メモ：D02HW解析

イーモバイルのD02HW (Huawei E220のOEM)をNetBSDから使えるように触っている過程で調べたことをメモしておく。

マスストレージモード(電源投入時)
普通に認識すると、USB mass strageデバイスに見える。USB class 8(umass), subclass 6(SCSI), proto 80(BBB)。Interface 0: endpoint: 3(in)-4(out)。マウントするとCDROMにみえて、中身にwindows用のユーティリティとデバイスドライバが入っている。役立たず。

モデムモードへの変換
Host-to-DeviceでSet Future: DEVICE_REMOTE_WAKEUP, wIndex=0x2で送りつける。すると同じvender ID, product IDのままで別のデバイスに化ける。
(wIndex=0x1にしてdataに0x1を入れて送っても同じ結果になるが、違いは不明）

モデムモード（変換後）
モードがモデムモードになると、インターフェイスが３つに増える。

• インターフェイス１： USB class 255, subclass 255, proto 255。完璧なベンダースペシフィックだが実はシリアル。シリアルデバイスはBELKINのとほとんど同じにみえる（NetBSDだとubsaドライバ）。これがモデムの主インターフェイス。endpoint: 1(intr)-2(in)-2(out)。
  
• インターフェイス２：USB class 255, subclass 255, proto 255。インターフェイス１と同様にシリアルデバイス。モデムの観測用インターフェイス。endpoint: 5(in)-5(out)。通信しないからか割り込みが無い。
• インターフェイス3: USB class 8, subclass 6, proto 80。マスストレージモードのときにインターフェイス１に見えていたUSB mass storage。
  

モデムの観測用インターフェイス
つなげるとATコマンドを受理する。ステートは主インターフェイスの設定を継承している（たとえばate0と主インターフェイスで打ち込んであるとATコマンドにエコーバックしない）。使い道は２つ。

• 主インターフェイスで通信をしているときにもATコマンドを受理するので、AT^ANQUERY?（電波強度問い合わせ）などで状態を取得できる
• 主インターフェイスで通信しているときは定期的（２秒に一回）、^DSFLORRPTという行が出力される。
  

DSFLORRPT
DSFLORRPTはこんな感じに出力される。（一行で）

^DSFLOWRPT:0000007C, 00000000, 00000000, 000000000001B1AE, 00000000004DD9D2, 0000AA50, 000EBA40

ざっくりと眺めたところ、意味は最初から[通信時間（秒)], [送信スループット(byte/s)], [受信スループット(byte/s)], [総送信量(byte/s)], [総受信量(byte/s)], [なんかのID], [なんかのID]となっているようだ。時間とデータ量は16進数で表現されている。

謎のコマンド
windows PCとD02HWの間のUSBトランザクションを眺めていると、標準的ではない制御トランザクションが観測される。何やっているか不明。

1. （準備１）Endpoint:2-inにCLEAR_FEATUREリクエスト、ENDPOINT_HALTを送る
2. （準備２）Endpoint:2-outにCLEAR_FEATUREリクエスト、ENDPOINT_HALTを送る。
3. InterfaceにType:Class, bRequest=0x02, wValue=0x1, wIndex=0x0, wLength=0x2, Data[]={0x0, 0x0}を送る
4. InterfaceにType:Class, bRequest=0x22, wValue=0x1, wIndex=0x0, wLength=0x0を送る
5. InterfaceからType:Class, bRequest=0x21, wValue=0x0, wIndex=0x0で7byte読み込む。普通は｛0x0, 0x96, 0x0, 0x0, 0x0, 0x0, 0x8}が見える。
6. 前のリクエストで取得したバッファの2-3byteを{0x8, 0x7}にして書き戻す。bRequest=0x20
7. InterfaceにType:Class, bRequest=0x22, wValue=0x3, wIndex=0x0, wLength=0x0を送る

たぶん、

• bRequest=0x20: E220_CLASS_WRITE
• ｂRequest=0x21: E220_CLASS_READ
• bRequest=0x22: E220_CLASS_SETUP (or CMD)。ｂVlaue=0x1でstart, bValue=0x3でcommitみたいな感じ？
  

じゃないかと推測している。問題は読み書きする7byteの意味がわからない点。NetBSDで適当に実装して発行してみているが、何が変わったかはわからない。

通信時のUSBトランザクション
USBのendpointのデータ単位は64byte。TCP/IPで通信をしていると、大体46-48USBパケットがバースト的に送られてくる。モデム側のバッファサイズは3-4KBじゃないかと推測。

（おまけ）イーモバイル網の挙動
PPPで接続して普通にpingをうつと、RTTが300-400msくらいでガッカリする。しかし中身ではいろいろと複雑な制御をしているようで、5pps以上の頻度で同一ホストにパケットを送信すると、10-20パケットくらい経過してからRTTが70ms-100msに変化する。
しばらく通信がないとまたリセットされるので、フローごとに細かい制御をしているようだ。カットスルー？でもしてるんかいな。


とりあえずこのくらい。