前回思わずFireWall三番勝負と銘打ってしまった手前、三台は紹介しなくちゃいけなくなってしまった上に微妙にシリーズ化しつつあると思われるこの企画(もう次はないよ!)。
さて副将編となる今回のお相手はコチラ!
Watchguard社のFireWallアプライアンス、Firebox1000。
フロントパネル真ん中にドンと構える特徴的なステータスインジケーターもさることながら、Watchguard社のコーポレートカラーとも言えるな真っ赤なボディが目立つ目立つ。
ガンダム知らない私でも思わず「シャア専用FireWall」だの「3倍速い」だの言いたくなるヤツです。言わんけど。
さてこの製品自体は以前紹介したFireboxIIの後継機種でありパワーアップ版となります。
したがって基本的な機能や使い方にはたいした違いはありません。
設定については両者共に専用の設定ソフトを使ってプチプチと設定していくので、設定方法は殆どまるっぽ同じです。
そして設定ソフトがないと何もできない点についても両者とも同じなので、中古で入手する際には設定ソフトが付いているかどうかを十分確認しましょう。
だいたいヤフオクで叩き売られているものは、設定ソフト無し本体のみジャンク扱いってやつです。
この設定ソフト、設定だけではなく現在のステータスを確認するのにも使います。
このようにリアルタイムにトラフィックの状況を観察できるのは大変面白いですな。
なおこの製品の登場時期は2001年7月。今から約6年前ですが、2007年5月現在においてもまだWatchGuard社のサイトに製品情報が掲載されています。
もしかしてまだ現行機種?
だとすると、随分と息の長い製品ですね。
後述しますが、スループットに関しては中小規模サイトの使用には現在でも十分な値を出していますので、この程度で十分だよってお客様向けの需要があるのでしょうか。
ちなみに2001年時点での販売価格は約80万円でした。
こちらも先のSonicWALL PROと同様、設定自体はとっても簡単....ではありませんでした!
一見簡単そうに見えるものの、用途や環境によっては思わぬ所にトラップが潜んでいたりするので、設定ソフトをあっちこっち弄りながら試行錯誤で設定をしていく必要がある、かも、です。
初期導入時などのように、販売代理店の手厚いサポートが受けられるのであればいいのですが、私のように中古で入手すると頼りになるのはサイトに置いてあるマニュアルのみという状態。
このような場合は、マニュアルを熟読してコトに当たるのが王道なのです...が!このマニュアルがどーもイマイチ!
書いてないことが多いのと、超重要なことがヒッソリとさりげなく書かれているので「なんでできないんだー?」と悩む悩む。
Watchguard社のサイトには正規登録ユーザ向けのフォーラムサイトがあるのですが、そこを検索するのが実は一番の近道だったりします。なのでコイツを自力で本格的に使いこなすには、ネットワークの知識に加え英語力は必須です。
(そのせいかWatchguard社の登録ユーザ向けサイトにあるknowhowやkbが妙に充実してて笑える)。
設定に妙に苦労するせいか、いざ設定できてしまったときにはSonicWALLには無い達成感が味わえます(笑)
そのためか、何故か私はFireboxが好きになってしまいました(笑)
さて設定についてはこのへんで、いよいよお待ちかねの分解タイムです。
ケース自体はネジ外せば簡単に開けることができます。
FireboxIIに比べると、基板面積が随分と小さいですね。
技術の進歩は素晴らしい。
トップビュー。
基板に占めるCPUの割合が大きいことからも、基板面積の小ささが分かると思います。
ノートパソコンのメイン基板ぐらいの大きさ?
CPU自体は事前調査でK6-2Eの300MHzだということが判明していますので、Socket7ですね。
相変わらずの、デカくてうるさいファンは健在です。
CPUのヒートシンクにはファンが付いてないんで、静穏化するにはCPUのヒートシンクにファンを付け、既存のサイドファンを静音タイプに交換し、必要であればファンを増設してあげれば随分と静かになると思います。
それぐらいこのサイドファンはウルサイです。ちょっと一般ご家庭に設置するにはためらわれる勢いです。
LANチップ周辺。
SonicWALLと同様、MX社のMX98715AEC-Dが乗っています。
まあ無難な選択肢かと。
それよりも注目すべきは、その隣に控えているhifn社の7951。
これ、暗号処理アクセラレータチップです。
Linuxをはじめ、FreeBSDやNetBSD等でもサポートされているので、一目見て「おお」と思った方も多いのでは。
WatchGuard社のFirebox1000製品紹介サイトによると、コイツのおかげでVPNスループットは60Mbpsを叩き出すそうです。
これがあるのと無いのとでは大違いで、Firebox1000の1個下のモデル、Firebox700は、このアクセラレータチップが乗っていないせいか、VPNスループットはたったの5Mbps。
Firebx700は1000と比べるとCPUが少し遅い(K6-2-233MHz)んですが、それにしたって60Mbpsと5Mbpsでは差が開きすぎでしょう。
全てCPUで処理させるか、それとも負荷のかかる暗号化処理を専用チップにお任せするかでこれだけ差が出るものなんですね。
恐れ入りました。
チップセット周辺。
AliのAlladin Vですね。M1542とM1543Cです。
懐かしいなあ...ASUSのP5A-Bに乗ってたやつと同じです。
ってのを見ると、ますますコイツはパソコンじゃねえかよと思います。
手前にはメモリスロットがありますが、FireboxIIでは普通のDIMMスロットだったものが、こいつはノートパソコン用のS.O.DIMMスロットになっていました。
標準ではPC100な64MBのメモリが乗っていますので、手持ちで余ってる128MBなメモリがあればメモリ増量してみるのも良いでしょう。
なお余談ですが、Firebox1000の上位機種にFirebox2500と4500ってのがあるんですが、1000との違いは乗ってるCPUと搭載メモリの違いぐらいのようです。
2500と4500がK6-3の500MHz、メモリは2500が128MB、4500が256MB。
なので、ヤフオク等でパーツを揃えればお手軽に上位機種に改造してしまうことができるっぽいですよ?
