Fastiron 4802にPaketwalker IIを組み合わせてステートフル
パケットインスペクション(SPI)を付加してみようと思い接続して
試してみるとSPIの負荷試験ではレートは90Mbps以上の
レートを確認した。
ショートパケット性能は望めないが十分実用になるのではないかと思う。
もちろんpppoeやVPNを使うこともできる。
Packetwalker II のVPNは3DESかAES128bitしか使えないが
暗号強度的にはどちらも同じくらいだ。
スループットは21Mbpsくらいしか出ないが本格的に使わなければ
何とかなりそうなレベルだ。
とここまでやるとアライドテレシスの対抗機種あたりと同等の性能
+VPNが実現できたことになる。ルーティングプロトコルもしゃべれるので
(RIP,OSPF,BGPなど)ちょっとオーバースペックかなーとも思います。
さてFastiron4802はもともとマシンルーム用に設計されててワーニング
温度が45℃とちょっと低めに設定されているのだ。この温度では
我が家のマシンルーム(クーラー無し)では真夏に耐えられない
ような感じだ。対策としてはワーニング温度を上げるか真夏は
使わないようにするかで対策するしかなさそうだ。どちらかと言うと
後者で対応したいと考えている。
スイッチを使ってみて思ったのだが一回VLANを使い出すとやめられない
特にいろいろな機器をつなげるときにコマンドだけで配線の接続
ができるととても便利に感じた。
欲を言うなら消費電力とファンの音がもう少し少なかったらよかったと思う。
2011年7月7日木曜日
2011年6月23日木曜日
Fastiron 4802 を交換してもらった。
壊れていたFastiron4802を別なものに交換してもらった。
今のところ問題なく動いている。
ロット不良ではないようだ。
パケットロスも無く非常に安定している。今現在アイドルの
消費電力を測定中。
¥1400/monthくらいになりそうだ。高いか安いかは
微妙なところ。ノンブロッキングスイッチングなんだから
しょうがない感じもする。
ちょっと気づいた点がある。4802はflow-controlコマンド
がデフォルトでオンで802.3xが使えるはずなのだが
pauseフレームをアドバタイズしてもオンにすることが
できなかった。
これはlinuxのethtoolで確認したので間違いないが
NIC側がフロー制御のRXをオンにできないのが原因のようだ
L2でのフロー制御は何かとめんどくさい。
まあL2でフロー制御しなくても深刻な問題には発展しない
とは思うのだが・・・
icmpはCPU処理らしくicmpを大量に送りつけると1ポートあたり
25%くらいCPUサイクルを消費するのでICMPのレートは
リミッティングした方がいいのかもしれない。
ためしにレートリミットすると消費CPUサイクルは1%となった
今のところ問題なく動いている。
ロット不良ではないようだ。
パケットロスも無く非常に安定している。今現在アイドルの
消費電力を測定中。
¥1400/monthくらいになりそうだ。高いか安いかは
微妙なところ。ノンブロッキングスイッチングなんだから
しょうがない感じもする。
ちょっと気づいた点がある。4802はflow-controlコマンド
がデフォルトでオンで802.3xが使えるはずなのだが
pauseフレームをアドバタイズしてもオンにすることが
できなかった。
これはlinuxのethtoolで確認したので間違いないが
NIC側がフロー制御のRXをオンにできないのが原因のようだ
L2でのフロー制御は何かとめんどくさい。
まあL2でフロー制御しなくても深刻な問題には発展しない
とは思うのだが・・・
icmpはCPU処理らしくicmpを大量に送りつけると1ポートあたり
25%くらいCPUサイクルを消費するのでICMPのレートは
リミッティングした方がいいのかもしれない。
ためしにレートリミットすると消費CPUサイクルは1%となった
2011年6月21日火曜日
メインのシステムをubuntu11.04にした。
メインのシステムをubuntu11.04にした。
debianから比べると多少不安定になったような気がする。
それとdebianに比べてメモリー食いみたいです。
が、フラッシュビデオ再生のスムーズさはWindows7を抜いて
1位だと思う。(今回インストールしたマシンは低スペックだが
最新のwindows7マシンよりスムーズに再生された。)
たぶん2.6.38カーネルだからだろうか?
