スキップしてメイン コンテンツに移動

FortiGate 60Dの実力は?

導入の顛末は別の方で書いてあるのでこちらではFortiGateの純粋な性能について書いてみようかと思います。

FWとしての性能は?

FortiGateのウリの一つに専用ASICによる高速処理というのがあります(60Dクラスだとほとんど載ってませんが)。
実際にはどんなもんでしょうか? 試してみました。
テスト環境としては以下の状態でテストしました。
  • IPoEのIPv6回線
  • FortiGate:トランスペアレントモード(透過FW)
  • IIJmioのIPv6スピードテスト
なるべく間に変なものがはいらない形で計測してみました。
計測した結果は263Mbps。なかなかに速いです。
これが現在の回線状態の限界なのか分からないので参考までにVyOS(ブリッジFW)で比較してみました。こちらは大体100Mbps前後。
ルーティング速度が自慢のVyOS(ブリッジですが)と較べて倍以上出ています。
スペック上では1.5GBまでいけるという話なのでこれが現在の回線限界なのでしょう。
流石に専用チップは速いです。

UTMにすると?

一方でFortiGateはUTMとしても有名です。
こちらの機能をガッツリONにしてみたらどうなるでしょうか。
その結果は40Mbps。UTMは多種多様なパターンで解析しながら作業するので負荷の殆どがプログラム、つまりソフトウェア部分になります。
中の解析にソフトで処理する必要がある上に重たい解析をしているのでこの速度は納得です。色んな脅威をリアルタイムで排除している上に、後でどんな状況で使用していたか分析出来るのも魅力です。
ただ折角の専用ハードがほとんど生かせないというのも残念な点になります。
これらもどこまでやるかになるでしょうね。

IPv4の方でもテスト

FWのみ
FW+UTM
こちらは以下の条件です。
  • NAT/ルーターモード
  • DS-Lite経由のIPv4
  • Ooklaの筑波サーバー(softether)
こちらも大体同じ傾向です。やはりUTM入れるとガッツリ不安定になります。
UTMによるパフォーマンス低下はポリシーによって選択できます。
例えば以下のようなケースを設定できます。

  • PCなどの高速かつクライアントで対策できるような有線LAN環境
    →FWのみ
  • モバイル端末でWi-Fi接続、しかもiPhoneなどの非力デバイス
    →FW + UTM

さらにNAT64もこういったポリシーに組み込めるので、アップルの進めている環境にも合致します。モバイル端末はIPv6自動構成だけで管理出来るとうれしいですね。

余談ですが、DS-LiteではNAT処理をISPがやってくれるのでこちらでNATする必要がありません。これはNAT64でも同じことでこちらではIPv6→IPv4変換だけで済みます。
複数のセグメントだろうと何だろうと全部トンネルに送ればOK。
お陰でかなり軽いです。素晴らしい。

結局FortiGateは買いなの?

UTMとして考えた場合はいい選択肢だと思います。特に企業では。
個人では保守含めた価格が高いので年間何万円も払うのは難しいでしょう。
またコスト以外でも問題があります。一番の問題は設定です。
ネットワーク知識の他にUTMの知識が要求されます。
例えばIPS(侵入検知)などをしたいとしても、対応するサーバーがWindowかLinuxか、どのサービスを動かしているかで選ぶ項目が変わります。この場合はサーバーの知識も必要になります。
何も考えず全部OKにしようものなら重くて使い物になりません。
そういうフルカスタマイズ出来るのが魅力であるし、それ故の厳しさもあると言えます。

逆に割り切ってUTMなんか要らん!! と高速なFWとして見たらどうか。
この場合はコスパが問題になります。ハード単体が高い。
もし今回のように中古で安く手に入るのであれば、契約が切れていても基本機能はそのまま使えます。
なので家庭用の高速FWとして考えると十分アリかも。
この場合、専用ASICを頼りにする戦略なので、なるべく新しいASICが載っているものを選ぶ方がいいでしょう。
型番の後ろのアルファベットが大きいほど新しく、現在最新はEです。
このあたりの資料は本家にいっぱいありますので参考になるかと。

設定次第で両極端になる癖の強く難解な製品ですが、モノとしてはしっかりしている歯ごたえのある製品でした。

コメント

このブログの人気の投稿

カスタムメイド3D2用プラグインを作りました

CM3D2用のプラグイン DeOutline / FaceToCam を制作 やっとCM3D2を遊べる感じになったので触ってみてます。
とあるところからHMDをお借りして感動していたところなのですが、現状でいくつか不満点が出たのでプラグインを作ってみました。
輪郭線除去プラグイン(VR対応) CM3D2.DeOutline.Plugin.dll 入れると輪郭線が消えます。それだけです。
CM3D2.OutlineSwitch.Plugin.dllの劣化版です。
違いは2点。
VR対応切り替えスイッチなしdownload いつでもこっち向いてプラグイン(VR対応) CM3D2.FaceToCamSwitcher.Plugin.dll キーを押すだけでメイドさんがいつでもこっちを向いてくれるプラグインです。
VRでは色々な視点で動かせるので必要なときこっち向いてくれるといいなあってことで作りました。
download
C#なので簡単にできていいですね。

