オレンジのトップページ

2019年10月28日月曜日

FortiGateシリーズ 50E/60E/90E/100EのCPU

こんにちは。さいきんはUTMと言えばFortiGateの名前が出るほどメジャーかと思います。ちょっと前はNetscreenとかSSG、SonicWALLが多かったんですけれど、ヤマハのFWXも小さな事務所向けにはよく使われていましたよね。共通していることですがやっぱりGUIがわかりやすいので凝ったことをしなければ専門知識がそれほど必要でく手離れが良い。というのは重要です。(笑)それはともかく、FortiGateはユーザー企業の規模に応じたモデルがそろっているので十分な性能を提供できるとか、価格もそう高くはないということで提案しやすいシリーズだと感じます。

ここ数年私が担当し設置したFortiGateも、みな問題なく動いているようで安心しています。

さて、サイジング、つまりFortiGateシリーズの中からどの機種を提案するか、は代理店と相談することになるかとは思いますが、パソコンやサーバのCPUなら肌感覚でわかっても、ルータやUTMの性能は指標となるものがスループットの数字になってしまうのでわかりにくいですよね。その数字でじゃぁうちでどうなの使えるの?ってことになるのですが、FortiGateのモデルを見ていきますと、モデル番号の数字が大きいほうが大きな規模向けとなっていて、価格も比例しています。大体は予算規模で決めてしまっても問題ないようなのですが、メーカー公表の機種ごとのファイアウォールスループットを見るとこのようになっています。ここにあげたのは50Eから100Eまでです。

  • 50E 3Gbps
  • 60E 3Gbps
  • 90E 4.0Gbps
  • 100E 7.4Gbps

    やっぱりわからないですよね。もうひとつ、Fortigate本体からCPU情報を取得できますのでここで紹介します。(下) メーカーでも積極的に公開していないのは性能と直接関係は無いと言うことなのだと思いますが、参考までということで。

    これを見て感じるのは、 ファイアウォールスループットの数字だけ見ていますと50Eも60Eも変わらないかと思いますがCPUが50Eは2コアなのが60Eは4コアでやっぱり余裕があることや、逆に60Eと100Eは同じハード構成に見えますがファイアウォールスループットは100Eが2倍以上だったり、ディスコンになった90EはintelのAtomを使っていたんだ。とか興味深いです。

    90Eまではデスクトップモデルで、100Eからはラックマウントモデルです。 もう90Eはデスコンらしく、100Eも100Fがリリースされました、総じて下位機種からどれも同じインタフェースなのは使い勝手が良くてヨイです。それと100Eからはマネージメントポートが独立しているので管理の幅も広がります。

    いま流行りのIPoE-IPv6も(V6-Plusじゃなくて、ただのIPoE-IPv6の方です。)手元の50Eでトライしてみましたが、CLIでごにょごにょしないといけないのとIPv6-NATモードで設定したせいかパフォーマンス出ませんでしたので、そちらの用途には国内市場を向いたヤマハRTX830の方がイケてるんじゃないかなと思います。PPPoEをUTMに話させるとパフォーマンスが悪いというのでルータとUTMは分けて別にすることも多いと思いますが、IPoE-IPv6を使うときにも同じように、ルータはRTX830を使ってUTMとしてブリッジモードでFortiGateを使うのがキレイかもしれません。こちらはまた時間があったらリベンジしたいですね。

    
    
    
    FortiGate-50E # get hardware status 
    Model name: FortiGate-50E
    ASIC version: not available
    CPU: ARMv7
    Number of CPUs: 2
    RAM: 2024 MB
    MTD Flash: 128 MB /dev/mtd
    Hard disk: not available
    USB Flash: not available
    Network Card chipset: Marvell NETA Gigabit Ethernet driver 00000010 (rev.)
    
