9 Mbits/sec
[148] 10.0-15.0 sec 31.0 MBytes 52.0 Mbits/sec
[148] 15.0-20.0 sec 30.6 MBytes 51.4 Mbits/sec
[148] 20.0-25.0 sec 31.0 MBytes 52.0 Mbits/sec
[148] 25.0-30.0 sec 30.9 MBytes 51.8 Mbits/sec
[148] 30.0-35.0 sec 31.0 MBytes 51.9 Mbits/sec
[148] 35.0-40.0 sec 31.4 MBytes 52.6 Mbits/sec
[148] 40.0-45.0 sec 30.8 MBytes 51.7 Mbits/sec
[148] 45.0-50.0 sec 30.9 MBytes 51.9 Mbits/sec
[148] 50.0-55.0 sec 30.9 MBytes 51.9 Mbits/sec
[148] 55.0-60.0 sec 30.8 MBytes 51.7 Mbits/sec
[148] 0.0-60.0 sec 371 MBytes 51.8 Mbits/sec

C:\Users\root>C:\Users\root\Desktop\jperf-2.0.2\bin\iperf.exe -c 192.168.11.20 -i 5 -w 128K -t 60
------------------------------------------------------------
Client connecting to 192.168.11.20, TCP port 5001
TCP window size: 128 KByte
------------------------------------------------------------
[148] local 192.168.44.4 port 49198 connected with 192.168.11.20 port 5001
[ ID] Interval Transfer Bandwidth
[148] 0.0- 5.0 sec 54.6 MBytes 91.6 Mbits/sec
[148] 5.0-10.0 sec 54.5 MBytes 91.4 Mbits/sec
[148] 10.0-15.0 sec 54.4 MBytes 91.3 Mbits/sec
[148] 15.0-20.0 sec 54.4 MBytes 91.3 Mbits/sec
[148] 20.0-25.0 sec 54.4 MBytes 91.3 Mbits/sec
[148] 25.0-30.0 sec 54.4 MBytes 91.3 Mbits/sec
[148] 30.0-35.0 sec 54.4 MBytes 91.3 Mbits/sec
[148] 35.0-40.0 sec 54.4 MBytes 91.3 Mbits/sec
[148] 40.0-45.0 sec 54.5 MBytes 91.4 Mbits/sec
[148] 45.0-50.0 sec 54.3 MBytes 91.2 Mbits/sec
[148] 50.0-55.0 sec 54.4 MBytes 91.3 Mbits/sec
[148] 55.0-60.0 sec 54.4 MBytes 91.2 Mbits/sec
[148] 0.0-60.0 sec 653 MBytes 91.3 Mbits/sec


おお、なかなか速いですね。

次にVPNトンネルを2つまたいだ状態でベンチ。

IX2--Tunnel0.0--IX1--Tunnel1.0--IX3

Falcon(config)# ping 192.168.33.1
PING 192.168.22.1 > 192.168.33.1 56 data bytes
64 bytes from 192.168.33.1: icmp_seq=0. time=1.014 ms
64 bytes from 192.168.33.1: icmp_seq=1. time=1.017 ms
64 bytes from 192.168.33.1: icmp_seq=2. time=1.032 ms
64 bytes from 192.168.33.1: icmp_seq=3. time=1.039 ms
64 bytes from 192.168.33.1: icmp_seq=4. time=1.023 ms

--- 192.168.33.1 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip (ms) min/avg/max = 1.014/1.025/1.039


C:\Users\root>tracert -d 192.168.33.2

192.168.33.2 へのルートをトレースしています。経由するホップ数は最大 30 です

1 <1 ms <1 ms <1 ms 192.168.22.1
2 <1 ms <1 ms <1 ms 192.168.11.1
3 1 ms 1 ms <1 ms 192.168.33.1
4 1 ms 1 ms 1 ms 192.168.33.2

