YAMAHA ルータ実機によるIPoE IPv6時代のVPN性能比較

-

RTX1300が発売されてすっかりヤマハルータの世代交代が進んだような感覚があります。インタフェースが10Gですからね。内部の設計やCPUなどの使われているチップもずいぶん性能が上がったようです。値段も10-20万円と事業所なら頑張れば買える値段ですよね。ぼくも今回とうとう通販サイトのセールで買ってきました。もちろんポケットマネーです。2台用意して最新RTX1300のテストをしました!そしておなじみの現行機種RTX1220/1210/RTX830と、おまけで旧機種RTX1200/RTX810での性能比較テストです。

結果からは、IPoE系のプロバイダでインターネットをしたりVPNを組んだりするには旧機種RTX1200やRTX810ではぜんぜん足りていなくて、RTX1220/1210やRTX830を買ってこないといけないということをわかっていただけるかなと思います。もちろん予算があるならRTX1300なのですが・・・・

IPoE系のプロバイダは、回線事業者の装置とエンドユーザのルータでIPIPトンネルを張ることでIPv4通信が可能になりますので、RTX1300を使ってもIPoE系プロバイダのインターネット接続速度は光クロス10G回線ではルータ性能のために最大2Gbpsになりそうだということです。ただ片側が回線事業者の終端装置になりますので、RTX1300対向でのテストで2Gbpsでしたが、もう少し速く3Gbpsくらいは出るかもしれません。残念ですが光クロス10G回線で2Gbps以上を求めるとNECのIX系が良さそうです。

環境

1Gbpsでのテスト

機種CPUとメモリCPUのPassmark
(Single/Multi)		メモIPアドレス
Lenovo M75q-1Ryzen 5 Pro 3400GE
MEM:16GB		2255/8297クライアント側192.168.100.2
Lenovo M75q-2Ryzen 5 Pro 5650GE
MEM:16GB		3177/18461サーバ側192.168.200.2

10Gbpsでのテスト

機種CPUとメモリCPUのPassmark
(Single/Multi)		メモIPアドレス
Fujitsu TX1320-M3E3-1240 V6
MEM:16GB		2370/8669クライアント側192.168.100.2
Fujitsu TX1320-M3E3-1240 V6
MEM:16GB		2370/8669サーバ側192.168.200.2

方法

iperfコマンドをダウンロードして使います。

アプリケーション名ダウンロード先
iperf3https://iperf.fr/iperf-download.php

コマンド文字列

通常のPPPoE接続ではMTU=1454、nuroのDHCPではMTU=1500、IPoE系プロバイダではIPv6はMTU=1500でIPv4は1460といろいろなので、VPN接続でのMTU=1400と統一して、純粋にルータ性能を比較できるようにしました。

iperfは実行するとき、-sを付けるとサーバ側、-cを付けるとクライアント側として動作します。-Mでパケットサイズを指定できます。TCPヘッダで20バイト、IPヘッダで20バイトを使いますので、1400-20-20=1360を指定すると丁度MTU=1400でのテストになります。


実行コマンド
クライアント側PCiperf3 -c 192.168.200.2 -M 1360
サーバ側PCiperf3 -s

用意した機種と結果

iperfのテストは3回以上実施し、上り下りの平均を取りました。上り下りの元データの差は1Mしかありませんでした、対向で同じ機種だからかなと思います。 途中まで伝統的な3desでしたがRTX830では性能が上がらないのでsha1を試すと性能が上がりました。RTX1210では3desとsha1で有意な差は確認できませんでした。 またカタログは双方向の数値ですがテストは片側方向です。

機種:M75q-1とM75q-2

機種
発売時期
ipsec性能
カタログ値
(双方向)
IPv4でトンネルIPv6でトンネル
IPIPIPsec
3des		IPsec
sha1		IPIPIPsec
3des		IPsec
sha1
PC直結938 Mbit/s
RTX12002008年10月200Mbit/s400152
370145
RTX8102011年11月200Mbit/s314200
315190
RTX12102014年11月1.5Gbit/s790902897782890886
RTX8302017年10月1Gbit/s922737887910735880

RTX1300を2台用意して10Gでのテストも行いました。10GbEでのテストです。カタログ値は双方向3Gbit/sでしたがテストは片方向ということもあって2Gbit/sになりました。

