|
UTT 3640是艾泰科技面向中小型企业,中小型社区等环境而设计的多WAN口VPN宽带路由器,配备4个10/100Mbps广域网接口,4个10/100Mbps局域网接口,带机量100-300台(官方标称值,视具体网络环境而定)。 UTT 3640采用4 WAN口设计,不仅可以实现线路冗余,还为用户提供了低成本扩容上网带宽的途径;网络管理方面,UTT 3640对带宽分配、内网用户分组、日志统计、时段访问、上网监控等提供了完善的支持;上网行为管理方面,UTT 3640可以封堵QQ、MSN和BT,对迅雷也提供了限制功能;在VPN接入方面,UTT 3640支持IPSec、L2TP以及PPTP三种VPN协议,最多可配置50条VPN隧道,并发30条。
UTT 3640所有的网络接口被设计在了前面板上,包括4个10/100Mbps自适应局域网接口,4个10/100Mbps自适应广域网接口,面板中间部分为RESET按键,用于将设备恢复至出厂状态,面板最左侧为指示灯区域,除了可以反映所有8个端口的工作状态,UTT 3640还设计有PWR、SYS、TRF、FLT四个显示设备工作状态的指示灯,它们分别代表:电源、系统状态、数据流量、系统故障。
UTT 3640外观尺寸为440mm×224mm×44mm,标准1U规格,使用随机附送的支架,可安装于标准机柜中,前置网络接口设计方便用户更改跳线和进行一般网络维护。 本次评测我们将从三个大的方面进行,涉及UTT 3640的基础网络管理功能,策略管理,上网行为管理。作为一款宽带路由器,这些功能对保障企业用户的业务应用稳定起着主要支撑作用。 基础网络管理功能
UTT 3640的管理主页,布局非常像一般网站的主页。UTT 3640将管理功能分为9部分,分别是:基本配置 、高级配置、系统管理、系统状态、上网监控、VPN配置、用户管理、防火墙、安全配置。
考虑到易用性,UTT 3640在管理首页设计了一个“开始”菜单,在这一菜单中,用户可以快速访问一些重要功能的配置页面,例如配置WAN口地址、内网地址,启用内网安全防御功能等。
作为一款多WAN口路由器,UTT 3640的负载分配机制支持基于IP规则和基于NAT会话规则。同时在本页面下端,各端口使用状况会以图表方式列出,便于用户了解各WAN口工作状态。 启用身份绑定,这一功能主要用来保障某些特殊应用。我们打个比方,用户在浏览网页时,流量从哪个WAN口被发送和接收都可以,因为此时的HTTP流量对“连续性”没有要求,但对于某些应用,像网银、QQ,它们如果与服务器建立起连接,那这个连接将是持续的,也就是说对“连续性”是有要求的。UTT 3640的这一功能可以将这类应用的连接,从连接建立开始,到连接被释放掉,整个过程中将“连接会话”固定在某一WAN口上。
UTT 3640的NAT规则的类型有三种:EasyIP,即网络地址端口转换,多个内部 IP 地址映射到同一个外部 IP 地址。通过设置“权重”,可实现按权重比分配流量;One2One :即静态地址转换,内部 IP 地址与外部 IP 地址进行一对一的映射;Passthrough,对指定的 IP 地址不做 NAT ,使用其实际地址连接到 Internet 。
IP/MAC绑定功能,在UTT 3640中可以当作内网管理工具来使用,在一个比较固定的网络中,由于PC比较固定,所以IP/MAC的对应条目应该也是固定的。基于此,UTT将内网用户分为合法用户、非法用户、身份未知用户。 合法用户指的是其IP及MAC地址与某个IP/MAC绑定条目完全匹配,且该条目被“允许”;非法用户指的是其IP及MAC地址与某个IP/MAC绑定条目完全匹配,且该条目的“允许”未被选中,或者,其IP和MAC地址中有且只有一个某个绑定条目的对应信息匹配;身份未知用户指的是除合法用户与非法用户之外的所有用户,即非IP/MAC绑定用户。UTT 3640允许合法用户上网,禁止非法用户上网。对于身份未知用户,若选中“允许未被IP/MAC绑定的主机通过”,则允许上网;反之,则禁止上网。 用户点击“导出ARP绑定脚本文件”,可以从UTT 3640中下载一个批处理文件,在每台PC上运行一次这个文件,PC端将建立一条静态的ARP记录,这对ARP欺骗可以起到防御作用。
