2020/10/19

骨董級Fortigate 60B防火牆dual WAN應用心得分享

從事網路維運工作已超過15個年頭,曾在公司內部擔任資料中心網路管理員,並偕同Intranet網域網路共數十顆路由器的維運工作,目睹完整的CORE-EDGE-ACCESS三層式佈局,並兼任資訊安全與防火牆管理人員,經歷過CodeRed與Nimda與對於公司內部伺服器的蹂躪以及網路的嚴重癱瘓,深切體認到資訊安全軟體是資訊基礎建設的基石樑柱。

維運期間共在三個不同的應用中採用了fortigate的產品,都屬於小型的應用,包含VPN Server、Office簡易防火牆,這次要分享的屬於較為少見的雙WAN路由應用。公司擁有大批從客戶端拿回來的骨董級Fortigate 60B防火牆,便拿了兩顆來使用,使之不會變成骨灰。



▲ 一般SOHO級的fireware,幾乎都是使用NAT或者transparent模式,針對來源PORT與IP做簡易的阻隔。Fortigate 60B擁有兩個WAN Port,除了連接兩個異質性網路外,Dual WAN也可拿來作為網路負載平衡使用。


▲ Fortigate 60B擁有兩個WAN Port,這次的系統必須同時存取兩個異質性網路,一端則提供同仁在辦公室內登入伺服器,一遍透過另一端對內部機台控制。其實更標準的作法是把伺服器放置在DMZ介面中,DB及工作站放置在INT介面內。但由於是輕度使用的系統,便使用docker技術將WEB與DB同時安裝在一台實體伺服器內,只好於DMZ與INT中擇一置放。


▲ 機體還有Intrustion Protection、Web Filter、AntiSpam等功能,由於訂閱已經過期,本應用也沒有VPN的需求,所以就讓Fortigate 60B的CPU專心擔任防火牆與路由的工作。



▲ 針對每一個IP設定易讀易懂的名稱,類似功能的IP更設定成一個群組或者範圍。



▲ 零零總總為Fortigate 60B設定詳細的防火牆,並針對每一個IP設定易讀易懂的名稱。



▲ 每個real ip都應對一個WAN1的外部IP與一個WAN2的外部IP。兩部相同功能的伺服器各占用Fortigate 60B在INT的一個介面。封包經由fortigate 60B的路由功能轉送到指定網路上。

結語:

小系統而以採精簡備置,障礙回復時間要求不高,容錯使用備料容錯,不採用高可用度設計可簡化維護流程與人力成本。


輕鬆駕馭10Gb網路 Zyxel XS 1930 12HP智慧網管型交換器

輕鬆駕馭10Gb網路 Zyxel XS 1930 12HP智慧網管型交換器

 

 

◆◆ 前言 ◆◆

 

在最新的電子情報493期中,第一個章節介紹的就是10Gbps網路,本文藉由Zyxel XS1930-12HP智慧網管型交換器與Zyxel XGN100C 10Gbps網路介面卡來實際演練10Gbps網路的佈署。

 

正確建置和維護10Gbps網路仍是企業網路與家用影音網路的重大課題,想要跑到10Gbps的速度要在每個環節都具備10Gbps的能力,硬體部分包含所有網路節點,Client/Server兩端的網路接口速度與處理器速度、Cat 6/6.a的線材,如果是NAS的話還要考量磁碟I/O能力,硬體部分包含OS與網路程式的效能,以上缺一不可。本文有關10Gbps 網路環境的基本介紹,以及配置測試,傳輸率測試,本文都可以幫助使用者作為建構10Gbps的網路環境及共享儲存平台的參考。

 

 

◆◆ 硬體開箱 ◆◆



▲ Zyxel XS1930-12HP 智慧網管型交換器外箱正面外觀。

打開Zyxel XS1930-12HP 智慧網管型交換器外箱後的包裝方式。


打開Zyxel XS1930-12HP 智慧網管型交換器內容物一覽,有交換器本體一台、說明書、電源線材、90度固定角鋼與腳墊。

 


上圖為Zyxel XS1930-12HP智慧網管型交換器前面板。

 

第一到八埠為RJ-45 PoE埠,可以透過網路線替遠端設備供電,特別適合運用在IPCamWiFi AP、交換器上的遠端供電。

 