これほど劇的に改善されるのはすごい・・・
しかしwebmの再生は改善されなかった。
そういうものらしい。
debianから比べると多少不安定になったような気がする。
それとdebianに比べてメモリー食いみたいです。
が、フラッシュビデオ再生のスムーズさはWindows7を抜いて
1位だと思う。(今回インストールしたマシンは低スペックだが
最新のwindows7マシンよりスムーズに再生された。)
たぶん2.6.38カーネルだからだろうか?
これほど劇的に改善されるのはすごい・・・
しかしwebmの再生は改善されなかった。
そういうものらしい。
2011年6月18日土曜日
Foundry Fastiron 4802 Premium その5
Fastiron 4802がパケットを取りこぼすのでおかしいなと思い
いろいろテストすると。JetCore ASICがどうも壊れているらしい。
コマンドは正常に受け付けるが動かない・・・
CLIがハングアップしないところを見るとCPU回りは問題なさそう。
それでboot syste flash secondaryで古いバージョンのOS
から立ち上げてみたところipc関係のエラーが不定期にdebug
コマンド無しに表示される。と言うことで壊れていると判断した。
OSのバージョンが07.8.00oT53だとBad_Trap関係の処理が省かれ
ているらしくエラーメッセージを表示してくれない。
バージョン07.6.04eT53の場合はipc周りが悪いと言うメッセージ
を表示してくれた。
と言うことでここまで追い込むのに午前2時までかかった・・・
買ったところに相談してみると交換してくれるとのこと。
よかったよかった。
追記
先ほどもう一回テストしたら07.6.04eT53ではエラーを表示してくれました。
JetCore 1 のモジュール0 のPRAMが見つからないと言うエラーが出ます。
明らかに壊れています。
07.8.00oT53だとセルフテストでエラーが出ないと言うのも・・・
エラーチェックを削るとは・・・
BOOT INFO: load from secondary copy
BOOT INFO: bootparam at 27ffffe0, mp_flash_size = 002bdf02
BOOT INFO: code decompression completed
BOOT INFO: branch to 20000104
Init JetCore ASIC 1.2.WARN: can't find module 0 JetCore 1 PRAM
Parsing Config Data ...
Load config data from flash memory...
SW: Version 07.6.04eT53 Copyright (c) 1996-2003 Foundry Networks, Inc.
Compiled on Sep 23 2003 at 00:53:44 labeled as B2R07604e
(2875138 bytes) from Secondary B2R07604e.bin
HW: Stackable FI4802-PREM, SYSIF version 21, Serial #: Non-exist
==========================================================================
Serial #: ?
2048 KB BRAM, JetCore ASIC IPC version 48, BIA version 00
32768 KB PRAM and 2M-Bit*1 CAM for IPC 0, version 1848
0 KB PRAM and 2M-Bit*1 CAM for IPC 1, version 1848
==========================================================================
466 MHz Power PC processor 750 (version 8/8302) 66 MHz bus
512 KB boot flash memory
16384 KB code flash memory
512 KB SRAM
128 MB DRAM
The system : started=warm start reloaded=by "reload"
FSecure SSH is included in this product
FI4802-PREM>
***Access Control Lists are completely loaded***
ipc_pram_del_entry(): bad index 0000aa10
ipc_pram_del_entry(): bad index 0000aa0e
ipc_pram_del_entry(): bad index 0000aa0c
ipc_pram_del_entry(): bad index 0000aa0a
ipc_pram_del_entry(): bad index 0000aa08
ipc_pram_del_entry(): bad index 0000aa06
ipc_pram_del_entry(): bad index 0000aa04
ipc_pram_del_entry(): bad index 0000aa02
と言うわけで交換決定です。
ロット不良じゃないことを祈ろう。
いろいろテストすると。JetCore ASICがどうも壊れているらしい。
コマンドは正常に受け付けるが動かない・・・
CLIがハングアップしないところを見るとCPU回りは問題なさそう。
それでboot syste flash secondaryで古いバージョンのOS
から立ち上げてみたところipc関係のエラーが不定期にdebug
コマンド無しに表示される。と言うことで壊れていると判断した。
OSのバージョンが07.8.00oT53だとBad_Trap関係の処理が省かれ
ているらしくエラーメッセージを表示してくれない。
バージョン07.6.04eT53の場合はipc周りが悪いと言うメッセージ
を表示してくれた。
と言うことでここまで追い込むのに午前2時までかかった・・・
買ったところに相談してみると交換してくれるとのこと。
よかったよかった。
追記
先ほどもう一回テストしたら07.6.04eT53ではエラーを表示してくれました。
JetCore 1 のモジュール0 のPRAMが見つからないと言うエラーが出ます。
明らかに壊れています。
07.8.00oT53だとセルフテストでエラーが出ないと言うのも・・・
エラーチェックを削るとは・・・
BOOT INFO: load from secondary copy
BOOT INFO: bootparam at 27ffffe0, mp_flash_size = 002bdf02
BOOT INFO: code decompression completed
BOOT INFO: branch to 20000104
Init JetCore ASIC 1.2.WARN: can't find module 0 JetCore 1 PRAM
Parsing Config Data ...
