更換家用防火牆,從NS5GT升級到SSG5

Tech 0 Comments

更正:經過查閱資料和詢問各路英雄,我發現SRX110H的VPN性能低下是因為它默認使用了較高的mtu,當修改VPN鏈路的mtu為1350左右時,VPN吞吐可以得到極大提升,接近其標稱的數值。

但是SRX110H的體積實在是太大了,發熱量也很高,我還是決定繼續使用SSG5。——2020/03/08

最近糾結於觀看YouTube的速度,台灣大選完全沒有影響到中國網封天下的形勢,但這網絡總是時不時的卡一卡,我認真的想了想,可能是防火牆的VPN速度不夠,現在使用的防火牆是Juniper NS5GT,這是一款Netscreen被Juniper收購後,銷量極高的中小企業百兆防火牆,當年買它也是機緣巧合,我最早使用的企業級防火牆是思科的Pix501,它很好用,但是有一天,我多了一條鏈路,Pix501不支持雙線接入,我本來想繼續走思科的路線,但是挑選了許久,我實在是難以接受ASA5505非常醜陋的外形設計,反而發現了NS5GT,小巧而精緻,不但具備雙線接入能力,而且第一次讓我認識到session數量並不是防火牆的決定性標準,秒開session數量才是,可以毫不客氣的說,同樣參數標準下的防火牆,Netscreen一定是強於Cisco的。

NS5GT安靜的服務了五年多的時間,作為一款十幾年前的防火牆產品,真是典範啊,經過認真的考察和研究,我打算換上SRX110,等等,

我之前換過一款SRX100,花了我六百塊,但是沒折騰多久,它就掛掉了,時至今日,在研究了SRX110,查閱了大量文章後,我才明白為什麼,因為Juniper的新款SRX防火牆系列,使用的SRX系統和以前的設計不一樣,它不但繼承了FreeBSD的穩定性,也繼承了FreeBSD掉電壞磁盤的特性,我早前購買的SRX100正是在我無數次非正常斷電後掛掉的,我完全沒有想過,為什麼SRX系列防火牆要設計一個電源開關按鈕,現在我明白,正常關閉SRX系列防火牆,必須,必須,必須要正常關機,或者按一下電源按鈕,等待關機後再拔除電源,否則,可能出現板載flash損壞再也無法讀取的問題。

在更換了SRX110之後,觀看YouTube的情況似乎改善不多,它的參數標稱VPN流量可以達到65M,但是我覺得不像,於是我做了一個測試,在我家和最近的大陸服務器之間建立一條ipsec VPN鏈路,然後使用iperf3測速,結果是讓人十分震驚的,SRX110的VPN吞吐量達不到它的標稱值,反而是NS5GT超過了它的標稱值,難道是ScreenOS和JunOS的差異?折騰了一段時間,情況無法得到改善,SRX110的配置是不錯,除去VPN功能,它依然是一款不錯的企業級防火牆,但是,我需要的功能它不能滿足。

於是我更換了一台SSG5,它也是屬於Netscreen系列的產品,同樣是一款銷量極高的中小企業百兆防火牆,作為NS5GT的升級產品出現,觀察他們的參數,具有很明顯的設計性,在我測試完SSG5的ipsec VPN吞吐之後,我覺得,SRX的JunOS雖然語法非常優美,但是它的VPN就是渣,當然,這完全有可能是因為產品線的設計而故意讓它性能這麼低,但是,SRX是作為Netscreen系列的升級產品出現的,既然是升級,為什麼性能反而下降了呢?

一些數據如下,供參考,SRX210和SRX300只是列了一下標稱參數,

NS5GT:最大吞吐流量標稱70M,實測85M,VPN吞吐標稱20M,實測33M,普通版最大併發數2064,擴展版最大併發數4064

SSG5:最大吞吐流量標稱90M,實際沒測,VPN吞吐標稱40M,實測52M,普通版最大併發數8064,擴展版最大併發數16064

SRX110H:最大吞吐流量標稱200M(聚合端口),實際沒測,VPN吞吐標稱65M,實測42M,最大併發數32000

從防火牆可以容納的併發數量,可以很明顯的看出來Juniper在產品階梯設計上的習性,總之,經過測試,我決定使用SSG5作為家用防火牆,NS5GT退役,SRX110先閒置起來,也許是我沒有搞清楚人家的配置呢?

這次升級,防火牆最大併發數量從4064升級到16064,ipsec VPN吞吐從33M升級到52M,看YouTube果然要流暢多了……

Product Name: NetScreen-NS5GT
Serial Number: 0082024004008983, Control Number: 00000000
Hardware Version: 1010(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)
Software Version: 6.2.0r19.0, Type: Firewall+VPN
Compiled by build_master at: Fri Dec 11 02:35:32 PST 2015
Base Mac: 0010.cb88.5a62
File Name: screenos_image, Checksum: c1dac30a

Sessions: 4064 sessions
Capacity: unlimited number of users
NSRP: Lite
VPN tunnels: 25 tunnels
Vsys: None
Vrouters: 3 virtual routers
Zones: 8 zones
VLANs: 10 vlans

Product Name: SSG5-Serial
Serial Number: 0146074030008273, Control Number: 00000000
Hardware Version: 0710(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)
Flash Type: Samsung
Software Version: 6.3.0r26.0, Type: Firewall+VPN
Feature: AV-K
BOOT Loader Version: 1.3.3
Compiled by build_master at: Tue Jul 10 02:06:00 PDT 2018
Base Mac: 8072.2d1f.3a00
File Name: ssg5ssg20.6.3.0r26, Checksum: ea1ccba7
, Total Memory: 256MB

Sessions: 16064 sessions
Capacity: unlimited number of users
NSRP: ActiveActive
VPN tunnels: 40 tunnels
Vsys: None
Vrouters: 4 virtual routers
Zones: 10 zones
VLANs: 50 vlans