外部記憶装置

脳みそ小さすぎるからメモしとく

R86S レビュー(pfSense 編 その3 IPSec VPN)

R86S

R86S レビューシリーズ

前回までのあらすじと今回の内容

前回、Firewall と NAT について速度計測を行った。 今回は、pfSense に付属している IPSec VPN サーバーを試してみる。

IPSec VPN

IPSec は、VPNに用いられるプロトコルであり、トンネリング及び認証・暗号化を提供するプロトコルである。

pfSense での設定

公式に Site-to-Site な IPSec VPN の設定手順が掲載されているため、これに従って設定する。

docs.netgate.com

想定するネットワーク

前回までのネットワークを利用する。192.168.14.128/25 を IPSec で接続するLANとし、 WAN 側のIPアドレスとして、R86S は 192.168.14.1/25、IPSec で接続する負荷生成マシンのWAN側を 192.168.14.2/25 とする。負荷生成マシンの LAN のアドレスは 192.168.15.1/24 とする。

下準備

前回、NATの設定をしていたが今回は利用しないため、設定を初期状態に戻しておく。

Phase 1 の設定

初期状態では何も設定されていないため、"Add P1" から設定を追加する。

Remote Gateway にトンネルの対向である負荷生成マシンのWAN側IPアドレス(192.168.14.2)を指定する。 AESについては、"256bits"を指定するようにマニュアルに記載されているため、その通りに指定する。Pre-Shared Key については "Generate new Pre-Shared Key" から自動で生成することが出来る。

Phase 2 の設定

Phase 2 の設定を行う。追加した Phase 1 の設定から、"Add P2" を選択する。

"Local Network" は IPSec で接続するローカル側のネットワークを指定する。 ここでは、OPT1 のサブネットを接続するため、"OPT1 subnet" を選択している。 "Remote Network" では、負荷生成マシン側のLANアドレス(192.168.15.0/24)を指定する。

"Encryption Algorithms" は、マニュアルの指示に従い、"AES256-GCM" を key length "128bits" のみ指定する。

設定内容を変更するために、"Apply Changes" を選択する。

Firewall の設定

IPSec 用の Firewall を設定しておく。ここでは、IPSec で接続するネットワークについて、双方向に通信を許可する設定をしている。

Ubuntu での IPSec 設定(strongswan)

strongswan を用いて IPSec 接続を行う。IPv4フォワーディングを許可する設定を行っておく。

$ sudo vim /etc/sysctl.conf
net.ipv4.ip_forward=1 (コメントアウトを外す)
$ sudo sysctl -p /etc/sysctl.conf
net.ipv4.ip_forward = 1

IPSec の接続情報を追加する。left が自身、right が接続先である。

$ sudo apt install strongswan
$ sudo vim /etc/ipsec.conf
conn pfsense-ipsec
        type=tunnel
        keyexchange=ikev2
        left=192.168.14.2
        leftsubnet=192.168.15.0/24
        leftid=192.168.14.2
        leftauth=psk
        right=192.168.14.1
        rightsubnet=192.168.14.128/25
        rightid=192.168.14.1
        rightauth=psk
        ike=aes256-sha256-modp2048
        esp=aes256gcm16-modp2048
        ikelifetime=31680s
        lifetime=31680s
        auto=start
$ sudo vim /etc/ipsec.secrets
192.168.14.2 192.168.14.1 : PSK "a3ee7ee313ef23bdb3bc4578ede0d618ea549626bab6109d48c72b54"
$ sudo ipsec restart
$ sudo ip a add 192.168.15.1/32 dev lo

接続の確認

設定が正常に反映されていれば、pfSense 側では以下のような表示になる。

Ubuntu 側でも以下のように接続が確立していることを確認できる。

$ sudo ipsec status
Security Associations (1 up, 0 connecting):
pfsense-ipsec[1]: ESTABLISHED 5 minutes ago, 192.168.14.2[192.168.14.2]...192.168.14.1[192.168.14.1]
pfsense-ipsec{1}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: ca1fb313_i c4bacbd3_o
pfsense-ipsec{1}:   192.168.15.0/24 === 192.168.14.128/25

XFRM に、対応するポリシが追加されていることも確認できる。

$ sudo ip xfrm policy
src 192.168.15.0/24 dst 192.168.14.128/25
        dir out priority 374911
        tmpl src 192.168.14.2 dst 192.168.14.1
                proto esp spi 0xc4bacbd3 reqid 1 mode tunnel
src 192.168.14.128/25 dst 192.168.15.0/24
        dir fwd priority 374911
        tmpl src 192.168.14.1 dst 192.168.14.2
                proto esp reqid 1 mode tunnel
src 192.168.14.128/25 dst 192.168.15.0/24
        dir in priority 374911
        tmpl src 192.168.14.1 dst 192.168.14.2
                proto esp reqid 1 mode tunnel
...

iperf3 での速度計測

iperf3 を用いて IPSec を通したマシン間の通信スループットを計測した。

負荷生成マシンへの経路の追加

負荷生成マシン(192.168.14.130/25)へ IPSec を通す経路を追加しておく。

$ sudo ip route add 192.168.15.0/24 via 192.168.14.129

IPSec で接続されたマシン(192.168.15.1)への疎通が取れることを確認する。

$ ping 192.168.15.1
PING 192.168.15.1 (192.168.15.1) 56(84) bytes of data.
64 bytes from 192.168.15.1: icmp_seq=1 ttl=63 time=0.822 ms
64 bytes from 192.168.15.1: icmp_seq=2 ttl=63 time=0.924 ms
64 bytes from 192.168.15.1: icmp_seq=3 ttl=63 time=0.765 ms

計測結果(AES-NI なし)