機種:Fujitsu TX1320-M3 E3-1240 V6 / バッファロー10GbE LGY-PCIE-MG2

機種
発売時期
ipsec性能
カタログ値
(双方向)
IPv4でトンネルIPv6でトンネル
IPIPIPsec
3des		IPsec
sha1		IPIPIPsec
3des		IPsec
sha1
PC直結9.00 Gbit/s
RTX1300 LAN2-LAN3間9.00 Gbit/s
RTX13002022年9月3Gbit/s1.862.052.001.96

まとめ

  • IPIP(IPv6)トンネルは最近のIPoEインターネットで利用される技術です。RTX1200対向では370Mbit/s、RTX810対向では315Mbit/sしか出ませんので、旧機種はおすすめできません。
  • 以前ブラウザを使ったspeedtest.net等のプロバイダスピードテストでRTX1200でもIPoE系プロバイダで500Mbps出ていたこともあったような気もしますが、トンネル対抗がプロバイダ機器なので今回のテスト以上の速度が出たのか、そもそもテスト方法が違うからなのかはわかりません。
  • IPIP(IPv6)トンネルで片方向のテストではRTX1210は782Mbit/sにとどまりますのでIPoEインターネットの利用用途に最高性能を求めるには910Mbit/sまで出るRTX830がおすすめです。
  • RTX1210について: 拠点間VPN接続にはRTX1210ではIPIPトンネルではIPv4もIPv6も790-780Mbit/s程度ですが、IPsecトンネルだとIPv4もIPv6も約900Mbit/s出ています。本来暗号化しないIPIPの方が速度が出るはずですが反対に暗号化のあるIPsecの方が性能が出るのは上手く設計とチューニングされているようです。またRTX1210では3desもsha1も速度は変わりませんでした。
  • RTX830について: さすが設計やCPUが新しいせいかIPIPトンネルではIPv4もIPv6も910-920Mbit/s出て高速です。IPsecトンネルだとIPv4もIPv6も約900Mbit/s出ます なぜかこのRTX830では3desでは速度が出ませんのでsha1を使うほうが良いようです。3desの利用が減っているようなので専用チップが省略されたのか性能チューニングがされていないのかもしれません。
  • テストは片方向で行っています。ipsecトンネルでRTX1210もRTX830もほぼ同じ性能が出てはいますが、カタログではRTX1210は双方向で1.5Gbit/s、RTX830は1Gbit/sとなっていてますので、拠点間VPN用途にはRTX1210/1220の方が良いかもしれません。
  • 期待していたRTX1300は2Gbit/sとRTX830の約2倍はさすが。直結やLAN2-LAN3間では9Gbit/s出ているのがVPNトンネルで落ちるのは残念ですが仕方ないですが、もうちょっと欲しかったというのが正直な気持ちですよね。ほかにはIPIPもIPsecもIPv4もIPv6もほぼ変わらないのは意外でした。暗号化の有無による負荷にボトルネックはなさそうなのでIPIPを使う意味はなく積極的にIPsecを使っていけそうです。さすが従来機種とはきっちり差をつけてきました。
  • RTX1300を使うとトンネルで2Gbit/s出るので最近増えてきた10Gの回線とプロバイダでVPNを張るのは効果がありそうです。
  • IPoE系のプロバイダはIPv6のIPIPトンネル接続ですが、RTXルータ同士でのIPv6 IPIPトンネルのベンチ速度よりも高い速度が、スピードテストサイトの表示では出ているようです。このあたりは、片側がプロバイダのトンネル終端装置ということもあるのかもしれません。
  • そろそろRTX1220の後継機が欲しい。RTX1300のCPUはそのままに10Gインタフェースを1Gインタフェースにして金額を下げた(仮称)RTX1230が出るとうれしいかも。

    • RTXルータのCONFIG

    次のとおりルータにCONFIGを流し込んでいただければ同じテストができます。

    IPIPトンネル(IPv4)

    #RTX1
console character ascii
ip route 192.168.200.0/24 gateway tunnel 1
ip lan1 address 192.168.100.1/24
ip lan2 address 10.0.0.1/24
tunnel select 1
tunnel encapsulation ipip
tunnel endpoint address 10.0.0.1 10.0.0.2
ip tunnel mtu 1400
tunnel enable 1
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