Load config data from flash memory...
SW: Version 07.6.04eT53 Copyright (c) 1996-2003 Foundry Networks, Inc.
Compiled on Sep 23 2003 at 00:53:44 labeled as B2R07604e
(2875138 bytes) from Secondary B2R07604e.bin
HW: Stackable FI4802-PREM, SYSIF version 21, Serial #: Non-exist
==========================================================================
Serial #: ?
2048 KB BRAM, JetCore ASIC IPC version 48, BIA version 00
32768 KB PRAM and 2M-Bit*1 CAM for IPC 0, version 1848
0 KB PRAM and 2M-Bit*1 CAM for IPC 1, version 1848
==========================================================================
466 MHz Power PC processor 750 (version 8/8302) 66 MHz bus
512 KB boot flash memory
16384 KB code flash memory
512 KB SRAM
128 MB DRAM
The system : started=warm start reloaded=by "reload"
FSecure SSH is included in this product
FI4802-PREM>
***Access Control Lists are completely loaded***
ipc_pram_del_entry(): bad index 0000aa10
ipc_pram_del_entry(): bad index 0000aa0e
ipc_pram_del_entry(): bad index 0000aa0c
ipc_pram_del_entry(): bad index 0000aa0a
ipc_pram_del_entry(): bad index 0000aa08
ipc_pram_del_entry(): bad index 0000aa06
ipc_pram_del_entry(): bad index 0000aa04
ipc_pram_del_entry(): bad index 0000aa02
と言うわけで交換決定です。
ロット不良じゃないことを祈ろう。
2011年6月16日木曜日
Foundry Fastiron 4802 Premium その4
やっと設定できたので以下にサンプルの環境を示します。
192.168.0.240はデフォルトルートでNECのIX2015が動いてます
NTPサーバーもIX2015にやらせています。
pppoe
|
| fe0/0
IX2015
| fe0/1 192.168.0.240/24
|
| ethernet 48 192.168.0.241/24
Fastiron 4802-PRIM
| ethernet 1-47 192.168.1.240/24
|
client
とこのような感じにしてみました。
以下にサンプルのコンフィグを示します。
!
ver 07.8.00oT53
!
!
!
!
!
vlan 1 name DEFAULT-VLAN by port
!
vlan 2 name 2F-B2 by port
untagged ethe 1 to 47
ip-subnet 192.168.1.0 255.255.255.0 name 2F-B2
static ethe 1 to 47
router-interface ve 1
!
!
aaa authentication login default local enable
enable telnet authentication
enable super-user-password ...
ip dns domain-name fastiron4802.local
ip dns server-address 192.168.0.240
ip route 0.0.0.0 0.0.0.0 192.168.0.240
!
logging buffered 1000
username user password ...
clock timezone gmt GMT+09
sntp server 192.168.0.240 4
!
interface ethernet 1
load-interval 30
!
interface ethernet 48
load-interval 30
ip access-group 100 in
ip address 192.168.0.241 255.255.255.0
!
interface ve 1
ip address 192.168.1.240 255.255.255.0
!
ip telnet source-interface ve 1
!
access-list 100 permit tcp any 192.168.0.0 0.0.0.255
access-list 100 permit tcp any host 192.168.1.1 range 32768 61000
access-list 100 permit tcp any host 192.168.1.2 range 1024 5000
access-list 100 permit udp any 192.168.0.0 0.0.0.255
access-list 100 permit udp any 192.168.1.0 0.0.0.255
access-list 100 permit udp any 224.0.0.0 15.255.255.255
access-list 100 permit icmp any 192.168.0.0 0.0.0.255
access-list 100 permit icmp any 192.168.1.0 0.0.0.255
access-list 100 permit igmp any 224.0.0.0 15.255.255.255
access-list 100 deny ip any any log
!