デフォルト設定では、Intel CPU の AES 演算支援機構である AES-NI が無効化されている。 まず、その状態で計測を行った。

双方向同時に計測し、最大で 170 Mbps 前後であった。 前回の NAT での計測に比べてかなり速度が低下していることが分かる。

CPU 使用率については、NAT時と同様に1コアを使い切っている。

計測結果(AES-NI あり)

"System" -> "Advanced" -> "Miscellaneous" -> "Cryptographic & Thermal Hardware" から AES-NI を有効化する。ここでは、 "AES-NI and BSD Crypto Device (aesni, cryptodev)" を選択した。

AES と SHA についてハードウェアアクセラレーションが有効になっていることが分かる。

計測した結果、双方向合計で最大 2.3 Gbps 程度は出ていることが分かる。 forward と reverse で偏りがあるが、個別に計測した場合はどちらも 2Gbps 程度は出ていたため、なにかしらの影響によりこのような結果となっていると考えられる。

CPU使用率は AES-NI が無効な場合と比べて若干減少し、内訳も割り込み("interrupt")が中心となった。

まとめ

pfSense の IPSec サーバー機能を試してみた。 性能計測の結果より、MTU1500 な環境ではスループットは1Gbpsにも届いていない。 そのため、10Gbps な環境におけるトンネリング用デバイスとして利用するには厳しいが、 一般家庭の10G回線用に利用する分には十分に思う。

参考文献

R86S レビュー(pfSense 編 その2 Firewall, NAT)

R86S

R86S レビューシリーズ

前回までのあらすじと今回の内容

R86S に pfSense をインストールし、初期設定まで完了した。 10G インタフェースである Mellanox ConnectX-3 についても、正常に認識されることを確認した。

今回は、pfSense の Firewall と NAT について、その性能を計測する。

想定するネットワーク

これまでのネットワークと同じネットワークで計測する。 VLAN B(192.168.14.128/25) から VLAN A(192.168.14.0/25) への通信に対して、NATを行う。 Firewall については、VLAN B のインタフェース(OPT1)において、サブネット内からの通信についてのみ外向きを許可するようにした。

Firewall の設定

ConnectX-3 の VLAN B 向けインタフェースである、OPT1 について、サブネット内から外向きへの通信を許可する設定を追加した。 実際の設定は下図のとおりである。

追加し、"Apply Changes" で結果を反映すると、下図のようになる。 この時に、試験用VM(192.168.14.130/25) から OPT1(192.168.14.129/25) に対する ping が通るようになる。

NAT の設定

pfSense の NAT では、デフォルトでLAN インタフェースに関する設定が追加されている。 OPT1 についても、何かしらの方法で Internal Interface として扱えれば下記のルール設定を行わずとも良いかもしれないが、 Internal Interface に指定する方法が分からなかったため、手動でルールを追加する。

すでに生成されているルールに追加で、 OPT1 のサブネット (192.168.14.128/25) から WAN インタフェース(192.168.14.1/25) のアドレスへの変換を行うルールを追加する。 実際の設定内容は以下のようになる。

設定したルールを有効化するために、Mode で "Hybrid Outbound NAT generation" を指定し、保存する。 "Apply Changes" を実行すると以下のような状態になる。

iperf3 での計測

Ubuntu 22.10 での計測と同様に、以下の設定で iperf3 を用いて性能を計測した。

iperf3 -c 192.168.14.2 -i 0 -O 5 -M [MSS] -t 120 --json --bidir

結果は下図のとおりである。MSS が 1478 byte までの計測結果については、Ubuntu 22.10 での計測に比べてかなり遅い結果となった。 MSS が 1478 bytes の時、 Ubuntu では双方向合計で約 15 Gbps 出ていたのに対し、 pfSense では、約 5.5 Gbps 程度しか出ていない。 MSS をある程度大きくすると、Ubuntu とほぼ同様の速度が出ていることから、 pfSense の NAT におけるパケット処理性能が低い可能性が高い。

性能計測中の CPU の使用率は下図のとおりである。 Ubuntu での計測と同様に、およそ1コアで処理されているようである。 MSS が大きくなる計測後半にかけて、interrupt の割合が急上昇している点が気になるところではある。

まとめ

pfSense の Firewall, NAT 機能における性能を計測した。 機能自体は問題なくUbuntu での計測結果に比べて、スループットが大幅に低下している点は注意が必要である。

R86S レビュー(pfSense 編 その1 初期設定)

R86S

R86S レビューシリーズ

pfSense インストール

インストールメディアの作成

pfSense 公式から USB メモリ用のインストールメディアを取得する。 www.pfsense.org

ダウンロードするメディアは AMD64, USB Memstick Installer, VGA と設定した。

USB インストーラー自体の作成は OpenBSD の時と同様に Rufus を利用して作成した。

インストール

Ubuntu, OpenBSD インストール時と同様に、USBメモリ、キーボード、ディスプレイを接続し起動する。 ブートオーダーはUSBメモリを最優先に設定しているため、放っておけばインストーラーが起動する。

基本はデフォルト設定で進める。 しかし、ファイルシステムについては "Auto(ZFS)" を選択するとフリーズするため、 "Auto (UFS) UEFI" を選択する。

再起動後の初期設定についてもデフォルト設定で進める。 既に Mellanox ConnectX-3 のインタフェースが認識されているため、WAN 側のインタフェースとして割り当てた。 LAN側には管理用のインタフェースとして Intel I225 のインタフェースに固定でIPアドレスを割り当てた。