M1542の隣には、これまたあからさまにIDEコネクタと思われるコネクタがあります。
44ピンタイプなので、ノートパソコン用のHDDケーブルを繋げれば、更なるハックが可能になる可能性を秘めています。
その他にもいくつか楽しげなコネクタが並んでいますね!
そこでキーボード・マウスを接続してイロイロと遊んでみるべく、その辺のピンをテスターで当たってみては怪しい端子にキーボードを接続してみたりしたのですが、残念ながら発見には至りませんでした。
探し方が悪かったのかも知れませんが、あんまり弄って壊してしまっては元も子もないので潔く諦めます(1時間ちょい粘ったんだけどなぁ。。)
さて前回のハックでもお馴染みな通り、コイツにもCPUの倍率変更ジャンパがありました。
デフォルトではこのジャンパ位置になっており、FSB100MHz × 3 = 300MHzの設定です。
これは後々じっくり攻めてみることにしましょう。
順番が前後しましたが、PCIスロットにビデオカードを刺すことで、FireboxII同様に起動時の画面を拝むことができます。
この機種の場合はPCIブラケット用の穴も空いているので、常時ビデオカードなり何なりを装着していても構わないようになっています。
オンボードと同じチップを搭載したLANカードが手元にあれば、ここにLANカードを刺してみて、LANの口が増えるかどうか確認してみたかったのですが、残念ながら今回は未検証です。誰かトライしてみてください。
そうそう、こいつには謎のコネクタが存在します。
謎つっても、見慣れたコネクタですが...
LANコネクタの右隣にあるもの、何だと思います?
見慣れたコネクタじゃありませんか?
そう、USBコネクタです。
もしかするとここにUSBキーボードを接続すれば!と思い、早速接続してみました。
が、残念ながら結果は空振り。
うーん、残念...そうそう簡単にはいかないモンっすねぇ。
ハードウェアハッカーへの道は遠く険しいです。はい。
このままでは開腹した意味がないので、確実なところで、お馴染みのクロックアップを試してみましょう。
こいつはK6-2E-300MHzが乗っているので、倍率変更ジャンパをいじればある程度まではサックリとクロックアップが可能になります。
まずは標準状態がこれ。
向かって右からJP10、JP11、JP12とシルク印刷がしてありますのでそれに従って
JP10 ×(オープン)
JP11 ×(オープン)
JP12 ○(クローズ)
と表してみます。
K6-2シリーズの倍率変更はデータシートによるとBF0、BF1、BF2の3つのジャンパ設定で行えるので、それと現在のジャンパ位置を見比べると、
JP10=BF2
JP11=BF0
JP12=BF1
という仮説が成り立ちます。
この仮説に基づき、早速倍率変更を行ってみましょう。
まずは下から。
2.5倍の設定は BF0=○、BF1=○、BF2=×なので、
こうですね。
起動させてみます。
OK!ビンゴ!
ちょっと10MHzほど上前ハネられますが、まあいいでしょう。
それでは上を目指して、次は3.5倍設定。
お、OKOK。
まだまだいけるかな?
(ちなみにKeyborad errorやSystem Configuration Data Write Errorはいつも出てくるのでここでは気にしない)
次は調子に乗って4倍設定。
おー、いけるねー。
では今度はどうだ4.5倍設定。
うむっ、この子はなかなか頑張るなー。
と、思ったら...