▲ Zyxel首創五色LED燈,靠黃綠藍紫靛色燈號來顯示1000M/1Gbps/2.5Gbps/5Gbps/10Gbps的網路速度,讓審視網路速度時更迅速且直覺。左下還有 RESET可以回復出廠預設值,RESTORE按鈕可以一鍵回復客製化設定

 

側面的風口內有兩個風扇加強散熱。

 

另一側則設計成蜂巢狀散熱孔。本機使用高品質用料,採用最先進的硬體技術,企業等級的性能提供家用環境、中小企業與SOHO族一個穩定高效的網路基礎建設。

 

▲ Zyxel XS1930-12HP智慧網管型交換器支援IEEE802.3bz標準,利用Multi-Gigabit技術,採用一般規格的網路線就能提升原有的有線網路架構達5倍的頻寬[AF2] ,節省替換線材的費用。第一到八埠為RJ-45 PoE埠,九與十為一般RJ-45埠,速度皆可在100M/1Gbps/2.5Gbps/5Gbps/10Gbps自動切換。最後十一與十二兩埠為SFP+埠可以安裝電介面與光介面的mini-Gbic,支援1Gbps/10Gbps兩種速度。為了在主機端能夠以10Gbps的速度連接交換器,也特別帶了兩塊10Gbps NIC

 

第一塊NICZyxel電介面10Gbps網路卡,型號XGN100C


第二塊NICZyxel SFP+介面網路卡,型號XGN100F

▲ Zyxel電介面10Gbps網路卡XGN100C正面有黑色散熱片,印刷電路板前後都為藍色。除了長擋板也支援短擋板以便安裝於較小型的機箱。

 

▲ Zyxel電介面10Gbps網路卡XGN100C背面外觀,採PCI-E 3.0介面設計。

 

10Gbps 網路卡都需要 PCIe x4 介面插槽,並且給予合適數量通道才能發揮性能,Zyxel XGN100C 10Gbps網路卡也屬於PCIe x4 介面插槽,其他雙10Gbps Port的網路卡甚至用上PCIe x8介面插槽。

 

▲ ZyxelXGN100C屬於單一電介面的網路卡,在不到NTD $3000的親民售價下,讓10Gbps環境也能進入尋常百姓家。

 

▲ Zyxel XGN100F 10Gbps SFP+單埠有線網路卡。

 

以上硬體皆不附上Cat 6CAT6Amini-Gbit與雙工光纖線,光纖網路卡的光纖介面是焊在PCB上無法移除的,如果想在遠距傳輸上提供高速網路,也可以使用光纖介面,以上皆須由使用者視需要自行增購。

 

◆◆ Zyxel ONE Network◆◆

ZON的全名是Zyxel ONE Network Utility,在不知道Zyxel交換器管理IP的情況下,可以投過ZON來尋找,以便快速佈置新設備到公司網路,之後更可以管理以下功能:

• IP設定
• Renew IP
快速重啟裝置
回復出廠預設值
/關定位燈號
轉向管理網頁
更新韌體
修改管理者密碼
開啟ZAC管理AP工具
重找網路內的設備
備份ZON程式設定

連上Zyxel的官網來找到ZON的下載網頁:
http://www.zyxel.com/form/zon_utility_download.shtml
輸入個人資料後便會將URL寄到您信箱裡,或者直接到這個URL下載:
https://www.zyxel.com/zyxel-file/ZON_Utility.zip
下載與使用過程一切免費。

 


▲ 
下載安裝完成後,一啟動就會搜尋網段內的Zyxel設備,過不久就會顯示出 Zyxel XS1930-12HP智慧網管型交換器。按上方所要的工具按鈕就可以進行管理,記得要按下Apply & Save(套用與存檔),這樣重新啟動後才不會回復到之前儲存的設定值。

 

至於ZAC的下載方式也與ZON相同,在此只提供URL,不再做贅述。

https://www.zyxel.com/form/ZyXEL_AP_Configurator_Download.shtml
https://www.zyxel.com/zyxel-file/Zyxel_AP_Configurator.zip

 

 

◆◆ 設定精靈 ◆◆

▲Zyxel XS1930-12HP智慧網管型交換器支援Standalone設定模式與Nebula智慧雲管理模式,而且還可以自由切換,皆提供圖形化管理介面,並可以做到即時管理、零接觸部署、網路分析功能、歷史分析,而且兩種模式都是免費的。

 


▲ Nebula
智慧雲管理模式採用最新的NebulaFlex技術。

 


