正在阅读：功能多多性能不错 Zyxel Zywall 2 Plus路由器功能多多性能不错 Zyxel Zywall 2 Plus路由器

　　今天为大家带来一款Zyxel (合勤) 的 Zywall 2 Plus路由器。大家可能还记得Zyxel之前推出过一款Zywall 2。这两款路由器都是入门级的产品，同样都是4端口10/100的路由器，包含了SPI防火墙以及IPsec 端点，并支持2通道，良好运行于多层路由下的较大网络。至于Zywall 2 和 2 Plus的最主要区别在于……请看表格1：

　　Zywall 2 Plus的外观设计的跟普通的DVD机有点像，高度也差不多。外壳是塑料制成，底部有两枚螺丝将整个盒子固定好。图1显示的是前端面板上的LED指示灯。广角度可见，并且比较明亮。

图1：前端面板

　　图2则是可使用的端口。其中包括两个RJ45 socket，支持串行端口连接到控制设备，以及支持后备modem防止拨号失败。

图2：背部面板

内部细节

　　图3便是2 Plus主板的靓照。内部主要部件有一个266MHz Intel IXP422 CPU，32MB SDRAM 以及 8MB闪存。还有一个Marvell Link Street 88E6060 6口以太网转换器。

图3： 2plus的主板

安装与设置－LAN

　　除了IPsec端点之外，2 plus还有一大堆布线和防火墙功能，比普通的入门路由器要多得多。在小型企业群里，用惯了低端的Cisco，Juniper以及其他“专业”路由器的IT同伴们也会觉得此款2 plus很不错。不过也可能有些人有时候会觉得它的用户界面有些突兀。

　　这里有一个好消息和一个坏消息。好消息是：Zyxel向用户提供了大量的资料文件，比普通路由器要多。而坏消息是：这些参考资料很可能会用到，但到头来才发现这些资料用去并不大。高达613页的用户指南，大部分都是阐述“什么是……”和“哪里是……”的问题。很少解决“如何……”以及“为什么……”。即便是给出了例子，经常会因为缺少关键信息或者要仔细阅读几遍才能弄明白。

　　尽管如此，初次安装也说不上是非常差劲。2 plus的默认IP设置为192.168.1.1，而且DHCP服务器也默认开启，所以连接到网络上并且进入管理界面相对比较简单。登陆界面已经自动输入了初始密码，唯一要做的就只剩下点击“登陆”按钮。之后会得到修改初始密码的提示，当然也可以不修改，点击“忽略”按钮即可。不过之后每次登陆都会提示，直到把密码修改了。

　　接下来的页面会提示用户创建一个自定义安全认证（为IPsec通道创建），修改路由器的MAC地址取代出厂默认认证。这个是不能使用出厂默认的，所以点击一下按钮就可以完成了，之后页面跳转到了“主页”（图4），这里提供了一些有用的数据。

图4：主页

　　Internet登陆向导并不是非常有用，只是将屏幕跳转到了可以手动设置以太网，PPPoE或者PPTP“封装”界面。如：Internet连接类型，WAN IP的动态IP地址分配或者其他的一些数据。所以Zyxel的手动设置感觉起来有点不爽。另外一个缺点是“向导”并没有列出各个数据封装的设置选项。（这个迟点我们会提到）不过这个手动“向导”已经可以满足大部分IT人员。

　　VPN向导按钮就相对有用多了，不过还是迟点说到VPN的时候再专门讲解。显示数据，显示DHCP列表和VPN状态 的按钮在弹出窗口的底部连同相关信息一起显示。

　　在“LAN”页面，如图5，显示了相关的设置，部分设置还给出了说明。而在“静态DHCP”选项卡下，用户可以根据MAC地址分配IP地址，对于经常使用像NAS，打印机，服务器的用户们就方便的多。更方便的分配IP方式就是点击主页下的“显示DHCP列表”进行分配。而路由器还支持输入输出双向RIP-1, 2B 和 2M动态路由选择协议。

图 5: LAN 界面

　　必须承认，我搞不懂“IP别名”功能（图6）是用来干什么的，同时在用户手册上也找不到相关的说明。看起来像是具有VLAN之类的功能，但是LAN的跨段数据流由2 plus的防火墙规则控制。

图 6: IP 别名界面

安装与设置－WAN

　　网络>WAN的页面再次出现了大量的选项，对于非专业的IT人员来说有点吃力。在“路由”选项卡下，用户可以为WAN设置“路由优先”，传输重定向以及后备拨号功能。同时还包含了检验栏，允许Windows网络（NetBIOS 通过 TCP/IP）执行拨号，并允许WAN和LAN网络间传输。

　　之前提到过，图7的WAN界面比“Internet登陆向导”提供更多的WAN设置选项。除了服务类型之外，大部分的选项都支持PPPoE 和 PPTP连接。PPPoE 和 PPTP的设置选项包括PAP/CHAP，PAP 和 CHAP验证 与连接固定，但找不到MTU调整控制。