VyOS 1.1.1とSoftEther VPN Serverで自宅VPN最速設定

VyOS 1.1.1とSoftEther VPN Serverで自宅VPN最速設定 あけましておめでとうございます。本年もよろしくお願いします。
のっけから濃い話題で2015を始めたいと思います。
個人用途でWindowsファイル共有(CIFS)をサクサク使いたい 以前VyOSでPPTPによるリモートアクセスVPNを構築したが、実際のところ操作が重く、もっさりで大変だった。
そこで他のプロトコルではどうかとアレコレ試してみたが却ってスループットは低下してしまった。堅牢性が上がっているので当然かもしれない。
しかし個人で考えれば、ハードなセキュリティよりもスループット、レスポンスに重点を置きたいと考えるのは当然だろう。
最終的に一番高速だったのはSoftEther VPN Serverだった。ただし、プロトコルはSoftEther、セッション数は32(最大)、UDP高速化機能という条件でのみ実現された。
今回はその方法を紹介したいと思う。
VPNのスループットを上げるには VPNのスループットを特殊なネットワーク、機器とかに頼らず速くしたい。SoftEtherのプロトコルはマルチコネクションで接続することが可能で、最大32コネクション接続が可能。
一般的な光回線では1コネクション当たりのスループットが良くて200Mbps程度だと思う。しかし、マルチとなると一気に帯域が太くなる。32コネクションを1つのVPNトンネルとして形成するので転送自体はかなり上がる。 VPNでWindowsファイル共有(CIFS)を快適に使うには 別の視点から見てみる。私のVPNでの使用主目的がファイル共有である。これがVPNととても相性が悪く、驚くほどの遅さになってしまうこともある。原因はSMBプロトコルにあって、過剰な通信を繰り返す事からそうなるようだ。(例えば、1つのExcelファイルを開くのに4000回通信を行っているらしい) WANを経由したら当然大きな遅延が発生する。帯域がどんなに太くても、Ackが返ってくるまではどうやっても待機にならざるを得ない。1つの通信を行う毎に遅延が大きく伸し掛かってくる。これがCIFSの速度が遅い理由だ。
この問題もSoftEtherで解決できる。UDP高速化機能を使用することで低遅延を実現できる。UDPでトンネリングを行うため、トンネル側の通信に3ハ…

プロバイダをオープンサーキットからIIJへ変更

プロバイダをオープンサーキットからIIJへ変更 VPN環境でIPv6の面白さを知ってしまったので、思い切ってプロバイダを変更してみた。 どうせならIPv4も快適にしたかったのでDS-LiteのあるIIJmioに加入することにした。 VyOSの設定などは別記事に。 速度比較 IIJのサービスにはインターネットへ接続する方法が3つ存在する。IPv4(PPPoE、DS-Lite)とIPv6(IPoE)となる。
今回は前プロバイダであるオープンサーキットとの比較を行うことで速度差がどれだけあるか調査してみた。
プロバイダ比較のため今回はIPv6の方は計測しない。 計測日は日曜日20:00前後。
計測方法 3種類の接続を行ったVyOS(VM)を用意し、接続した状態のままゲートウェイアドレスを変更した形で配置。 デフォルトゲートウェイを変更するだけでそれぞれの接続方式にアクセスする方法を採った。 オープンサーキット(PPPoE)radishで67Mbps/2Mbpsとなった。speedtestの方ではpingを計測し38ms。キャプチャミスにより下りが表示されていないが100Mbps前後だった。サーバー用途でガンガン帯域使っても怒られないプロバイダとしては十分いい数値だと思う。
IIJ(PPPoE)次にIIJ(PPPoE)。この時点で十分改善されている。オープンサーキットとは逆に上り帯域制限がかなりキツイ(15GB/日)のでこのくらい出てもらわないと困るのは確か。

IIJ(DS-Lite)最後にDS-Lite。ping値は変化ないが転送量が格段に増えた。ここまで差が出ると体感上でもハッキリ判るレベル。
その他詳細 DS-Liteは以下の制限が存在する。 ×専用機器が必要
×サーバーが立てられない
×オンラインゲームのポート開放が出来ない ただ、回避策がないわけでもない。
専用機器と言っても大したことをするわけでもないので、VyOSで簡単に実現できる。
サーバーやオンラインゲームに必要なポート開放はPPPoEとの併用でカバーできる。
しかしゲートウェイが2つ存在することになるのでどう運用するかという点でハードルが高くなる。
ちなみにNAT1段なのでSkpyeなどはポート開放しなくても動いた。(UDPホールパンチングは有効)
まとめ DS-Liteはやはり速かった。IPv6接…