初期設定

LAN側のインタフェースにWebブラウザで接続すると初期設定ウィザードの画面が見える。

WAN 側のインタフェースは固定IPアドレスを割り当てる。 また、MTUも9000で設定する。

WAN側にもプライベートIPアドレスを割り当てているため、 プライベートアドレスからの接続をブロックする設定は無効化しておく。

一連の設定を完了すると、ダッシュボードを確認できる。 ダッシュボードで見た限りでは、プロセッサやNICも正しく認識されていることが分かる。

ConnectX-3 の残りのインタフェースについても登録する。

それぞれのインタフェースで隣接する試験用VMのアドレスが確認でき、正常に動作していることが分かる。

まとめ

R86S に pfSense をインストールし、初期設定まで終わらせた。 Mellanox ConnectX-3 についても正常に認識された。 次回以降、pfSense の各種機能を試すことにする。

R86S レビュー(OpenBSD 編)

R86S

R86S レビューシリーズ

前回までのあらすじ

小型謎PCである R86S に Ubuntu 22.10 をインストールし、iperf3 を使ってネットワーク性能を計測した。

OpenBSD

OpenBSDNetBSD からフォークされた 4.4 BSD 由来の UNIX ライクなOSである。

The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. Our efforts emphasize portability, standardization, correctness, proactive security and integrated cryptography. As an example of the effect OpenBSD has, the popular OpenSSH software comes from OpenBSD. (OpenBSD より)

私自身、OpenBSD を始めとする FreeBSDNetBSD には触れたことがほとんどなく、適当なことは書けないため OpenBSD の紹介はここまでとする。

OpenBSD on R86S

R86S では、 OpenBSD は標準ではサポートされていない。 しかし、プロセッサ自体は x86_64 であり、基本的な部分は普通の x86_64 サーバーと変わらないため、起動ぐらいは問題なく行うことができると考えられる。 今回は、OpenBSD 7.2 をインストールし、起動から搭載されている 10G NIC(Mellanox Connect-X3) が動作するかまで検証することにする。

インストールメディアの作成

www.openbsd.org

USBメモリからインストールするため、install.imgamd64版をダウンロードする。

USBメモリへの書き込みは、Rufusを利用した。 公式には対応していないように見えるが、正常に書き込むことができた。

インストール

USBメモリとUSBキーボード、HDMIディスプレイを接続した。 ブート順はUbuntu 22.10のインストール時にUSBメモリ→eMMCの順に変更しているため、 特に設定変更なしにUSBメモリからインストーラーを起動することができた。

RJ45ポートにUTPケーブルを指しておくことで、DHCPIPアドレスを自動で割り当ててくれる。 ホスト名やSSHサーバー、インストール先のディスクレイアウト、利用するミラーサーバー等の設定を行うことで、インストールが進む。 インストール完了後に再起動し、USBメモリを抜去した状態で起動すればローカルディスクからOpenBSDが起動する。

初回ログイン

$ ssh root@192.168.13.118
root@192.168.13.118's password:

OpenBSD 7.2 (GENERIC.MP) #758: Tue Sep 27 11:57:54 MDT 2022

Welcome to OpenBSD: The proactively secure Unix-like operating system.

Please use the sendbug(1) utility to report bugs in the system.
Before reporting a bug, please try to reproduce it with the latest
version of the code.  With bug reports, please try to ensure that
enough information to reproduce the problem is enclosed, and if a
known fix for it exists, include that as well.

r86s-openbsd# uname -a
OpenBSD r86s-openbsd 7.2 GENERIC.MP#758 amd64

必要なパッケージ類のインストール

lspci を使うために、pciutilsパッケージをインストールしておく。

r86s-openbsd# pkg_add pciutils
quirks-6.42 signed on 2023-02-27T17:27:27Z
pciutils-3.6.4: ok

Mellanox ConnectX-3 の確認

r86s-openbsd# lspci
00:00.0 Host bridge: Intel Corporation Device 4e24
00:02.0 VGA compatible controller: Intel Corporation Device 4e61 (rev 01)
00:14.0 USB controller: Intel Corporation Device 4ded (rev 01)
00:14.2 RAM memory: Intel Corporation Device 4def (rev 01)
00:16.0 Communication controller: Intel Corporation Device 4de0 (rev 01)
00:1a.0 SD Host controller: Intel Corporation Device 4dc4 (rev 01)
00:1c.0 PCI bridge: Intel Corporation Device 4db8 (rev 01)
00:1c.1 PCI bridge: Intel Corporation Device 4db9 (rev 01)
00:1c.2 PCI bridge: Intel Corporation Device 4dba (rev 01)
00:1c.4 PCI bridge: Intel Corporation Device 4dbc (rev 01)
00:1f.0 ISA bridge: Intel Corporation Device 4d87 (rev 01)
00:1f.3 Audio device: Intel Corporation Device 4dc8 (rev 01)
00:1f.4 SMBus: Intel Corporation Device 4da3 (rev 01)
00:1f.5 Serial bus controller [0c80]: Intel Corporation Device 4da4 (rev 01)
01:00.0 Ethernet controller: Intel Corporation Device 15f3 (rev 03)
02:00.0 Ethernet controller: Intel Corporation Device 15f3 (rev 03)
03:00.0 Ethernet controller: Intel Corporation Device 15f3 (rev 03)
04:00.0 Ethernet controller: Mellanox Technologies MT27500 Family [ConnectX-3]

PCIバス上のデバイスとしては正しく認識されている。

r86s-openbsd# ifconfig
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 32768
        index 5 priority 0 llprio 3
        groups: lo
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet 127.0.0.1 netmask 0xff000000
igc0: flags=808843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,AUTOCONF4> mtu 1500
        lladdr 00:f0:cb:ef:d9:45
        index 1 priority 0 llprio 3
        groups: egress
        media: Ethernet autoselect (1000baseT full-duplex)
        status: active
        inet 192.168.13.118 netmask 0xffffff00 broadcast 192.168.13.255
igc1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:f0:cb:ef:d9:46
        index 2 priority 0 llprio 3
        media: Ethernet autoselect (none)
        status: no carrier
igc2: flags=8802<BROADCAST,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:f0:cb:ef:d9:47
        index 3 priority 0 llprio 3
        media: Ethernet autoselect (none)
        status: no carrier
enc0: flags=0<>
        index 4 priority 0 llprio 3
        groups: enc
        status: active
pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33136
        index 6 priority 0 llprio 3
        groups: pflog