▲ Zyxel XS1930-12HP
智慧網管型交換器搭載了許多網管所需的功能,包含VLANQoSLAG(鏈路聚合),並且都能夠透過網頁介面來設定。

 

開機時的設定流程就有導引來協助設定LAG,只有點選並按Next便可以將複雜的LAG設定化繁為簡。

 

最後檢視IPSNMPLink Aggregation是否設定正確,按下Finish便完成的基礎設定。

 

▲ ZZyxel XS1930-12HP智慧網管型交換器也能防止廣播風暴,只要簡單選擇套用的網路埠即可。

 

▲ VLAN也可以簡單經由三個步驟便能完成設定Trunk Tagged port與最高達五組的VLAN member port

 


只要針對網路埠設定High/Medium/Low三個級別,便能完成QoS埠的指定,讓高優先等級的網路連結優先被處理。

 

 

◆◆ WEB進階管理 ◆◆

雖然設定精靈中可以完成最初步的簡易管理,但是要進行更詳細的進階設定,還是要登入管理介面。

 

掃描上方二維條碼可以安裝Nebula Mobile去註冊交換器以及開始體驗雲端管理的魅力,Nebula MobileiOSAndroid平台都可以運行。

 

Basic setting有設定精靈所沒有的設定項目,如NTPDNS等等。

 

Advanced Application有管理型交換器獨特的設定項目,如VLAN、頻寬控制、廣播封包控制、鏈路聚合、流量側錄等等,本機特色PoE也是由此來設定。

 

在最後一個選單Management中就是管理設定檔、記錄檔、韌體更新的維護與表格的查閱等等。

 

 

◆◆ 連線實測 ◆◆

▲ Zyxel XS1930-12HP智慧網管型交換器同時支援100M1Gbps2.5Gbps5Gbps10Gbps的網路速度,文中將實際演練10Gbps網路的佈署與實作。

 

▲ Zyxel XGN100C10GbpsNICWindows 10抓到的名稱是Aquantia AQtion 10Gbpsit Network Adapter,也同時確定在windows 10下可以抓到自動協商出10Gbps的速度。如果使用者有興趣在Windows中進一步調整10Gbps的連線速度,則可以參考Microsoft的網站說明頁面。

 

 ▲ 由於在使用過程中並沒有產生太大流量,故使用VC#.net編譯的一個小小UDP封包傳送測試程式,從近LAN端狂送出UDP封包,有TCP/IP基本知識的使用者都知道UDP是不會管serverdaemon存不存在的,結果UDP封包傳送測試程式在windows 10的環境之下,只能跑到1.1Gbps~1.2Gbps的速度。

 

若以administrator身分執行UDP封包傳送測試程式則可以跑到1.7Gbpswindows 10的這點設計倒是有點奇怪,預估四個連線便會把CPU的算力吃滿。網路上搜尋到禁用Windows防火牆、關閉各家防毒軟體、更改MTU大小與使用gpedit.msc去取消QoS20% 限制網路頻寬限制,實測過後都是不影響Windows 10的網路速度的,在此就不貼上測試畫面,QoS限制網路頻寬限制在預設更是沒有開啟的。

 

一個便當吃不飽,為甚麼不吃兩個呢?一個測試連線跑不飽10Gbps,為甚麼不多跑幾個呢?測試過程在開啟四個UDP封包傳送測試程式時可以達到5.6Gbps,由圖中可以看出漸增的速度梯度,由於CPU的使用率已經達到滿載,若欲看到更高的傳輸速度,必須使用更快的處理器或者採用其他較為複雜的測試方法。

 

 

◆◆ 心得與感想 ◆◆

台灣5G行動網路宣稱可以在1秒下載一部電影,開台讓各供應鏈賺的盆滿缽滿,投資人也樂得笑呵。但是使用10Gbps的智慧網管型交換器就能辦到1秒下載一部電影。 

Zyxel XS1930-12HP智慧網管型交換器每一個Multi-Gig埠都支援100M/1Gbps/2.5Gbps/5Gbps/10Gbps五段速度,可以順應各種網路環境。不僅僅是企業級網路,現在10Gbps的交換器與網路卡的價格也非常的親民,已經可以進入尋常百姓家。內建10Gbps的家用NAS也問世了相當久的時間,這一兩年發展起的WiFi 6,比起前幾代更有速度上的飛進,需2.5Gbps以上的有線網路介面才有辦法收納無線頻寬,這時候若有XS1930-12HP簡直神助攻!直接給你2.5Gbps的網路埠,不用擔心被降速,才能體現WiFi 6效能。 