!
!
ip ssh source-interface ethernet 48
!
!
end
access-list 100の2行と3行はLinuxとWindows XPのエフェメラルポート
です。エフェメラルポート意外は遮断しています。
Telnet接続は192.168.1.240/24側からしかつながらないようにしています。
ログイン時のユーザー名はusernameコマンドで指定します。
SSHはどちら側からも入れます。実際にSSHで運用するには
crypto key generate rsa として暗号鍵を生成する必要があります。
ciscoでいうreflexive ACL(再帰ACL)みたいなことはできないみたいでした。
ちょっと残念。これができるとポート開けっ放しと言うことがなくなるので
かなりDOSには強くなるかなとは思ったのですが・・・
配線をつなぎ変えたらclear mac-addressコマンドを忘れずに
そうしないとおかしな現象に遭遇したりします。
192.168.0.240はデフォルトルートでNECのIX2015が動いてます
NTPサーバーもIX2015にやらせています。
pppoe
|
| fe0/0
IX2015
| fe0/1 192.168.0.240/24
|
| ethernet 48 192.168.0.241/24
Fastiron 4802-PRIM
| ethernet 1-47 192.168.1.240/24
|
client
とこのような感じにしてみました。
以下にサンプルのコンフィグを示します。
!
ver 07.8.00oT53
!
!
!
!
!
vlan 1 name DEFAULT-VLAN by port
!
vlan 2 name 2F-B2 by port
untagged ethe 1 to 47
ip-subnet 192.168.1.0 255.255.255.0 name 2F-B2
static ethe 1 to 47
router-interface ve 1
!
!
aaa authentication login default local enable
enable telnet authentication
enable super-user-password ...
ip dns domain-name fastiron4802.local
ip dns server-address 192.168.0.240
ip route 0.0.0.0 0.0.0.0 192.168.0.240
!
logging buffered 1000
username user password ...
clock timezone gmt GMT+09
sntp server 192.168.0.240 4
!
interface ethernet 1
load-interval 30
!
interface ethernet 48
load-interval 30
ip access-group 100 in
ip address 192.168.0.241 255.255.255.0
!
interface ve 1
ip address 192.168.1.240 255.255.255.0
!
ip telnet source-interface ve 1
!
access-list 100 permit tcp any 192.168.0.0 0.0.0.255
access-list 100 permit tcp any host 192.168.1.1 range 32768 61000
access-list 100 permit tcp any host 192.168.1.2 range 1024 5000
access-list 100 permit udp any 192.168.0.0 0.0.0.255
access-list 100 permit udp any 192.168.1.0 0.0.0.255
access-list 100 permit udp any 224.0.0.0 15.255.255.255
access-list 100 permit icmp any 192.168.0.0 0.0.0.255
access-list 100 permit icmp any 192.168.1.0 0.0.0.255
access-list 100 permit igmp any 224.0.0.0 15.255.255.255
access-list 100 deny ip any any log
!
!
!
ip ssh source-interface ethernet 48
!
!