    
    
    
    FGT60Exxxxxxxxxx # get hardware status 
    Model name: FortiGate-60E
    ASIC version: SOC3
    ASIC SRAM: 64M
    CPU: ARMv7
    Number of CPUs: 4
    RAM: 1866 MB
    EMMC: 3662 MB(MLC) /dev/mmcblk0
    Hard disk: not available
    USB Flash: not available
    Network Card chipset: FortiASIC NP6LITE Adapter (rev.)
    
    
    
    
    FGT90Exxxxxxxxxx # get hardware status 
    Model name: FortiGate-90E
    ASIC version: not available
    CPU: Intel(R) Atom(TM) CPU  C2338  @ 1.74GHz
    Number of CPUs: 2
    RAM: 2010 MB
    Compact Flash: 7758 MB /dev/sda
    Hard disk: not available
    USB Flash: not available
    Network Card chipset: Fortinet 90E Ethernet Driver (rev.)
    
    
    
    
    
    FG100Exxxxxxxxxx # get hardware status 
    Model name: FortiGate-100E
    ASIC version: SOC3
    ASIC SRAM: 64M
    CPU: ARMv7
    Number of CPUs: 4
    RAM: 3039 MB
    EMMC: 3662 MB(MLC) /dev/mmcblk0
    Hard disk: not available
    USB Flash: not available
    Network Card chipset: FortiASIC NP6LITE Adapter (rev.)
    
    
  • 2019年10月3日木曜日

    CentOS8の標準カーネルでサポート外になった古めのLSI MegaRAIDを使えるようにする

    ちょっと古いLSI MegaRAIDをCentOS8から認識しない。というか、この表現は正確じゃないので訂正。認識しないのではなくて、無効にされている。
    LSIのMegaRAIDはメジャーどころなのにRedhatEnterpriseLinux8/CentOS8の標準カーネルではサポートしないということになったらしい。
    RedHatもプロダクション向けの商売なので、仕方ないか。

    手元のサーバに付けているのは富士通のD2607(SAS2008)って便利なカード。たぶんD2616(SAS2106)も使えないはず。新し目のD3116(SAS2208)はわからない。PRAID(SAS3108) は最近のものだから標準カーネルでも使えると思う。

    SATAのDISKからCentOS8を立ち上げて確認した、富士通D2607についてのdmesgのメッセージはこちら。
    kernel: Warning: megaraid_sas 0000:02:00.0 [1000:0073] - Support for this device has been removed in this major release. Please check the removed functionality section of the release notes.

    lspci -v で認識はしている。ただ使えないだけ。
    02:00.0 RAID bus controller: LSI Logic / Symbios Logic MegaRAID SAS 2008 [Falcon] (rev 03)


    標準カーネルを別のものに差し替えれば動く。

    方法1
    CentOS8と同じカーネル4.18のバージョンのcentosplus

    yum update --enablerepo=centosplus
    yum install --enablerepo=centosplus kernel-plus
    reboot



    方法2
    ELREPOから最新カーネル5.3.2のkernel-ml

    まず http://elrepo.org/tiki/ の手順でレポジトリを追加
    rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
    yum install https://www.elrepo.org/elrepo-release-8.0-2.el8.elrepo.noarch.rpm

    最新カーネルを入れる
    yum update --enablerepo=elrepo-kernel
    yum install --enablerepo=elrepo-kernel kernel-ml
    reboot



    自動アップデート設定もしておく
    /etc/yum.repos.d/CentOS-centosplus.repo を使うなら [centosplus]セクションのenabled を 1 に修正
    /etc/yum.repos.d/elrepo.repo を使うなら [elrepo-kernel] セクションの enabled を 1 に修正


    アップデートがかかると最後にアップデートしたkernelが有効になるらしいので、標準カーネルは消す。
    yum remove kernel


    起動カーネルを指定
    いろいろカーネルを入れるとどれが起動するかわからなくなるのでgrub2を確認しておく。grubbyコマンドを使うとわかりやすい。
    grubby --info=ALL   カーネル一覧
    grubby --default-index デフォルトの起動カーネルを確認する
    grubby --set-default-index= インデックス番号で指定