【PConline 评测】 不得不说的是,伴着互联网、移动互联网、物联网的不断发展,使得IP地址呈现出爆发式增长,与此同时,DNS与DHCP也被赋予了更多更重要的职责,与之相关的IP地址管控也变得越来越繁琐,网络运维不堪重负,如何解决是好?为此,锐捷网络推出了RG-DDI系列产品,集DNS服务/DNS智能选路、DHCP服务/DHCP+终端准入控制与可视化接入管理三大功能于一体,融合于单一企业级网络设备中,通过旁挂模式无缝接入现有网络拓扑,上点即可部署,简化运维管理。本期,我们收到的是该系列下的锐捷RG-DDI3000型号产品,究竟性能如何一测便知。
三效合一 锐捷RG-DDI接入控制网关设备评测
锐捷RG-DDI3000接入控制网关设备是一款集DNS、DHCP、IP管理于一身的三合一网络产品,融合了真正的智能DNS、高性能DHCP服务器以及可视自动化IP地址管理,为用户提供统一的图形化管理界面,内置丰富报表,供运维端决策分析。
硬件方面,锐捷RG-DDI3000采用标准2U机箱设计,搭载多核非X86架构,支持双硬盘插槽,内置硬盘容量可扩展至500G以上,且硬盘支持可插拔更换。支持固化千兆电口≥8个,固化千兆光口≥8个,以及固化千兆接口≥4个。
此外,锐捷RG-DDI3000还为用户提供可视化终端地址管理功能,例如地址利用率,在线用户数时间曲线,地址冲突等告警信息,适用于出口有多条运营商线路,且有对外发布网站服务的用户,例如校园网等;此外,“DHCP+准入认证”机制,可对例如医院/政府/企业等用户的内网终端接入进行管理,无需安装客户端就可实现接入准入控制。现在,相信各位对锐捷RG-DDI3000接入控制网关设备已有了初步了解,下面马上进入今天的测评环节,一起来看。
评测说明
本次设备评测,由PConline与北京信而泰评测实验室共同完成。北京信而泰科技股份有限公司,是国内市场上测试端口出货量最大的网络测试仪供应商,可实现以太网2~7层测试与协议仿真、IP网络验收与监测、IP网络及设备性能测试等各种功能。
北京信而泰科技股份有限公司
自2007年成立以来,信而泰BigTao(道)系列网络测试仪、iTester系列网络测试仪、Tlite手持网络测试仪、Teststorm2~7层测试平台被通信设备制造商、服务提供商、科研院所、高等院校、电力、交通等各领域客户广泛采用,实现对复杂网络及网络设备的各种测试。信而泰的全系列网络测试仪产品均为自主研发,可根据客户的特殊需求提供定制化服务,用户也可以基于信而泰的测试仪方便的进行二次开发。
本次测试仪器为TestStrom200 机箱+X6008D板卡,TeleExplorer操作软件测试平台+TeleAPP软件测试套件,并采用以下标准: GB/T 20281信息安全技术,防火墙技术要求和测试评价方法,信产部YD/T 1287(具有路由功能的以太网交换机测试方法)。Frame Size(bytes)分别为:64、 128、256、512、1024、1280、1518。
锐捷RG-DDI接入控制网关设备测试连接环境
此次,我们将针对锐捷RG-DDI3000接入控制网关设备的ACL访问控制功能、DHCP终端准入控制、智能DNS选路、可视化接入管理性能进行全面测试,看看它的功能性能是否可以满足企业网络的需求。
ACL测试
ACL(Access Control List),即访问控制列表,是路由器和交换机接口的指令列表,用来控制端口进出的数据包。其能限制网络流量、提高网络性能,可以在端口处决定哪种类型的通信流量被转发或被阻塞。
测试方法:将测试仪T1,T2端口分别连网关设备的1,2端口,生成一条ACL规则,过滤Gi0/0发报文(out) 。当中,T1口接到锐捷设备Gi0/0口,T1口ip2.1.1.2,Gi0/0口ip2.1.1.1;T2口接到锐捷设备Gi0/1口,T2口ip2.2.2.2,Gi0/1口ip2.2.2.1;
DDI配置
测试结果
测试结果如上图所示,T2发往T1流量不通,说明ACL规则生效。
DHCP+终端准入测试
DHCP(Dynamic Host Configuration Protocol,即动态主机配置协议),通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。
测试1 :每秒分配IP地址数上限。用以太网抓包&发包工具(SVlanFrame)测试DHCP,查看每秒分配的IP地址数。
DDI配置
SVlanFrame测试
从上图可以我们看到,在线用户数90000,测试时间为28s,DHCP每秒可分配大约3200个IP地址。
测试2 :告警及IP全生命审计日志。构造地址池耗尽、地址迁移和ip冲突的场景;在【IPAM\业务告警】页面查看告警。
在DDI DHCP上建立地址池
配置固态用户
测试结果如下:
地址池耗尽告警
终端迁移告警
IP冲突告警
丰富的告警,包括地址池耗尽、地址迁移、ip冲突等;通过IP全生命审计日志可以查看终端上下线日志记录。
测试3 :终端指纹识别,可通过终端的指纹(option55和option60)识别终端的类型。通过使用不同的终端在DDI上线获取IP地址;在【IP智能管理\IP表】查看终端的具体类型。
测试结果如上
测试4 :识别网络私接路由器,识别当前网络中通过DDI获取IP的私接路由器。先将路由器wan口IP获取方式设置为自动获取,路由器在DDI上获取到IP后,通过DDI的WEB路径【IP智能管理\IP表】查看;点击“疑似路由”按钮,自动过滤出所有疑似路由。
测试结果如上
测试5 :地址池超级域,可配置主地址和次地址池;完成优选分配主地址,主地址池分配完分配次地址池。在DDI上配置DHCP主次地址池,用测试仪测试DHCP,建立300条Session,查看结果。
在DDI DHCP上建立主次地址池
测试仪测试,建立300条Session,开启测试。测得以下结果,从图中我们可以看出,DDI配置的主次地址池,用测试仪测试,主地址池地址分配完分次地址池。
测试6 :单MAC在多个地址池绑定,单MAC绑定后能够在不同的地址池上获取各自的IP地址。首先在DDI DHCP上配置2个不同的地址池;其次在DDI IPAM上配置一个MAC绑定到不同地址池的IP;最后用测试仪测试DHCP,把绑定的MAC添加到1,2端口下,查看是否可以获取各自的IP地址。
DHCP地址池配置
IPAM配置,把MAC 0000.1101.0101分别绑定到1.0.10.10和2.0.10.10.