起動途中でエラー吐いて落ちました。
さすがに300MHzの450MHz駆動(1.5倍オーバークロック)は無理だったようです。
試しに500MHz駆動を試みてみましたが、BIOS画面すら拝むことはできませんでした。
まあ安定性重視のFireWallをクロックアップして使おうなんてイカレたヤツは居ないと思いますが、それでも原因不明のエラーにもめげず敢えてトライしてみようという方、俺の機材は改造版のスペシャル仕様だぜという中2病患者、あるいはK6-2の400MHzなり500MHzなりを入手して差し替えて使おうという方、あるいは低消費電力化を図るためにダウンクロックして使おうという方の参考になればと思います(いねーよそんなヤツ...)。
最後にnetperfによるベンチマーク結果を紹介して終わりにします。
SonicWALLの時と同様、WAN側に設置されたnetperfサーバに対してnat経由で接続した時の結果です。
D:\>netperf -H 162.168.251.42
TCP STREAM TEST to 162.168.251.42
Recv Send Send
Socket Socket Message Elapsed
Size Size Size Time Throughput
bytes bytes bytes secs. 10^6bits/sec
57344 8192 8192 10.00 80.50
D:\>netperf -H 192.168.251.42
TCP STREAM TEST to 192.168.251.42
Recv Send Send
Socket Socket Message Elapsed
Size Size Size Time Throughput
bytes bytes bytes secs. 10^6bits/sec
57344 8192 8192 10.00 80.36
送信側:WindowsXP SP2 PentiumIII-866MHz-M +オンボード蟹100M(RealTek RTL8139)
受信側:FreeBSD4.11 Celeron1.4GHz+Intel i82559ER
約80.5Mb/secと、Bフレッツクラスの回線でも十分に対応できる程度の速度を叩きだしてくれました。
確かに特に凝ったことをしなければ、このクラスの製品で十分かもしれませんね。
(蛇足ながらWatchguard社のサイトによると、Firebox1000のFirewallスループットは200Mbpsらしいです。100Mイーサしか無いんだけど...)
また、せっかくクロックアップを試したので、その際のスループットと、Fireboxを経由しない状態でのスループットを計ってみました(このnetperfクライアントとサーバの組み合わせでの純粋なパフォーマンス上限値を知るため)
CPU速度 | 計測1回目 | 計測2回目 | 計測3回目 | 平均値 |
250MHz | 79.36Mbps | 79.72Mbps | 79.48Mbps | 79.52Mbps |
300MHz(オリジナル) | 80.50Mbps | 80.36Mbps | 80.43Mbps | 80.43Mbps |
350MHz | 80.56Mbps | 81.04Mbps | 80.69Mbps | 80.76Mbps |
400MHz | 80.21Mbps | 80.47Mbps | 80.15Mbps | 80.27Mbps |
直結(参考) | 84.08Mbps | 84.19Mbps | 85.02Mbps | 84.43Mbps |
クロック周波数に応じた、それなりにリニアな結果が出るかと思いましたがそうではありませんでした。
興味深いのは、400MHzにクロックアップした際のスループットが落ちている点。
オリジナルの300MHz駆動にも負けています。
一応起動はしているものの、やはり無理して駆動させている為に内部的にエラーが出ているせいでしょうか?
このことから、CPUクロックが上がったからといってスループットにはそれほど影響を与えないということ、また、
オリジナルの300MHz駆動の状態で動かすのがトータルで考えるとベストな選択だと言うことが分かりました。
まあ当然と言えば当然ですけどね。
この製品には、追加ライセンスを投入することでメールのスパムチェックやウイルスチェックをしてくれる機能があるので、
高クロックなCPUを何処かからか調達してきて載せ替えて動かす(もちろん定格クロックでね)ような場合には、そっち方面での性能向上が期待できると思います。
ひとまずこれでレポートは終わりですが、個人的にはこの製品はとても気に入っています。
設定に苦労したってのもあるんですが(ストックフォルム症候群?)、IPSEC-VPNだけではなくPPTPによるVPN接続もサポートしているので、Windowsマシンから接続させる分には特別なクライアントソフトを必要としないってのもいいですね。
引き続き弄り倒してみようと思います。
/\___/\
/ ⌒ ⌒ ::: \
| (●), 、(●)、 | / ̄ ̄ ̄ ̄ ̄
| ,,ノ(、_, )ヽ、,, | < もう1台買っちゃおうかな
| ト‐=‐ァ' .::::| \_____
\ `ニニ´ .:::/
/`ー‐--‐‐―´´\
|
___ o
( ;;;;;_;;;;; )/'''
丶.-'~;;;;;;;;;;;;;;~'-、
/~;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;,ヽ、
,;';;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;ヽ、
./;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;ヘ
l;;;;;;;;;' ..ノ(..~''''''''''~ ノ( ';;;;;;;;l
.l;;;;;;;;;; :::.⌒ ⌒ ;;;;;;;l
l;;;;;;;;;;' ,/\,,_ _,,/ヽ,, .;;;;;;l
k;;;;;;;' ''=) i (='', ;;;;;l
ヘ ヽ;; (●),,;::)~~f';;(●)、::;; ノ
∧.;:'" ̄´,,ノ(、_, )ヽ ̄`:;;;;l
/ キ :::/ ,==' '==、ヽ.::::::/ヽ、
./ ヽ 、::/┼┼┼ヽ / ヽ
/ ヽヽ`======'/ |
`\\//
|
/\___/ヽ
ヽ/'''''' '''''':::::\ノ
( ;:;:;:;:;:;:;ノ 、( ;:;:;:;)
| )、_, )ヽ、,,.::::| やめとく
(;:;:;:;;;:; `-=ニ=- ' .:::::)
\ ニニ´|||::/
/`ー‐--‐‐―´´\
|
|