しかし、NICとしては認識できていないようである。

カーネルのログを確認すると、

r86s-openbsd# dmesg
OpenBSD 7.2 (GENERIC.MP) #758: Tue Sep 27 11:57:54 MDT 2022
    deraadt@amd64.openbsd.org:/usr/src/sys/arch/amd64/compile/GENERIC.MP
real mem = 8341798912 (7955MB)
avail mem = 8071569408 (7697MB)
random: good seed from bootblocks
mpath0 at root
scsibus0 at mpath0: 256 targets
mainbus0 at root
bios0 at mainbus0: SMBIOS rev. 3.3 @ 0x74c7a000 (116 entries)
bios0: vendor American Megatrends International, LLC. version "JSP18418" date 09/27/2022
bios0: GoWin Solution R86S
acpi0 at bios0: ACPI 6.2
acpi0: sleep states S0 S3 S4 S5
acpi0: tables DSDT FACP MCFG FIDT SSDT SSDT SSDT HPET APIC PRAM SSDT SSDT NHLT LPIT SSDT SSDT DBGP DBG2 SSDT DMAR SSDT TPM2 WSMT FPDT
acpi0: wakeup devices PEGP(S4) PEGP(S4) PEGP(S4) PEGP(S4) RP01(S4) PXSX(S4) RP02(S4) PXSX(S4) RP03(S4) PXSX(S4) RP04(S4) PXSX(S4) RP05(S4) PXSX(S4) RP06(S4) PXSX(S4) [...]
acpitimer0 at acpi0: 3579545 Hz, 24 bits
acpimcfg0 at acpi0
acpimcfg0: addr 0xc0000000, bus 0-255
acpihpet0 at acpi0: 19200000 Hz
acpimadt0 at acpi0 addr 0xfee00000: PC-AT compat
cpu0 at mainbus0: apid 0 (boot processor)
cpu0: Intel(R) Celeron(R) N5105 @ 2.00GHz, 2793.96 MHz, 06-9c-00
cpu0: FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CFLUSH,DS,ACPI,MMX,FXSR,SSE,SSE2,SS,HTT,TM,PBE,SSE3,PCLMUL,DTES64,MWAIT,DS-CPL,VMX,EST,TM2,SSSE3,SDBG,CX16,xTPR,PDCM,SSE4.1,SSE4.2,x2APIC,MOVBE,POPCNT,DEADLINE,AES,XSAVE,RDRAND,NXE,RDTSCP,LONG,LAHF,3DNOWP,PERF,ITSC,FSGSBASE,TSC_ADJUST,SMEP,ERMS,RDSEED,SMAP,CLFLUSHOPT,CLWB,PT,SHA,UMIP,MD_CLEAR,IBRS,IBPB,STIBP,L1DF,SSBD,SENSOR,ARAT,XSAVEOPT,XSAVEC,XGETBV1,XSAVES
cpu0: 32KB 64b/line 8-way D-cache, 32KB 64b/line 8-way I-cache, 1MB 64b/line 12-way L2 cache, 4MB 64b/line 16-way L3 cache
cpu0: smt 0, core 0, package 0
mtrr: Pentium Pro MTRR support, 10 var ranges, 88 fixed ranges
cpu0: apic clock running at 38MHz
cpu0: mwait min=64, max=64, C-substates=0.2.0.2.2.1.1.1, IBE
cpu1 at mainbus0: apid 2 (application processor)
cpu1: Intel(R) Celeron(R) N5105 @ 2.00GHz, 2793.96 MHz, 06-9c-00
cpu1: FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CFLUSH,DS,ACPI,MMX,FXSR,SSE,SSE2,SS,HTT,TM,PBE,SSE3,PCLMUL,DTES64,MWAIT,DS-CPL,VMX,EST,TM2,SSSE3,SDBG,CX16,xTPR,PDCM,SSE4.1,SSE4.2,x2APIC,MOVBE,POPCNT,DEADLINE,AES,XSAVE,RDRAND,NXE,RDTSCP,LONG,LAHF,3DNOWP,PERF,ITSC,FSGSBASE,TSC_ADJUST,SMEP,ERMS,RDSEED,SMAP,CLFLUSHOPT,CLWB,PT,SHA,UMIP,MD_CLEAR,IBRS,IBPB,STIBP,L1DF,SSBD,SENSOR,ARAT,XSAVEOPT,XSAVEC,XGETBV1,XSAVES
cpu1: 32KB 64b/line 8-way D-cache, 32KB 64b/line 8-way I-cache, 1MB 64b/line 12-way L2 cache, 4MB 64b/line 16-way L3 cache
cpu1: smt 0, core 1, package 0
cpu2 at mainbus0: apid 4 (application processor)
cpu2: Intel(R) Celeron(R) N5105 @ 2.00GHz, 2793.95 MHz, 06-9c-00
cpu2: FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CFLUSH,DS,ACPI,MMX,FXSR,SSE,SSE2,SS,HTT,TM,PBE,SSE3,PCLMUL,DTES64,MWAIT,DS-CPL,VMX,EST,TM2,SSSE3,SDBG,CX16,xTPR,PDCM,SSE4.1,SSE4.2,x2APIC,MOVBE,POPCNT,DEADLINE,AES,XSAVE,RDRAND,NXE,RDTSCP,LONG,LAHF,3DNOWP,PERF,ITSC,FSGSBASE,TSC_ADJUST,SMEP,ERMS,RDSEED,SMAP,CLFLUSHOPT,CLWB,PT,SHA,UMIP,MD_CLEAR,IBRS,IBPB,STIBP,L1DF,SSBD,SENSOR,ARAT,XSAVEOPT,XSAVEC,XGETBV1,XSAVES
cpu2: 32KB 64b/line 8-way D-cache, 32KB 64b/line 8-way I-cache, 1MB 64b/line 12-way L2 cache, 4MB 64b/line 16-way L3 cache
cpu2: smt 0, core 2, package 0
cpu3 at mainbus0: apid 6 (application processor)
cpu3: Intel(R) Celeron(R) N5105 @ 2.00GHz, 2793.96 MHz, 06-9c-00
cpu3: FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CFLUSH,DS,ACPI,MMX,FXSR,SSE,SSE2,SS,HTT,TM,PBE,SSE3,PCLMUL,DTES64,MWAIT,DS-CPL,VMX,EST,TM2,SSSE3,SDBG,CX16,xTPR,PDCM,SSE4.1,SSE4.2,x2APIC,MOVBE,POPCNT,DEADLINE,AES,XSAVE,RDRAND,NXE,RDTSCP,LONG,LAHF,3DNOWP,PERF,ITSC,FSGSBASE,TSC_ADJUST,SMEP,ERMS,RDSEED,SMAP,CLFLUSHOPT,CLWB,PT,SHA,UMIP,MD_CLEAR,IBRS,IBPB,STIBP,L1DF,SSBD,SENSOR,ARAT,XSAVEOPT,XSAVEC,XGETBV1,XSAVES
cpu3: 32KB 64b/line 8-way D-cache, 32KB 64b/line 8-way I-cache, 1MB 64b/line 12-way L2 cache, 4MB 64b/line 16-way L3 cache
cpu3: smt 0, core 3, package 0
ioapic0 at mainbus0: apid 2 pa 0xfec00000, version 20, 120 pins
acpiprt0 at acpi0: bus 0 (PC00)
acpiprt1 at acpi0: bus 1 (RP01)
acpiprt2 at acpi0: bus 2 (RP02)
acpiprt3 at acpi0: bus 3 (RP03)
acpiprt4 at acpi0: bus -1 (RP04)
acpiprt5 at acpi0: bus 4 (RP05)
acpiprt6 at acpi0: bus -1 (RP06)
acpiprt7 at acpi0: bus -1 (RP07)
acpiprt8 at acpi0: bus -1 (RP08)
acpiprt9 at acpi0: bus -1 (RP09)
acpiprt10 at acpi0: bus -1 (RP10)
