先看第一主角:
![[多圖] 自建新 pfSense 低功耗防火牆](http://attach.mobile01.com/attach/201604/mobile01-5ab203a9a83bae0abf5568a2b873050d.jpg)
![[多圖] 自建新 pfSense 低功耗防火牆](http://attach.mobile01.com/attach/201604/mobile01-ffdb6136b09530375c1ac2796eb04739.jpg)
![[多圖] 自建新 pfSense 低功耗防火牆](http://attach.mobile01.com/attach/201604/mobile01-a8817225dfd384568411da5376904959.jpg)
是 Jetway NF9HG-2930 Thin-ITX 主板,使用 Intel N2930 Silvermount 4 核心處理器,功耗更低(官方指正常使用 TDP 4.5W,最大亦只是 7.5W,比 1037U 少 10W)所以不用風扇了。這主板搭載 4 x Intel i210 LAN,此板有另一孖生兄弟 NF9HB-2930,唯一分別是後者支持 LAN bypass 功能(我不需要)。
其他可用配置:
1 x mini PCI-E full size 插座
1 x mSATA full size 插座(注意此 2 組 full size 插座均有底板附送之轉換器以供安裝 half size card)
2 x SATA 3Gbps ports(其中一個與 mSATA 共享,不能同時使用)
2 x COM port(1 主板 + 1 外接 header)
2 x PCI-E x1 slot(其中一個打橫以便外接官方擴充卡)
Onboard 1 x USB 2.0 + 1 x USB 3.0
此板由於是 Thin ITX 及主板之 VGA 接頭是通過板上針腳接駁,因此這主板能使用於超小型的 1U 機箱
![[多圖] 自建新 pfSense 低功耗防火牆](http://attach.mobile01.com/attach/201604/mobile01-845d4cb9619c3e53f672d535e82d8423.jpg)
![[多圖] 自建新 pfSense 低功耗防火牆](http://attach.mobile01.com/attach/201604/mobile01-12b4f86bbb33c37ec901500057345c17.jpg)
主角二號是 M350 ITX 機箱,原想使用更小型的 Silverstone PT-13,但看過網上很多報告都指這機箱會因為主板旁凸出的 pci-e 插槽而不能放入,雖要鋸掉一部份才可以,我可不想花這時間。
這個 M350 機箱前置 2 x USB 2.0 插座是藏於可拆式的蓋中,因此不用再指定要使用類似 Sandisk Cruzer Fit 這類幾乎不外露的 USB 記憶體,能用回舊有的記憶體作 OS(我使用 Transcend 4GB full size)而不怕被弄掉。
![[多圖] 自建新 pfSense 低功耗防火牆](http://attach.mobile01.com/attach/201604/mobile01-072a280af02690fd97ed498cc031094c.jpg)
安裝完成,不過剛開始時有小插曲,就是我以為可以用回舊的 DDR3 SODIMM 記憶體,但原來 N2930 預設是只支援 DDR3L 1.35V 低電壓記憶體,而 Jetway 並無在此板上提供可使用 1.5V DDR3 的方案(但我知道有部份 Jetway 主板有),結果剛開始時連 BIOS POST 都沒有
![[多圖] 自建新 pfSense 低功耗防火牆](http://attach.mobile01.com/attach/201604/mobile01-c374151bb71cc7d67d41b7306813feca.jpg)
進 BIOS 看,顯然 Jetway 已經估計到用家會使用 serial console,於是都不需要用戶費心於 Linux/BSD 作設的,BIOS 內已有 console redirection 選項。
![[多圖] 自建新 pfSense 低功耗防火牆](http://attach.mobile01.com/attach/201604/mobile01-39448861ec6766c878bf68b3c5d0b9dc.jpg)
![[多圖] 自建新 pfSense 低功耗防火牆](http://attach.mobile01.com/attach/201604/mobile01-3c7325b7c1b2923e0f4f21e30f3b33fd.png)
![[多圖] 自建新 pfSense 低功耗防火牆](http://attach.mobile01.com/attach/201604/mobile01-95ee4992449edd90ae5c237421a83ffd.png)
如官方所指,FreeBSD 9/10 都在支援之列,4 個 Intel i210 網卡都能正常使用。
使用 iperf 進行 TCP throughput 測試,以 Macbook Pro Retina + Thunderbolt GbE 網卡模擬 LAN client,再以 Macbook Pro 2010 + 自帶的 GbE 網卡模擬 WAN 端作測試平台,並關閉 CPU 的電源管理功能:
單向 LAN-WAN NAT 能達到 940Mbps,已算達到極限,此時 CPU 使用率約 30%(也就是一個核心再多一點點)
雙向 LAN-WAN NAT 同步一開始是 750-770Mbps,後來調整過一下 BSD 下的 Intel 網卡設定就提高到 790Mbps,CPU 使用率 < 60%。這裡數值比較低原因未明,因為 CPU 使用率未滿應不是此機硬體問題,但用作模擬用的 LAN/WAN 兩端都只是一般家用級網卡未知是否一個因素(但我暫時未有其他電腦可供測試)。<br>
使用 OpenSSL benchmark 作測試,AES-256-CBC encryption algorithm throughput 大約為 120-140Mbps,明顯速度不算高(之前 1037U 做測試可達 230Mbps),當然速度不高是因為 N2930 或 1037U 都不支援 AES-NI 指令,單純軟件加密就主要看 CPU 能力。
測試時環境溫度為 17 度,CPU 溫度長期低於 45 度(機箱內完全沒有風扇),現在氣溫二十多度,CPU 亦未見高於 60 度,加上正常使用時我開啟 CPU 電源管理功能,於低負載情形下 CPU 會降頻進一步減少熱力。
後感:撇除 SSL 速度,基本此板已能勝任防火牆,及後我已加入 suricata 軟件作 Intrusion Detection。如果真的很希望有更強配置,之前有版大貼出的 Intel Rangeley 系列 C2358/C2558/C2758 cpu 連主板會是最強的企業級防火牆/路由器,低端一點可選 Supermicro X11SBA-LN4F-O,此板搭載 Intel N3700 CPU + 4 x Intel GbE LAN,規格雖完全不能與 Rangeley CPU 相提並論,但勝在支持 AES-NI 硬體 AES 加密加速,在功耗及速度上仍比 N2930/1037U 優勝得多,不過價錢還是比我的 Jetway 貴一截就是了