トレースを完了しました。

C:\Users\root>C:\Users\root\Desktop\jperf-2.0.2\bin\iperf.exe -c 192.168.33.2 -w
8K -i 5 -t 60
------------------------------------------------------------
Client connecting to 192.168.33.2, TCP port 5001
TCP window size: 8.00 KByte
------------------------------------------------------------
[148] local 192.168.22.3 port 49201 connected with 192.168.33.2 port 5001
[ ID] Interval Transfer Bandwidth
[148] 0.0- 5.0 sec 27.2 MBytes 45.6 Mbits/sec
[148] 5.0-10.0 sec 24.0 MBytes 40.2 Mbits/sec
[148] 10.0-15.0 sec 24.1 MBytes 40.5 Mbits/sec
[148] 15.0-20.0 sec 23.9 MBytes 40.1 Mbits/sec
[148] 20.0-25.0 sec 24.2 MBytes 40.6 Mbits/sec
[148] 25.0-30.0 sec 23.9 MBytes 40.1 Mbits/sec
[148] 30.0-35.0 sec 23.8 MBytes 40.0 Mbits/sec
[148] 35.0-40.0 sec 23.8 MBytes 39.9 Mbits/sec
[148] 40.0-45.0 sec 23.8 MBytes 39.9 Mbits/sec
[148] 45.0-50.0 sec 23.7 MBytes 39.8 Mbits/sec
[148] 50.0-55.0 sec 23.8 MBytes 39.9 Mbits/sec
[148] 55.0-60.0 sec 23.7 MBytes 39.8 Mbits/sec
[148] 0.0-60.0 sec 290 MBytes 40.5 Mbits/sec

C:\Users\root>C:\Users\root\Desktop\jperf-2.0.2\bin\iperf.exe -c 192.168.33.2 -w
128K -i 5 -t 60
------------------------------------------------------------
Client connecting to 192.168.33.2, TCP port 5001
TCP window size: 128 KByte
------------------------------------------------------------
[148] local 192.168.22.3 port 49202 connected with 192.168.33.2 port 5001
[ ID] Interval Transfer Bandwidth
[148] 0.0- 5.0 sec 48.1 MBytes 80.8 Mbits/sec
[148] 5.0-10.0 sec 52.5 MBytes 88.0 Mbits/sec
[148] 10.0-15.0 sec 52.5 MBytes 88.1 Mbits/sec
[148] 15.0-20.0 sec 52.5 MBytes 88.1 Mbits/sec
[148] 20.0-25.0 sec 52.5 MBytes 88.1 Mbits/sec
[148] 25.0-30.0 sec 52.5 MBytes 88.1 Mbits/sec
[148] 30.0-35.0 sec 52.5 MBytes 88.1 Mbits/sec
[148] 35.0-40.0 sec 52.5 MBytes 88.1 Mbits/sec
[148] 40.0-45.0 sec 52.5 MBytes 88.1 Mbits/sec
[148] 45.0-50.0 sec 52.5 MBytes 88.1 Mbits/sec
[148] 50.0-55.0 sec 52.5 MBytes 88.1 Mbits/sec
[148] 55.0-60.0 sec 52.5 MBytes 88.1 Mbits/sec
[148] 0.0-60.0 sec 626 MBytes 87.4 Mbits/sec


トンネルを2つまたいでも90Mbps近く出るのはなかなか優秀だと思います。
ちなみに、双方向から同時にiperfを実行しても大体上の数字を半分にした値がそれぞれに出たので、片方向ではなく双方向の合計値が90Mbpsみたいです。

ここでいよいよWANごしにIPsecを張ってみます。ip napt enable, ike nat-traversalを有効にしました。
1つのONUで2つのセッションを張る構成です。
IX1-Tunnel-ISP1-ISP2-Tunnel-IX2

WAN生

=== Radish Network Speed Testing Ver.3.2.2 - Test Report ===
測定条件
 精度:低 データタイプ:標準
下り回線
 速度:85.74Mbps (10.72MByte/sec) 測定品質:95.6
上り回線
 速度:90.07Mbps (11.26MByte/sec) 測定品質:99.7
測定者ホスト:***********************.tokyo.ocn.ne.jp
測定サーバー:東京-WebARENA
測定時刻:2010/11/24(Wed) 3:45
------------------------------------------------------------
測定サイト http://netspeed.studio-radish.com/