acpiprt11 at acpi0: bus -1 (RP11)
acpiprt12 at acpi0: bus -1 (RP12)
acpiprt13 at acpi0: bus -1 (RP13)
acpiprt14 at acpi0: bus -1 (RP14)
acpiprt15 at acpi0: bus -1 (RP15)
acpiprt16 at acpi0: bus -1 (RP16)
acpiprt17 at acpi0: bus -1 (RP17)
acpiprt18 at acpi0: bus -1 (RP18)
acpiprt19 at acpi0: bus -1 (RP19)
acpiprt20 at acpi0: bus -1 (RP20)
acpiprt21 at acpi0: bus -1 (RP21)
acpiprt22 at acpi0: bus -1 (RP22)
acpiprt23 at acpi0: bus -1 (RP23)
acpiprt24 at acpi0: bus -1 (RP24)
acpiec0 at acpi0: not present
acpipci0 at acpi0 PC00: 0x00000000 0x00000011 0x00000001
"ACPI000E" at acpi0 not configured
"INT34C8" at acpi0 not configured
com4 at acpi0 UAH2 addr 0xfe036000/0x8 irq 34: ns16550a, 16 byte fifo
acpibtn0 at acpi0: SLPB
"PNP0C14" at acpi0 not configured
"PNP0C14" at acpi0 not configured
"INT33A1" at acpi0 not configured
acpibtn1 at acpi0: PWRB
tpm0 at acpi0 TPM_ 2.0 (CRB) addr 0xfed40000/0x5000, device 0x00000000 rev 0x0
"PNP0C0B" at acpi0 not configured
"PNP0C0B" at acpi0 not configured
"PNP0C0B" at acpi0 not configured
"PNP0C0B" at acpi0 not configured
"PNP0C0B" at acpi0 not configured
acpipwrres0 at acpi0: WRST
acpicpu0 at acpi0: C1(@1 halt!), PSS
acpicpu1 at acpi0: C1(@1 halt!), PSS
acpicpu2 at acpi0: C1(@1 halt!), PSS
acpicpu3 at acpi0: C1(@1 halt!), PSS
acpipwrres1 at acpi0: FN00, resource for FAN0
acpipwrres2 at acpi0: FN01, resource for FAN1
acpipwrres3 at acpi0: FN02, resource for FAN2
acpipwrres4 at acpi0: FN03, resource for FAN3
acpipwrres5 at acpi0: FN04, resource for FAN4
acpitz0 at acpi0: critical temperature is 119 degC
acpipwrres6 at acpi0: PIN_
acpivideo0 at acpi0: GFX0
acpivout0 at acpivideo0: DD1F
acpivout1 at acpivideo0: DD2F
cpu0: Enhanced SpeedStep 2793 MHz: speeds: 2001, 2000, 1900, 1800, 1700, 1600, 1500, 1400, 1300, 1200, 1100, 1000, 900, 800 MHz
pci0 at mainbus0 bus 0
0:31:5: mem address conflict 0xfe010000/0x1000
pchb0 at pci0 dev 0 function 0 "Intel Jasper Lake Host" rev 0x00
inteldrm0 at pci0 dev 2 function 0 "Intel UHD Graphics" rev 0x01
drm0 at inteldrm0
inteldrm0: msi, JASPERLAKE, gen 11
xhci0 at pci0 dev 20 function 0 "Intel Jasper Lake xHCI" rev 0x01: msi, xHCI 1.10
usb0 at xhci0: USB revision 3.0
uhub0 at usb0 configuration 1 interface 0 "Intel xHCI root hub" rev 3.00/1.00 addr 1
"Intel Jasper Lake Shared SRAM" rev 0x01 at pci0 dev 20 function 2 not configured
"Intel Jasper Lake HECI" rev 0x01 at pci0 dev 22 function 0 not configured
sdhc0 at pci0 dev 26 function 0 "Intel Jasper Lake eMMC" rev 0x01: apic 2 int 16
sdhc0: SDHC 3.0, 200 MHz base clock
sdmmc0 at sdhc0: 8-bit, sd high-speed, mmc high-speed, ddr52, dma
ppb0 at pci0 dev 28 function 0 "Intel Jasper Lake PCIE" rev 0x01: msi
pci1 at ppb0 bus 1
igc0 at pci1 dev 0 function 0 "Intel I225-V" rev 0x03, msix, 4 queues, address 00:f0:cb:ef:d9:45
ppb1 at pci0 dev 28 function 1 "Intel Jasper Lake PCIE" rev 0x01: msi
pci2 at ppb1 bus 2
igc1 at pci2 dev 0 function 0 "Intel I225-V" rev 0x03, msix, 4 queues, address 00:f0:cb:ef:d9:46
ppb2 at pci0 dev 28 function 2 "Intel Jasper Lake PCIE" rev 0x01: msi
pci3 at ppb2 bus 3
igc2 at pci3 dev 0 function 0 "Intel I225-V" rev 0x03, msix, 4 queues, address 00:f0:cb:ef:d9:47
ppb3 at pci0 dev 28 function 4 "Intel Jasper Lake PCIE" rev 0x01: msi
pci4 at ppb3 bus 4
vendor "Mellanox", unknown product 0x1003 (class network subclass ethernet, rev 0x00) at pci4 dev 0 function 0 not configured
pcib0 at pci0 dev 31 function 0 "Intel Jasper Lake eSPI" rev 0x01
azalia0 at pci0 dev 31 function 3 "Intel Jasper Lake HD Audio" rev 0x01: msi
azalia0: no supported codecs
ichiic0 at pci0 dev 31 function 4 "Intel Jasper Lake SMBus" rev 0x01: apic 2 int 16
iic0 at ichiic0
"Intel Jasper Lake SPI" rev 0x01 at pci0 dev 31 function 5 not configured
isa0 at pcib0
isadma0 at isa0
pcppi0 at isa0 port 0x61
spkr0 at pcppi0
vmm0 at mainbus0: VMX/EPT
efifb at mainbus0 not configured
scsibus1 at sdmmc0: 2 targets, initiator 0
sd0 at scsibus1 targ 1 lun 0: <SD/MMC, SCA128, 0000> removable
sd0: 119296MB, 512 bytes/sector, 244318208 sectors
vscsi0 at root
scsibus2 at vscsi0: 256 targets
softraid0 at root
scsibus3 at softraid0: 256 targets
root on sd0a (5fca080fa3ba5689.a) swap on sd0b dump on sd0b
inteldrm0: 1024x768, 32bpp
wsdisplay0 at inteldrm0 mux 1
wsdisplay0: screen 0-5 added (std, vt100 emulation)
vendor "Mellanox", unknown product 0x1003 (class network subclass ethernet, rev 0x00) at pci4 dev 0 function 0 not configured

