更正:經過查閱資料和詢問各路英雄,我發現SRX110H的VPN性能低下是因為它默認使用了較高的mtu,當修改VPN鏈路的mtu為1350左右時,VPN吞吐可以得到極大提升,接近其標稱的數值。
但是SRX110H的體積實在是太大了,發熱量也很高 ,我還是決定繼續使用SSG5。——2020/03/08
最近糾結於觀看YouTube的速度,台灣大選完全沒有影響到中國網封天下的形勢,但這網絡總是時不時的卡一卡,我認真的想了想,可能是防火牆的VPN速度不夠,現在使用的防火牆是Juniper NS5GT,這是一款Netscreen被Juniper收購後,銷量極高的中小企業百兆防火牆,當年買它也是機緣巧合,我最早使用的企業級防火牆是思科的Pix501,它很好用,但是有一天,我多了一條鏈路,Pix501不支持雙線接入,我本來想繼續走思科的路線,但是挑選了許久,我實在是難以接受ASA5505非常醜陋的外形設計,反而發現了NS5GT,小巧而精緻,不但具備雙線接入能力,而且第一次讓我認識到session數量並不是防火牆的決定性標準,秒開session數量才是,可以毫不客氣的說,同樣參數標準下的防火牆,Netscreen一定是強於Cisco的。
NS5GT安靜的服務了五年多的時間,作為一款十幾年前的防火牆產品,真是典範啊,經過認真的考察和研究,我打算換上SRX110,等等,
我之前換過一款SRX100,花了我六百塊,但是沒折騰多久,它就掛掉了,時至今日,在研究了SRX110,查閱了大量文章後,我才明白為什麼,因為Juniper的新款SRX防火牆系列,使用的SRX系統和以前的設計不一樣,它不但繼承了FreeBSD的穩定性,也繼承了FreeBSD掉電壞磁盤的特性,我早前購買的SRX100正是在我無數次非正常斷電後掛掉的,我完全沒有想過,為什麼SRX系列防火牆要設計一個電源開關按鈕,現在我明白,正常關閉SRX系列防火牆,必須,必須,必須要正常關機,或者按一下電源按鈕,等待關機後再拔除電源,否則,可能出現板載flash損壞再也無法讀取的問題。
在更換了SRX110之後,觀看YouTube的情況似乎改善不多,它的參數標稱VPN流量可以達到65M,但是我覺得不像,於是我做了一個測試,在我家和最近的大陸服務器之間建立一條ipsec VPN鏈路,然後使用iperf3測速,結果是讓人十分震驚的,SRX110的VPN吞吐量達不到它的標稱值,反而是NS5GT超過了它的標稱值,難道是ScreenOS和JunOS的差異?折騰了一段時間,情況無法得到改善,SRX110的配置是不錯,除去VPN功能,它依然是一款不錯的企業級防火牆,但是,我需要的功能它不能滿足。
於是我更換了一台SSG5,它也是屬於Netscreen系列的產品,同樣是一款銷量極高的中小企業百兆防火牆,作為NS5GT的升級產品出現,觀察他們的參數,具有很明顯的設計性,在我測試完SSG5的ipsec VPN吞吐之後,我覺得,SRX的JunOS雖然語法非常優美,但是它的VPN就是渣,當然,這完全有可能是因為產品線的設計而故意讓它性能這麼低,但是,SRX是作為Netscreen系列的升級產品出現的,既然是升級,為什麼性能反而下降了呢?
一些數據如下,供參考,SRX210和SRX300只是列了一下標稱參數,
NS5GT:最大吞吐流量標稱70M,實測85M,VPN吞吐標稱20M,實測33M,普通版最大併發數2064,擴展版最大併發數4064
SSG5:最大吞吐流量標稱90M,實際沒測,VPN吞吐標稱40M,實測52M,普通版最大併發數8064,擴展版最大併發數16064
SRX110H:最大吞吐流量標稱200M(聚合端口),實際沒測,VPN吞吐標稱65M,實測42M,最大併發數32000
從防火牆可以容納的併發數量,可以很明顯的看出來Juniper在產品階梯設計上的習性,總之,經過測試,我決定使用SSG5作為家用防火牆,NS5GT退役,SRX110先閒置起來,也許是我沒有搞清楚人家的配置呢?
這次升級,防火牆最大併發數量從4064升級到16064,ipsec VPN吞吐從33M升級到52M,看YouTube果然要流暢多了……
Product Name: NetScreen-NS5GT
Sessions: 4064 sessions
Product Name: SSG5-Serial
Sessions: 16064 sessions
