RTX1210のNATスループット(Firewallありのケース)
YAMAHA RTX1210のNATのスループットをFirewall(フィルタ)ありのケースで測定してみました。
計測環境
CentOS7 Aをクライアント、CentOS7 Bをサーバーにし、iperf3を実行しスループットの測定を行います。RTX1210のファームウェアはRev.14.01.33です。
計測結果
CentOS7 Aでのiperf3の実行結果が以下となります。-Mオプションを使ってMSSを変えてテストを行っています。消費電力はTAP-TST10での目測値で無負荷時は6.6Wとなります。後で掲載のconfigにあるように最低限のフィルタのみ設定しております。
receiver | sender | |||||
MSS | Mbps | CPU | 消費電力 | Mbps | CPU | 消費電力 |
1460(指定なし) | 942 | 81% | 6.9W | 942 | 83% | 6.9W |
1200 | 929 | 89% | 6.9W | 929 | 89% | 6.9W |
800 | 897 | 100% | 6.9W | 897 | 100% | 7.0W |
400 | 811 | 100% | 7.2W | 812 | 99% | 7.2W |
receiverの結果はCentOS7 Aから見てダウンロード方向、senderの結果はCentOS7 Aから見てアップロード方向の計測結果となります。単純routingの結果でも942Mbps、CPU負荷80%だったので、本検証環境ではNATやシンプルなフィルタによるスループットや負荷への影響はないことがわかりました。
RTX1210のConfig
フィルタには、クライアントがインターネット接続できるための最低限のフィルタのみ設定しました。外からの通信は中からの通信の戻り以外拒否、中からの通信は全部許可にしています。
ip route default gateway dhcp lan2
ip lan1 address 192.168.100.1/24
ip lan2 address dhcp
ip lan2 secure filter in 1000 2000
ip lan2 secure filter out 3000 dynamic 100 101
ip lan2 nat descriptor 1
ip filter 1000 pass * 192.168.100.0/24 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * tcp
ip filter dynamic 101 * * udp
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
YAMAHAルーターの場合、icmpにはdynamic filterの機能がないので、ちょっと気持ち悪いですが、lan2のin方向に静的にicmpを許可する設定を入れています。何故dynamic filterにはicmpがないんでしょうか・・・。