测试仪测试
从上图不难看出,1,2端口下相同MAC 000.1101.0101获取到的IP分别为1.0.10.10和2.0.10.10.
测试7 :自动推荐空闲IP地址,DHCP取消动态分配,测试仪测试DHCP,查看能否分配IP地址。先将DDI上DHCP地址池上取消动态分配,对DDI上IPAM新用户授权绑定,用测试仪测试DHCP,单端口建立100条Session,查看能否分配IP地址。
DHCP地址池取消动态分配
测试仪开启DHCP测试,让DDI获取到客户端MAC
打开DDI IP智能管理-新用户授权,可以获取到测试仪发来的MAC
单MAC绑定-新用户全部授权
绑定成功后,发现测试仪能获取到DHCP分配的IP地址
DNS智能选路相关测试
DNS(Domain Name System)是一个提供域名解析的分布式系统,主要功能是完成域名与其对应的IP地址之间的相互转换。网络中提供DNS服务的主机称为DNS服务器,而向DNS服务器发起查询请求的主机称为DNS客户端。DNS协议是应用层协议的一种,客户端和服务器通过DNS协议实现数据的交互和通信。
测试1 :DNS对非法URL的过滤。在DDI上对应接口启用DNS服务,并配置url黑名单,将这条黑名单应用到策略中,如果用户向DDI访问黑名单内的url时会直接被阻断访问。
接口启用DNS服务
添加URL黑名单。调度策略:添加CDN资源test,将非法url地址“teletest.com”输入里面
DNS安全:点击添加黑名单,将CDN资源test添加进去,并开启黑名单
测试仪测试
测试仪DNS配置
开启测试
DDI DNS结果查看
经过测试仪测试我们看到,用户向DDI访问黑名单内的url时会直接被阻断访问。
测试2: DNS与多出口的联动。首先配置DDI和出口EG可连通,出口设备配置SNMP server,DDI上配置添加该出口的SNMP Client,在DDI的Web上可查看该出口设备各接口的接口速率和带宽利用率。
DDI配置:以上路径【DNS网关接口配置SNMP管理】配置
DDI配置:以上路径【DNS\网关接口配置\添加网关接口】添加网关接口信息
出口联动信息查看
DNS主页也可以看到接口信息视图
测试3 :DNS故障检测。DDI可以配置DNS故障检测,通过故障检测可以快速识别联通连通性,从而判断上级DNS是否可用,减少冗余查询。针对此测试项,配置故障检测RNS实例、故障检测TRACK,新建DNS集并关联检测TRACK。
DDI 配置RNS实例
配置TRACK
配置DNS集关联
测试结果如下:
在DNS故障检测配置页面可以看到检测状态变化
在DNS集配置页面可以看到上级DNS服务器可用状态
评测总结: 锐捷RG-DDI3000所提供的统一图形化管理界面,让运维工作更直观;入站智能DNS解析,能基于用户的运营商属性做出快速反应,解决跨运营商难题;“DHCP+准入控制”,令复杂而动态的内网终端接入管理更为安全。通过智能DNS广域网选路/增强型DHCP+终端准入控制,可视化接入管理的组合形式,锐捷RG-DDI3000可为用户打造一个简便、快捷、安全、可视的动态网络接入和准入体系。
PConline网友福利
第一重福利
您是如何进行网络运维的?您在网络运维中有哪些烦恼?填写下面的问卷,即有机会获得精美礼品一个(海尔八爪鱼智能按摩器)
第二重福利
我们向锐捷网络为PConline网友争取到20个一对一的网络运维专业咨询服务,如果您有需要,填写问卷最后一个问题即有机会获得。 获奖名单公布,将于7月31日本文中更新,敬请各位留意。
如果您有任何问题,请拨打售前咨询电话:4006-208-818