UTT 3640支持IPSec、L2TP以及PPTP三种VPN协议,可实现网关到网关、远程拨号等多种形式的VPN,最多可配置50条VPN隧道,并发30条。IPSec VPN支持自动IKE和手动密钥,支持ESP/AH协议、3DES/DES/AES加密算法、SHA1/MD5认证算法。 日志信息统计
在系统状态信息统计方面,UTT 3640所提供的统计功能可以说十分完善,包括用户统计、NAT统计、DHCP统计、接口统计、路由和端口信息等。每个列表中的信息条目均支持排序功能,例如上表中IP地址、活动记录、下载数据包/总数等等,用户只要点击相应条目就可实现A—>Z或Z—>A的排序。
策略管理
UTT 3640可配置三个带宽限速策略,实现分时段对内网用户进行带宽限速,对于邮件应用可选择不受当前策略的限制。上传及下载速率范围从Block、64K直到40M、NoLimit,共50个级别。 “时间段”一项需要在“时间段配置”页面中预先进行设置,一个时间段最多可由8个时间单元组成,一组起始时间和结束时间的组合为一个时间单元。借助这一机制,用户可以配置灵活的时段策略。
在“时段策略”中,用户可以引用在“时间段配置”中设定的时间段。这一页面中的选项主要是对用户的上网行为进行管理,稍后我们会测试这些策略的管理效果。
UTT 3640支持将多个用户(一个地址段内的连续IP地址)定义为用户组,可以对整个组进行策略管理。 在“组管理”中也可以对用户的上网行为进行管理,与在“时段策略”中进行的配置不同,在“组管理”中设置的策略可以理解为是当前用户组的默认策略,但往往仅有默认策略还是不够的,一天中的某一时段,我可能需要适当修改默认策略,以使管理更加灵活。时段策略就可以帮助用户做到这点,在设定的时间,时段策略将替代默认策略。
如果某人需要被特殊照顾,在“个性化管理”中可以单独为其配置上网带宽、上网行管理管理等参数。
访问控制策略,其中源地址组,目的地址组,服务组,有单独的页面可以进行设置,然后在该页面中进行引用,这种先“设定”后“引用”的方式在管理上会显得相当灵活。 上网行为管理
对于DNS过滤,FileType过滤,UTT 3640内置了部分条目,其工作机制与URL过滤相同,如果用户想过滤更多的网址,可以在URL过滤中进行设置。下面我们将仅对IM过滤,P2P过滤进行测试。
在这里说一下迅雷,UTT 3640提供的限制功能被描述为“禁止Thunder搜索资源”,而并不是禁止迅雷下载。我们都知道,迅雷下载时会连接大量的“源”,这也是为什么迅雷下载速度比较快的原因。UTT 3640可以限制迅雷连接其它的源,如上图所示,“资源”处显现的是1/1,如果不进行限制,那此处将会是一个非常高的值。将下载“源”限制为1,即不会影响到员工正常下载操作,同时也能避免P2P下载软件滥用网络资源。 路由器通过什么方式禁止BT下载、禁止QQ聊天?在这里我们再多说一下,请看下面的截图。
不同的应用,使用的通信协议是不同的,QQ所使用的协议在WIRESHARK中被识别为OICQ,BitSpirit所使用的协议被识别为BitTorrent。上网行为管理路由器可以识别这些通信协议,根据用户设定的策略,允许或禁止这些类型的数据包通过路由器,从而实现对某些具体应用的管理。 ARP欺骗防御