#RTX2
console character ascii
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.200.1/24
ip lan2 address 10.0.0.2/24
tunnel select 1
tunnel encapsulation ipip
tunnel endpoint address 10.0.0.2 10.0.0.1
ip tunnel mtu 1400
tunnel enable 1
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.200.2-192.168.200.191/24

    IPsecトンネル(IPv4) 3des

    #RTX1
console character ascii
ip route 192.168.200.0/24 gateway tunnel 1
ip lan1 address 192.168.100.1/24
ip lan2 address 10.0.0.1/24
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike pre-shared-key 1 text naisho
ipsec ike remote address 1 10.0.0.2
ip tunnel mtu 1400
tunnel enable 1
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

#RTX2
console character ascii
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.200.1/24
ip lan2 address 10.0.0.2/24
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike pre-shared-key 1 text naisho
ipsec ike remote address 1 10.0.0.1
ip tunnel mtu 1400
tunnel enable 1
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.200.2-192.168.200.191/24

    IPIPトンネル(IPv6)

    #RTX1
console character ascii
ip route 192.168.200.0/24 gateway tunnel 1
ip lan1 address 192.168.100.1/24
ipv6 lan2 address 2001:3::1/64
tunnel select 1
tunnel encapsulation ipip
tunnel endpoint address 2001:3::1 2001:3::2
ip tunnel mtu 1400
tunnel enable 1
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

#RTX2
console character ascii
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.200.1/24
ipv6 lan2 address 2001:3::2/64
tunnel select 1
tunnel encapsulation ipip
tunnel endpoint address 2001:3::2 2001:3::1
ip tunnel mtu 1400
tunnel enable 1
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.200.2-192.168.200.191/24

    IPsecトンネル(IPv6) 3des

    #RTX1
console character ascii
ip route 192.168.200.0/24 gateway tunnel 1
ip lan1 address 192.168.100.1/24
ipv6 lan2 address 2001:3::1/64
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike pre-shared-key 1 text naisho
ipsec ike remote address 1 2001:3::2
ip tunnel mtu 1400
tunnel enable 1
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

#RTX2
console character ascii
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.200.1/24
ipv6 lan2 address 2001:3::2/64
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike pre-shared-key 1 text naisho
ipsec ike remote address 1 2001:3::1
ip tunnel mtu 1400
tunnel enable 1
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.200.2-192.168.200.191/24

    IPsecトンネルで3desをsha1に変更するとき

    tunnel select 1
 ipsec sa policy 1 1 esp aes-cbc sha-hmac

    以上です。

    コメント

    コメントを投稿

    このブログの人気の投稿

    OfficeのISOダウンロード直リンク

    -
    Outlookの動作検証用に、各バージョンのOfficeのISOインストーラが必要になりました。以下のMicrosoftサイトのリンクからISOファイルをダウンロードできます。 どれも試用版ではなくリテール製品版です。認証しないでインストールする場合は、5日間試用できるようでした。助かりました。   検証の結果ですが2016以降のバージョンだと、Outlookはどのバージョンのものをインストールしても、もちろんインストール直後のアップデート前の挙動は当然違うのですが、 しばらく放置してアップデートがかかると結局全部同じバージョンの最新版になることがわかりました。Office365のOutlookも同じです。いやほんとびっくりです。そういうものなんですね。 Office 2021 ProPlus https://officecdn.microsoft.com/db/492350f6-3a01-4f97-b9c0-c7c6ddf67d60/media/ja-jp/ProPlus2021Retail.img https://officecdn.microsoft.com/db/492350f6-3a01-4f97-b9c0-c7c6ddf67d60/media/en-us/ProPlus2021Retail.img Office 2019 ProPlus https://officecdn.microsoft.com/pr/492350f6-3a01-4f97-b9c0-c7c6ddf67d60/media/ja-jp/ProPlus2019Retail.img https://officecdn.microsoft.com/pr/492350f6-3a01-4f97-b9c0-c7c6ddf67d60/media/en-us/ProPlus2019Retail.img Office 2016 Pro https://officecdn.microsoft.com/db/492350F6-3A01-4F97-B9C0-C7C6DDF67D60/media/ja-jp/ProfessionalRetail.img https://officecdn.microsoft.com/db/492350F6-3A01-4F97-B9C0-C7C6DDF6
    続きを読む