即使在Gigabit Ethernet環境下,利用管理型交換器的Link Aggregation功能,仍可替伺服器提升頻寬與可用度,也可以善用WiFi 6以後提供的超大頻寬,不過以Link Aggregation實作的前提是無線路由器也要支援 Link Aggregation,雖然大部分的Linux Kernel 都支援Link Aggregation,不過挑選一台管理介面原生支援的無線路由器還是比較方便。 

Zyxel XS1930-12HP智慧網管型交換器支援IEEE 802.3btPoE++標準,透過PoE埠可以為高階的WiFi 6無線網路基地台提供電力(最高60W的電量),讓電力線的佈建更為簡潔與單純。 

10Gbps這次測試Zyxel的設備,由於受限於硬體性能與實行方式的關係,最高只能測到5.6 Gbps,但以XS1930的性能來說,若改採更高效能的電腦或是10Gbps 專用NAS,要達成接近10Gbps的網速,相信應該不是難事。

Zyxel XS1930-12HP智慧網管型交換器與Zyxel XGN100C/XGN100F(SFP+) 10Gbps網路介面卡可以提供10Gbps的網路環境,10Gbps的理論速度比原有的Gigabit10倍,得以輕鬆駕馭處理大頻寬與多工的傳輸需求,例如:8K的影音串流、大型檔案的傳輸與低延遲的遊戲。不再高不可攀的售價讓家用、SOHO或是中小企業都得以應用自如。加上各種網路應用越來越多元,頻寬需求只會更多不會少,早日投資Multi-gigabit交換器,為網路升級做好準備。


2020/10/9

amd-yes-zen3-發表會

蘇媽Lisa在2020年10月9號發表Zen3架構中央處理器,聽不懂英文沒關係,裏頭幹話一大堆,

蘇媽第一個session裏頭根本就在傳教,我們看看結論。

▲ ZEN到ZEN都有持續的眼鏡,但是進步有牙膏化的情況。每兩個世代用同一個nm製程也跟INTEL早年的策略關係。

▲ 大家最關心的上市時程與價格,Zen 3 11/5 號上市。
Ryzen 9 5950X 16C32T 美金定價 $799 元。
Ryzen 9 5900X 12C24T 美金定價 $549。
Ryzen 7 5800X 8C16T 美金定價 $449。
Ryzen 5 5600X 6C12T 美金定價 $299。


▲ 跟INTEL 比,5950X在Rendering部分比10900K有59%的提速效果。

▲ 跟INTEL 比也跟自家人比,5950X在CAD方面有27%的提速,所以不是在CAD領域的話,5950X相對於3950X只是牙膏式的升級,結論就是AMD處理器大概兩三個世代升級一次就已經很充足了。

▲ Zen2那邊說的是CPU CORE每四個共用一套16MB的L3 CACHE。ZEN3架構圖老實說我看不太懂,看似是兩個CPU CORE共用一套CACHE,至於中間部分是甚麼完全沒想法。ZEN3有三個成長,兩倍的L3快取直接存取性,大概就是我說的四個CPU CORE存取一套CACHE變成兩個存取一套。針對遊戲加速核心與快取的通訊。有效減少記憶體延遲。看來這次的升級主要在記憶體存取階層上的強化,跟3100與3300X的差異有異曲同工之意。

▲ 跟3900X差異不大,果然是牙膏式升級。

▲ 截圖沒貼好,沒關係反正比較高分的當然是AMD。

▲ 然後拿Ryzen 9 5900X 處理器出來網內互打3900XT,比上代遊戲效能平均 26% 提升。

▲ Cinebench R20 單核心 631 cb 輕鬆贏過 i9-10900K的544。

結論來了,ZEN3相對於10代Core i競品,遊戲效能贏、單核效能贏、多核效能本來就贏。相對於ZEN3除了CAD與Render等領域,屬於牙膏式的升級,結論就是AMD處理器大概兩三個世代升級一次就已經很充足了,對於想要買新PC的玩家,要選ZEN3還是出清ZEN2,要看到時候市場零售價與搭配方案決定,依據過往經驗,新品有價格加成,所以應該是買出清的ZEN2比較划算,然後還是要喊一下AMD真香。



小霸王支援AMD Fluid Motion補幀技術!測試是用Potplayer播放器搭配Bluesky Frame Rate Converter濾鏡,不管是1080p、4K影片通通從24幀成功補上60幀。