VPN越しIperf


C:\Users\root>C:\Users\root\Desktop\jperf-2.0.2\bin\iperf.exe -c 172.16.1.18
1 -w 8K
------------------------------------------------------------
Client connecting to 172.16.1.18, TCP port 5001
TCP window size: 8.00 KByte
------------------------------------------------------------
[148] local 192.168.1.3 port 49467 connected with 172.16.1.18 port 5001
[ ID] Interval Transfer Bandwidth
[148] 0.0- 1.0 sec 1.05 MBytes 8.85 Mbits/sec
[148] 1.0- 2.0 sec 1.88 MBytes 15.8 Mbits/sec
[148] 2.0- 3.0 sec 1.82 MBytes 15.3 Mbits/sec
[148] 3.0- 4.0 sec 1.25 MBytes 10.5 Mbits/sec
[148] 4.0- 5.0 sec 1.27 MBytes 10.6 Mbits/sec
[148] 5.0- 6.0 sec 1.27 MBytes 10.7 Mbits/sec
[148] 6.0- 7.0 sec 1.24 MBytes 10.4 Mbits/sec
[148] 7.0- 8.0 sec 1.23 MBytes 10.4 Mbits/sec
[148] 8.0- 9.0 sec 1.25 MBytes 10.5 Mbits/sec
[148] 9.0-10.0 sec 1.25 MBytes 10.5 Mbits/sec
[148] 0.0-10.0 sec 13.5 MBytes 11.3 Mbits/sec

C:\Users\root>C:\Users\root\Desktop\jperf-2.0.2\bin\iperf.exe -c 172.16.1.18
1 -w 8K
------------------------------------------------------------
Client connecting to 172.16.1.18, TCP port 5001
TCP window size: 8.00 KByte
------------------------------------------------------------
[148] local 192.168.1.3 port 49470 connected with 172.16.1.18 port 5001
[ ID] Interval Transfer Bandwidth
[148] 0.0- 1.0 sec 1.77 MBytes 14.8 Mbits/sec
[148] 1.0- 2.0 sec 1.22 MBytes 10.2 Mbits/sec
[148] 2.0- 3.0 sec 1.25 MBytes 10.5 Mbits/sec
[148] 3.0- 4.0 sec 1.24 MBytes 10.4 Mbits/sec
[148] 4.0- 5.0 sec 1.23 MBytes 10.4 Mbits/sec
[148] 5.0- 6.0 sec 1.22 MBytes 10.2 Mbits/sec
[148] 6.0- 7.0 sec 1.24 MBytes 10.4 Mbits/sec
[148] 7.0- 8.0 sec 1.27 MBytes 10.6 Mbits/sec
[148] 8.0- 9.0 sec 1.27 MBytes 10.6 Mbits/sec
[148] 9.0-10.0 sec 1.27 MBytes 10.6 Mbits/sec
[148] 0.0-10.0 sec 13.0 MBytes 10.9 Mbits/sec

C:\Users\root>C:\Users\root\Desktop\jperf-2.0.2\bin\iperf.exe -c 172.16.1.18
1 -w 128K
------------------------------------------------------------
Client connecting to 172.16.1.18, TCP port 5001
TCP window size: 128 KByte
------------------------------------------------------------
[148] local 192.168.1.3 port 49468 connected with 172.16.1.18 port 5001
[ ID] Interval Transfer Bandwidth
[148] 0.0- 1.0 sec 5.55 MBytes 46.6 Mbits/sec
[148] 1.0- 2.0 sec 8.44 MBytes 70.8 Mbits/sec
[148] 2.0- 3.0 sec 8.37 MBytes 70.2 Mbits/sec
[148] 3.0- 4.0 sec 8.36 MBytes 70.1 Mbits/sec
[148] 4.0- 5.0 sec 8.23 MBytes 69.1 Mbits/sec
[148] 5.0- 6.0 sec 8.46 MBytes 71.0 Mbits/sec
[148] 6.0- 7.0 sec 8.43 MBytes 70.7 Mbits/sec
[148] 7.0- 8.0 sec 8.30 MBytes 69.7 Mbits/sec
[148] 8.0- 9.0 sec 8.21 MBytes 68.9 Mbits/sec
[148] 9.0-10.0 sec 8.47 MBytes 71.0 Mbits/sec
[148] 0.0-10.0 sec 80.8 MBytes 67.7 Mbits/sec