启用ARP更新限制后,UTT 3640将丢弃收到的免费ARP包,从而防止设备遭受ARP欺骗;启用ARP广播后,设备将会向局域网定期广播自己正确的ARP信息,从而防止局域网PC遭受ARP欺骗。 ARP欺骗攻击利用的是IP协议本身所固有的缺陷实现的,就目前来讲,还无法从根本上解决这一缺陷,所以各厂商都使用自己的技术来试图解决这一问题。UTT 3640使用了两种机制,忽略收到的免费ARP包、进行ARP广播。第一种机制可以让路由器的ARP表不被恶意修改,使路由器可以找到内网中的PC机,第二种机制的效果是,路由器会主动的更新内网PC上的ARP表,让PC可以找到路由器。 此处的ARP广播间隔不宜过低,太低的话对网络资源会产生一定的消耗,但也不宜太高,太高的话保护效果就不显著了。ARP病毒会将其它PC上的IP/MAC记录修改成错条的对应关系,路由器定期发送的ARP广播包又会将PC上的IP/MAC记录修正,这是一个“拉锯式”的过程,能否获胜要看谁“手快”。当然,比较有效的方法还是在每台PC上进行IP/MAC绑定,用户可以在UTT 3640中下载一个批处理程序,在每台PC上执行一下,这样基本可以做到一劳永逸。 性能测试 吞吐性能测试我们使用IxChariot,这也是网络媒体普遍所采用的评测工具,测试内容是UTT 3640工作在NAT(共享上网方式)模式下的吞吐性能,对于IxChariot测试脚本的选择,我们使用的是High_Performance_Throughput.scr ,所有参数均为默认设置。
由于Ixchariot本身是有损耗的,使用Ixchariot测得的Throughput结果是有效数据负载,不包括TCP协议损耗、帧间隔、应答和Ixchariot本身系统损耗,此部分典型损耗根据理论计算约6M,就是说即使你测试的是一台能线速转发的100Mbps交换机,测出来的Throughput也只可能是94M左右,这是理论极限值。从上面的测试结果来看,在上网行为管理开启或关闭的状态下,UTT 3640的吞吐性能均表现强劲。 测试完吞吐性能,接下来要测试的是在真实应用环境下的性能。使用IxChariot作为测试工具。使用IxChariot中不同应用类型的脚本组成一个脚本集,共120Pairs,尽量模拟产生真实数据流量,脚本组成如下图。根据以往的测试结果,此脚本集的极限成绩在24Mbps左右,我们将整个脚本集进行复制,使其达到600Pairs,为的是增加路由器的负载。
UTT 3640的混合数据包测试成绩达到了一个不错的水平。为了体现出启用上网行为管理功能前后UTT 3640的性能差别,我们除了启用内置的各种上网行为管理功能,还开启了域名过滤功能,并设置了100条关键字,从测试结果来看,性能衰减并不明显。 PConline评测室总结
作为一款面向中型网络环境(官方标称带机量100-300台)的多WAN口路由器,UTT 3640在基础网络管理和吞吐性能方面均有着出色的表现。基础内网管理方面,包括带宽分配、上网行为管理,内网用户分组,日志统计,时段访问,上网监控等,UTT 3640在这些方面都提供了良好的支持。性能方面,从测试结果来看,无论是吞吐测试还是混合数据包测试,性能表现均令人满意。 VPN功能对于一些企业来讲往往也是不可或缺的,UTT 3640支持IPSec、L2TP以及PPTP三种VPN协议,最多可配置50条VPN隧道,并发30条,可用于连接远端总部或分支机构网络,也可用于移动办公用户通过路由器远程接入公司网络。另外,UTT提供了标准的SNMP接口,可供远程SNMP服务器管理,支持系统日志功能,可通过远程SYSLOG服务器进行日志采集。 说到不足,UTT 3640提供的QoS功能并不完善,虽然可以设置精细的带宽分配策略,但对于高级QoS功能支持并不完善。就这一问题我们询问了艾泰公司的产品经理,得知在艾泰即将发布的ReOS2009新版中,将全面支持高级QoS功能,包括根据IP地址、协议、服务端口等元素来进行带宽资源管理。另外,对于电驴下载,UTT 3640没有提供拦截功能,这方面,用户可以借助UTT 3640灵活的自定义策略功能,手动对电驴服务器和通信端口进行封堵。这属于软件范畴,希望随着固件的更新,这项功能能更方便的被使用。 |
正在阅读:功能丰富性能强 艾泰UTT3640路由器首测功能丰富性能强 艾泰UTT3640路由器首测
2009-06-29 06:31
出处:PConline原创
责任编辑:gaohongjun