とあり、カーネルが対応するデバイスドライバを持っていないのか、残念ながら認識できていないようである。 Mellanox のNICドライバは、mcx(4) として実装されている。

man.openbsd.org

The mcx driver supports Mellanox 5th generation Ethernet devices. Chipsets and cards in this group include:
- ConnectX-4 Lx EN
- ConnectX-4 EN
- ConnectX-5 EN
- ConnectX-6 EN

ConnectX-4, 5, 6 についてはサポートしているが、ConnextX-3 についてはサポートされていない。 実際に、デバイスドライバソースコードを確認すると、

github.com

static const struct pci_matchid mcx_devices[] = {
    { PCI_VENDOR_MELLANOX,  PCI_PRODUCT_MELLANOX_MT27700 },
    { PCI_VENDOR_MELLANOX,  PCI_PRODUCT_MELLANOX_MT27700VF },
    { PCI_VENDOR_MELLANOX,  PCI_PRODUCT_MELLANOX_MT27710 },
    { PCI_VENDOR_MELLANOX,  PCI_PRODUCT_MELLANOX_MT27710VF },
    { PCI_VENDOR_MELLANOX,  PCI_PRODUCT_MELLANOX_MT27800 },
    { PCI_VENDOR_MELLANOX,  PCI_PRODUCT_MELLANOX_MT27800VF },
    { PCI_VENDOR_MELLANOX,  PCI_PRODUCT_MELLANOX_MT28800 },
    { PCI_VENDOR_MELLANOX,  PCI_PRODUCT_MELLANOX_MT28800VF },
    { PCI_VENDOR_MELLANOX,  PCI_PRODUCT_MELLANOX_MT28908 },
    { PCI_VENDOR_MELLANOX,  PCI_PRODUCT_MELLANOX_MT2892  },
};

とあり、ConnectX-3 MT27500 は含まれない。 そのため、標準の OpenBSD では R86S に搭載されている ConnectX-3 は利用できない。 ドライバにパッチを当てることで利用できるかもしれない。