end
access-list 100の2行と3行はLinuxとWindows XPのエフェメラルポート
です。エフェメラルポート意外は遮断しています。
Telnet接続は192.168.1.240/24側からしかつながらないようにしています。
ログイン時のユーザー名はusernameコマンドで指定します。
SSHはどちら側からも入れます。実際にSSHで運用するには
crypto key generate rsa として暗号鍵を生成する必要があります。
ciscoでいうreflexive ACL(再帰ACL)みたいなことはできないみたいでした。
ちょっと残念。これができるとポート開けっ放しと言うことがなくなるので
かなりDOSには強くなるかなとは思ったのですが・・・
配線をつなぎ変えたらclear mac-addressコマンドを忘れずに
そうしないとおかしな現象に遭遇したりします。
2011年6月14日火曜日
Foundry Fastiron 4802 Premium その3
Fastiron 4802のL3スイッチのテストをしてみた。
アクセスリストを指定してポート番号によるアクセス制限を掛けてみた
ところ。ちゃんとポートによるアクセス制限がかかりました。
そのときshow cpuコマンドでCPU使用率を測定(総トラフィック約3.0M
Byte/SEC)したときCPU使用率は1%でアイドル状態と変化が
ありませんでした。この位ではびくともしないみたいです。
非常に高速で安定していました。Jetcore ASICでACLの処理をしている
ものと思われます。
CPUの負荷をかけなければそこそこの性能をたたき出してくれそうです。
パケットフィルターはルーターに任せるのではなくL3スイッチで処理する
ほうがflood系のフィルタリングなんかは良いのではないかと思うくらいです。
pppoeの処理はルーターに任せてその後のアクセスリストやルーティング
はL3スイッチでやったほうがショートパケットはさばけそうな感じがします。
アクセスリストを指定してポート番号によるアクセス制限を掛けてみた
ところ。ちゃんとポートによるアクセス制限がかかりました。
そのときshow cpuコマンドでCPU使用率を測定(総トラフィック約3.0M
Byte/SEC)したときCPU使用率は1%でアイドル状態と変化が
ありませんでした。この位ではびくともしないみたいです。
非常に高速で安定していました。Jetcore ASICでACLの処理をしている
ものと思われます。
CPUの負荷をかけなければそこそこの性能をたたき出してくれそうです。
パケットフィルターはルーターに任せるのではなくL3スイッチで処理する
ほうがflood系のフィルタリングなんかは良いのではないかと思うくらいです。
pppoeの処理はルーターに任せてその後のアクセスリストやルーティング
はL3スイッチでやったほうがショートパケットはさばけそうな感じがします。
2011年6月12日日曜日
Foundry Fastiron 4802 Premium その2
DB9F<-->DB9FのストレートのRS-232Cケーブルが無かったので
ciscoのDB9<-->RJ45のロールオーバーケーブルなら手持ちがあった。
それとRJ45 <--> DB9の変換アダプタなら在庫があった。
それでRJ45 <-->DB9の変換アダプタを改造してクロスにしてciscoの
ロールオーバーケーブル<-->RJ45-DB9変換アダプタ(改)でストレート
のDB9F<-->DB9Fを作ったら無事コンソールにログインすることが
できました。
コマンドはcisco風でciscoをいじれる人なら簡単に設定ができると思い
ます。
とりあえずshow running-config してみたらきれいに何も入ってませんでした。
この状態では普通にL2スイッチとして使用できるみたいです。
ただ普通にL2スイッチとして使うのであれば消費電力が大きそうなので
L2スイッチ専用のスイッチを使ったほうがいいのかもしれません。
MACアドレス学習テーブルが64000もあるのでMAN用の機器は違うな
と思いました。
学習テーブルの大きさからL2でネットワークを組んでも問題が起こることは
なさそうです。
ciscoのDB9<-->RJ45のロールオーバーケーブルなら手持ちがあった。
それとRJ45 <--> DB9の変換アダプタなら在庫があった。
それでRJ45 <-->DB9の変換アダプタを改造してクロスにしてciscoの
ロールオーバーケーブル<-->RJ45-DB9変換アダプタ(改)でストレート
のDB9F<-->DB9Fを作ったら無事コンソールにログインすることが
できました。
コマンドはcisco風でciscoをいじれる人なら簡単に設定ができると思い
ます。
とりあえずshow running-config してみたらきれいに何も入ってませんでした。
この状態では普通にL2スイッチとして使用できるみたいです。
ただ普通にL2スイッチとして使うのであれば消費電力が大きそうなので
L2スイッチ専用のスイッチを使ったほうがいいのかもしれません。
MACアドレス学習テーブルが64000もあるのでMAN用の機器は違うな
と思いました。
学習テーブルの大きさからL2でネットワークを組んでも問題が起こることは
なさそうです。
登録:
投稿 (Atom)