C:\Users\root>C:\Users\root\Desktop\jperf-2.0.2\bin\iperf.exe -c 172.16.1.18
1 -w 128K
------------------------------------------------------------
Client connecting to 172.16.1.18, TCP port 5001
TCP window size: 128 KByte
------------------------------------------------------------
[148] local 192.168.1.3 port 49469 connected with 172.16.1.18 port 5001
[ ID] Interval Transfer Bandwidth
[148] 0.0- 1.0 sec 8.39 MBytes 70.4 Mbits/sec
[148] 1.0- 2.0 sec 8.60 MBytes 72.2 Mbits/sec
[148] 2.0- 3.0 sec 8.58 MBytes 72.0 Mbits/sec
[148] 3.0- 4.0 sec 8.32 MBytes 69.8 Mbits/sec
[148] 4.0- 5.0 sec 8.28 MBytes 69.5 Mbits/sec
[148] 5.0- 6.0 sec 8.46 MBytes 71.0 Mbits/sec
[148] 6.0- 7.0 sec 8.17 MBytes 68.6 Mbits/sec
[148] 7.0- 8.0 sec 8.31 MBytes 69.7 Mbits/sec
[148] 8.0- 9.0 sec 8.35 MBytes 70.1 Mbits/sec
[148] 9.0-10.0 sec 8.43 MBytes 70.7 Mbits/sec
[148] 0.0-10.0 sec 83.9 MBytes 70.3 Mbits/sec

WAN越しになると、やはりレイテンシが高いせいで細かいパケットの8kではかなり速度が落ちましたが、パケットサイズを大きくしてあげればかなり速度が出ました。
実際、FTPやWindows7のCIFS 2では速度が出ましたが、WindowsXPのCIFSではほとんど速度が出ませんでした(大体2-3MB/sec程度だった気が)



このほかにも、2拠点間で同じネットワークを使用するブリッジも設定できますが、ブロードキャストが多いネットワークでこれを使ってしまうと結構ルーターのリソースを使いそうな気がします。
NetBEUI等の名前解決がそのままできたりLANゲームなどでそのままホストがみれたり等の利点はありますがその辺は要設計ですね。
ACLでルーター間のセキュリティーを考えずにそのままブリッジしてしまうと結構いやんな事になるかとw

暇なときに別の機器とIPsecが張れるかというのも試してみたいのですが結構疲れるんですよねこれ。

[ コメントを書く ] ( 2079 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 3 / 1888 )  |  
【その他】にっくにくにしてやんよ! 
2010, October 26, Tuesday, 00:01 - PC, HardWare, Network
投稿者 @xmms




ネットワークカード的な意味で

PCI-Ex4なIntel Pro1000PT Dualportが5000円でオクに出ていたので落札してみました
PCI-Ex1の1000PT/Serveradapterは思ったほど速くありませんでしたがこっちはかなり良好です。軽くテストした感じ、ずいぶん前のエントリの1000PLとほとんど同じ性質でした。






Trunkしておけば多数のクライアントがぶら下がっても2Gのトラフィックを余裕で捌けました。

まあぶっちゃけ最近のオンボのNICはどれもそこそこ速いので、サーバー用途などの特殊な理由がない限りこれを無理に使う意味はないですけどね。PCI-Xのような特殊形状ではないので最近のものであればどのマザーでもIntelNICが使えるという安心はありますが。

さてサブマシンに組み込みますかね…。

[ コメントを書く ] ( 1353 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 3 / 1921 )  |  

<<最初へ <戻る | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 進む> 最後へ>>