    FortiGateシリーズ 40F/50E/60E/60F/80F/90E/100E/100F/200FのCPU

    -
    イメージ
    FortiGate使いやすくていいですね。でも機種選定するときメーカー公表のファイアウォールスループットだけでは、性能差がわかりにくいんですよね。サイジング難しい。 カタログ値だと50Eと60Eで同じだし。CPUとメモリはどうなってるの?と確認しようと思っても書いてない。。。。 というわけで実機にあたって調べてみたのがこれ。 機種 カタログ FWスループット ASIC CPU コア数 メモリ 40F 5Gbps SOC4 ARMv8 4コア 1918MB 50E 3Gbps なし ARMv7 2コア 2024MB 60E 3Gbps SOC3 ARMv7 4コア 1866MB 60F 10Gbps SOC4 ARMv8 8コア 1919MB 80F 10Gbps SOC4 ARMv8 8コア 3718MB 90E 4.0Gbps なし Atom C2338@1.74GHz 2コア 2010MB 100E 7.4Gbps SOC3 ARMv7 4コア 3039MB 100F 20Gbps SOC4 ARMv8 8コア 3616MB カタログ数値だけだと50Eも60Eも90Eも変わらなそうでしたがCPUが50Eは2コアなのが60Eは4コアに加えてASICも積んでるし! 90EのCPUはAtomの2コアでSOCなしってことはCPUパワーだけでゴリゴリするマッチョな機種。100Eは60Eと構成同じ。。。と興味深いです。世代が変わると60Fはいきなり8コア。100Eのスペック越えてきたけどホントかな。ルータやFWってカタログ値では劣る上位機種の方がやっぱりCPU性能が良くてトラブル発生時や高負荷に耐えられるとかままあるのでカタログ数値だけ鵜呑みにするのは危険だよね。高スループットは専用チップで負荷がオフロードされる時というのを忘れないようにします。 200FもXeonだ!!!D-1627 90Eまではランチボックス形状でファンレス。100Eからはラックマウントでファン付きです。100Eは結構ファン音しますからサーバ室に設置必須です。一方新しい100Fのファンはさすが静音化していて起動が完了するとファン音はほぼ聞こえなくなっています。これなら事務室にも置けますよ。90Eはあっとい
    続きを読む

    ネクストのIPv6網内折り返し通信で高速VPN

    -
    (2021/04/08 ネクストをとりまく状況も変わっていますので書き直しました)  ネクストでは半固定で割り当てられるIPv6アドレスの網内折り返し通信が可能です。西日本では「v6オプション」の申込みが必要だったのが2021年5月11日の新規開通分からはデフォルト有効になり申込みの必要も無くなります。東日本では以前からデフォルト有効。 IPv6アドレス半固定 というのが若干問題 ですが最近のRTXシリーズではFQDNで張れば大丈夫です。 別途ダイナミックDNSを登録してFQDNでVPN、、、という記事もありますが、NTT西日本のサイトをよく読むと「v6ネーム」はIPv6アドレスが変わっても追従すると書いています。うちでも、ひかり電話を契約したり解約したり、IPv6プロバイダーを契約したり解約したり別のプロバイダーからもらい直したりを繰り返しそのたびにIPv6アドレスが変わりましたが、ちゃんと追従してくれていました。安心して「v6ネーム」を使って大丈夫。 以下はいまさらデフォルトゲートウェイがPPPoE設定ですが、汎用性があるということでそのまま残しておきます。いまうちで実際に運用サポートしているユーザ企業は、IPoEプロバイダーと固定IPv4の契約をしてIPv6とIPv4のVPNを2重化する構成で自動切り替え設定もしていますがまたそれは別途。良ければ声をかけてください。 Luaスクリプトの動くヤマハでないとIPoE系プロバイダで固定IP使えないし、古いRTXはこの際一掃して現行モデルを使います。今買うならRTX830/RTX1210。RTX1200もいい機種でしたがEMFS(メモリファイルシステム)使えないからlua入れるのが面倒だしそろそろメインからは引退。 RTXの設定 対向拠点の設定は192.168.1を192.168.0に入れ替えるだけで同じ。ひかり電話なし契約IPv6はRAです。ひかり電話があってもホームゲートウェイのLANポートに接続するのでこの例で大丈夫です。テストではホームゲートウェイの型番が400シリーズ以降なら速度低下はないようです。ひかり電話オフィスは別途。 <IPv4LAN関係> ip route default gateway pp 1 ip lan1 address 192.168.1.1/24 ip route 19
    続きを読む