まとめ

R86S に OpenBSD 7.2 をインストールし、起動までは確認することができた。 しかし、ConnectX-3 に対応するドライバが存在しないことから、R86S に搭載されている 10G NIC は利用できないことが分かった。 どうしても利用したい場合は、別途ドライバにパッチを当てる必要があり、NIC 独自のオフロード機能の利用等は容易ではないと考えられる。

R86S レビュー(Ubuntu 22.10 編 その2 NAPT他)

R86S

R86S レビューシリーズ

前回のあらすじと今回の内容

謎の小型PC、R86S を手に入れ、いろいろ遊んでいる。 前回は iperf3 で L2ブリッジとL3フォワーディングの環境において、iperf3 を用いて性能を計測した。

前回の iperf3 の計測では片方向(クライアント→サーバー)でトラフィックを流して計測していた。 今回はより負荷をかけるために、双方向の全二重でトラフィックを流し、その時の性能を計測した。

L3フォワーディング (双方向)

iperf3 に --bidir オプションを追加し、前回と同様の計測を行った。

forward が クライアント→サーバー、reverse がサーバー→クライアントにあたる。 片方向の場合に比べて、両方向共におおむね8割程度のスループットが出ている。

CPUの使用率はソフトウェア割り込みが2割程度増加している。

各コアへの割り当てについては、張られる2つのTCPセッションをうまくコアごとに分散している場合と、 分散されずに一つのコアに割り込みがかかっている場合がある。 このあたりのコアの割り当てやスケジューラについてはよく知らないが、 ソフトウェア割り込みということはコンテキストスイッチ等が関係しているのだろうか?

NAPT

前回と同様のネットワークで、VLAN B → VLAN A の接続について iptables で NAPT を行う場合について計測した。

iptables -t nat -A POSTROUTING -s [VLAN B のサブネット] -o [VLAN A の IF] -j MASQUERADE

スループットについては、L2ブリッジやL3フォワーディングとほぼ同様の傾向であった。

双方向な場合についても計測したが、L3フォワーディングの場合に比べて、forward と reverse で若干不均衡な結果が得られた。 合計したスループットとしてはほぼ同様であった。

双方向で計測している時のCPU使用率は、L3フォワーディングの時と比べて若干高い結果となった。

ソフトウェア割り込みについてもL3フォワーディングに比べて若干高めの結果が得られた。

まとめ

TCPで通信を行う場合、CPUコアへの割り当て次第ではあるが、9Gbps を超える速度でNAPTが出来ることが分かった。 軽い使い方をする環境(一般家庭等)ならば、10Gbps の環境におけるソフトウェアルーターやNAPTサーバーとして十分に活用できそうである。

ショートパケットが大量に流れる環境や、アプリケーションを動かす場合については今回の計測結果からは何とも言えないため、 TRexのような専用のトラフィックジェネレータを用いて計測する必要がある。(TRexを動かせる物理マシン環境がないため、今回は計測していない)

次回以降は pfSense や OpenBSD を動かしてみることにする。

R86S レビュー (Ubuntu 22.10 編 その1)

R86S

R86S レビューシリーズ

謎の小型PC、R86S を購入し、簡単な計測を行った時の記録

R86S について

R86S は aliexpress で販売されている謎の小型PCである。 SFP+ が2個と 2.5Gbps Ethernet(RJ-45) が3個搭載されていることが最大の特徴となっている。

docs.r86s.net

購入はここから。

R86S Soft Routing Multi net port, Intel mini host N5105 8GB/16GB 10 Gigabit fiber port 2.5G| | - AliExpress

購入したモデルは GW-R86S-G1 である。 CPU Intel Celeron N5105(4Core/4Thread)、メモリ 8GB、NICIntel I225(2.5Gbps x 3) と Mellanox ConnectX-3 (SFP+ x 2) が搭載されている。

OSは基本的に最新の WindowsUbuntu であれば問題なくサポートされている様子(R86S Document より)

バイスに関する詳細なレビューは yas-nyan 氏のレビューが分かりやすいため、ここでは省略する。

zenn.dev

ネットワーク処理性能の計測

R86S を高速ルーターや高速パケット処理のおもちゃとして利用するにあたり、 バニラな Ubuntu 22.10 をインストールした環境で iperf3 を用いた計測を行った。 なお、計測は SFP+x2 な部分についてのみ行った。

計測環境

計測用のネットワークはこのようになっている。MTU は全体で 9000 とした。

物理マシンと接続された10Gスイッチが10GBASE-Tしか刺さらないため、メディコン代わりに別の10Gスイッチを介して接続している。 当初は 10GBASE-T SFP+モジュールを用いる予定であったが、購入したモジュール が R86S でリンクを上げることが出来なかったため、このような構成となっている。

計測は iperf3 を用いた。

iperf3 -c 192.168.14.2 -i 0 -O 5 -M [MSS] -t 120

R86S

  • モデル: GW-R86S-G1
  • OS: Ubuntu 22.10 (Kernel: 5.19.0-31-generic)

負荷生成用マシン(仮想マシン)

2台の物理マシン上に1台ずつ負荷生成用のマシンとして仮想マシンを用意した。 vCPU の pinning やそのほかのチューニングは行わず、QEMU/libvirt の標準設定で作成した。 専用の物理マシンやパケットジェネレータを利用したわけではないため、パケットサイズが小さい場合は不正確な測定結果となっている可能性がある。

  • CPU: 4コア
  • メモリ: 8GB
  • OS: Ubuntu 22.10 (Kernel: 5.19.0-31-generic)
  • テスト用NIC: virtio

L2 フォワーディング(bridge)

10G NIC 間を bridge で接続した場合について計測した。

  bridges:
    br0:
      mtu: 9000
      interfaces:
      - enp4s0
      - enp4s0d1

計測結果は以下のとおりである。MSS が 1000bytesを超えたあたりから 9Gbps を超えている。

L3 フォワーディング(routing)

10G NIC 間で静的ルーティングを行った場合について計測した。 おおむね、L2 フォワーディングの時とほぼ同様な傾向であることが分かる。

CPU の負荷

L3 フォワーディングの計測を行っている間のCPU使用率を mpstat で計測した。 MSS を 80, 216, 472, 984, 1240, 1478, 3960, 7960, 8960 と2分ずつ計測した時のCPU使用率(全コア合算)のグラフが下図である。

MSS が大きくなるにつれて、soft(ソフトウェア割り込み) の割合が下がっていることが分かる。 しかし、MSS が 3960 以上となるとまたソフトウェア割り込みが増加している。

各コアのソフトウェア割り込みの割合についても計測した。

iperf3 では計測毎に接続を貼りなおすため、計測ごとに割り込みがかかっているコアが違っていることが分かる。 MSS が小さい場合、1つのコアがソフトウェア割り込みによってほぼ使い果たされている。 MSSが1500に近づくにつれてその割合は減るものの、MSSが1500を超えると、ソフトウェア割り込みの割合が 50%前後を遷移している。 詳細な原因は分からないため、今後調べることにする。

まとめ

R86S で iperf3 を用いて簡易的なネットワーク処理性能の計測を行った。 MSS が 1000 bytes を超えるような場合において、約 9Gbps 以上でパケットフォワーディングができた。 簡易的な高速ルーターやパケットキャプチャデバイスとしては十分に利用できそうなデバイスであると思う。

2022年を1月からふりかえる

1月

専攻の中間発表があった。 中間発表後は競技プログラミングにはまっていた。

2月

NTT研究所(ソフトウェアイノベーションセンタ)のインターン「コンテナランタイムの実装と評価」に参加した。 Rootless コンテナの通信速度を大幅に改善するbypass4netnsに取り組み、 2週間の期間中にnerdctlへのマージまでたどり着いた。 とても刺激的な楽しい期間だった。(関係者の皆様、大変お世話になりました。)

国際会議のワークショップの発表に使う動画の提出もした。

3月

セキュリティキャンプ全国大会2021-L3トラックでの成果について、情報処理学会第84回全国大会で「完全準同型暗号における BNN を用いた高速な秘匿推論手法の実装と評価」を受講生の方が発表した。 受講生の方が行った発表のクオリティも高く、学生奨励賞も受賞された。(凄い!)

セキュリティキャンプフォーラムで、未踏事業での取り組み「VSP(Virtual Secure Platform)」やセキュリティキャンプとのかかわりについて発表した。

国際会議(PerCom)のワークショップ(PerFlow)で発表をしたが、英語力がなさ過ぎて質疑が全然できなかった。 [

[

大学の博士課程学生向けのフェローシップ制度に申請書を出した。

4月

実験のTAが忙しかった気がする。 卒論でやってたことを論文としてまとめ、投稿した。

クソコラ画像を作った。

Ubuntu 22.04 がリリースされ、MPTCPで遊んだりしてた。

5月

実験のTAが忙しかった気がする。

Nintendo Switch を買った。10月にNintendo SwitchFactorioが発売されるまで使わなかった。

学振DC1の申請書を提出した。

6月

ShowNetのSTMをやってた。

ShowNetの期間と国内研究会の原稿締切が重なったため、セルフデスマーチをやってた。

大学の博士課程入試の願書を出した。

7月

あまり記憶がない。 色々重なって大変なことになってた気がする。

GPUを買ってたらしい。

時雨堂さんのQUIC/TLS1.3をZigで実装するお仕事に応募したり、ISUCONに参加したりしてた。

SWoPP2022(2022年並列/分散/協調処理に関するサマー・ワークショップ)で2月のインターン成果(bypass4netns)をまとめた発表をした。「優秀若手発表賞」を受賞した。(大変光栄です)

8月

博士課程の入試を受験し、無事合格した。

@ushitora_anqou さんが書いた論文の発表に、付き人として一緒にイスラエルに行った。

tls13-zigの開発をしてた。

論文の査読結果が届き、追加実験をしたり文章を書き換えたりしてた。

9月

tls13-zigの開発とか論文を書いてた。

TAをやったり、計算機をUbuntu 22.04にアップグレードする作業とかも頑張ったらしい。 「情報科学若手の会」に参加した。

DC1の内定通知が届いた。

10月

研究をしてた。 計算機をいっぱい買ったらしい。

11月

研究発表をするために初北陸、初新潟な出張をした。

お土産の日本酒を自宅の最寄り駅で割ってしまい泣いた。

修論の予備審査があった。

12月

研究のサーベイしたり実装をしたりしてた。 国内研究会の原稿を書いて提出した。

zig の標準ライブラリに tls1.3の実装が入るらしい。 自分の開発した tls13-zig が参考にされてて嬉しくなった。 rsa署名回りについて、tls13-zigのコードが一時的に利用されてる。

酔っぱらってスマホを電車で落とした。(次の日に忘れ物センターで無事回収した。) 2021年末にもスマホをなくしてた気がする...

総括

研究

あれこれやっていたため、研究に対して真摯に時間をかけて取り組めていたとは言い切れない1年であった。来年度以降は博士課程に進学するため、その自覚を持って取り組みたい。 国内で発表してそのままになっている成果があるため、国際会議に投稿したい。

技術

2月のbypass4netns、8月のtls13-zigなど、とても刺激的な1年であった。 zigについてはissueを建てたりPRを出してマージされたりした。 bypass4netnsを含むコンテナ周りや、tls13-zigを含むzig周りについて、今後も引き続き取り組んでいきたい。

私生活

わりと無理をして帳尻を合わせることが多く、反動で虚無になっていることが多かった気がする。 規則正しい生活を心掛けていきたい。