图 7: WAN界面

　　传输重定向 和 后备拨号选项卡支持后备启用功能，正常Internet连接失败后，可通过2个后备设置进行连接。传输重定向功能则可以Ping一个由用户输入的WAN IP地址。（Ping的时间和响应超时的时间都是可以设置的） 还可以将2 Plus的网关地址转换成用户输入的IP地址。如果连接失败了，可以把后备拨号功能选上，如图8。2 plus提供串行端口（通过RJ45连接器连接），不过我并没对此进行测试。

图8: 后备拨号界面

防火墙

　　2 Plus有一个功能完整，基于规则管理的SPI防火墙，从路由器的NAT功能独立出来进行管理。这里说独立是因为2 Plus不会自动创建相应的防火墙规则，例如在NAT界面映射一个端口的时候，防火墙不会自动对此创建规则。

　　唯一体现用户友善性的是一些NAT区域页面上会提示用户需要创建一个防火墙规则。这是另外一处IT新手们会感觉2 plus不错的地方，不过资深的管理员则会觉得它烦人。图9是“防火墙默认规则”的截图，这里我们可以看到防火墙选项。

图9：防火墙默认规则界面

　　LAN to LAN / ZyWall选项是用来协助之前我们提到的IP假名功能。而WAN to WAN / ZyWall则管理IPsec通道防火墙工作。WAN to LAN功能则方便用户自行加强输入的数据包的管理，而非NAT的防火墙和端口映射功能。最后，LAN to WAN则允许用户自行设置规则，也就是大部分路由器的端口或者应用程序过滤功能。

　　图10显示了“编辑规则”界面。编辑规则功能是用来创建可编辑规则。当然，如果在默认列表上没有找到你想要的服务，可以点击“服务”选项卡添加一个。

图 10: 防火墙规则编辑界面

　　“服务”编辑界面允许用户为服务命名以及输入它的端口范围，同时还可以选择TCP, UDP, TCP/UDP, ICMP和自定义（输入协议号码）协议。防火墙选项卡还允许用户关闭DoS攻击保护功能。Ping由“反探针”部分控制。

　　继续来到“内容过滤器”，图11显示了主要的选项。值得注意的是定义一个“已阻止”的信息和重定向URL功能。用户也可以定义“例外”内容过滤的机器。由于例外功能是根据IP地址，而不是MAC地址，所以用户最好分配静态地址，否则，网络里面的机器可以通过修改IP地址获得例外权限。

图 11: 内容管理器综合界面

　　“分类列表”屏幕（图12）整合了一个来自Bluecoat的过滤服务。用户通过选择上面的分类，点击注册按钮，用户可以获得一个月的订阅。

图 12: 内容过滤分类屏幕

　　如果用户过滤的要求并不需要很高（或者手头比较紧）的话，用户可以使用自定义化选项卡，自行创建一个“可信的”和“禁止的”网址列表，以及关键字URL过滤。我快速的检验了一下关键字URL过滤功能，发现过滤器还挺聪明的，不但可以过滤包含关键字的网址，连同IP地址也一起过滤掉了。在“缓存”选项卡下，还可以控制日志保存的时间（1-720小时），日志记录了用户尝试访问“可信的”和“禁止的”网站。查看和清除日志也是在这里进行。

图 13: VPN 规则页面

　　图14的是网关策略的编辑页面，上面包含了许多选项。在这里可以启动冗余远程网关（"VPN High Availability (HA)"功能），使用身分认证以及使用内置认证数据库或者外部RADIUS服务器的扩展认证选项。网关策略可以控制本地网关的动态IP地址，不过远程的就必须使用固定IP或域名。

图 14: VPN 网关策略页面

VPN - more

　　认证部分（图15）颇为强大，包括了几个选项卡，可对证书进行设置：信任的CA（认证授权），信任的远程主机和目录服务器。
 

图 15: 认证页面

图16:创建认证的页面

　　设置完认证各项之后，用户就需要为隧道建立一个网络策略。相关的控制选项如图17。

图 17: VPN 网络策略页面

　　输入规则之后，就开始尝试运行隧道。这时出现了一个问题，防火墙很快就阻断了连接。而日志的提示也太过“专业”化了，搞不懂是什么原因。（请看图18）只有Zyxel的工程师才明白。有趣的是，如果成功创建隧道的的话，日志会显示“隧道已成功建立”字样，建立失败的话就没什么提示了。

图 18: 日志显示IPsec 隧道设置失败

　　把有问题的规则去掉后，隧道就正常运作了。在SA监视器页面可以看到已建立和运行的隧道。（如果在首页也提供相关的指示更佳）至于Global设置卡则包括了输入和输出空闲时间设置，以及网关域名更新时间和TCP最大段长度(MSS)控制。后者默认“自动”，还有“关闭”以及“自定义”选项。

　　总的来说，这不是我遇到的最棘手的IPsec设置。不过之前我已经说了，2 Plus的友善度在IPsec方面表现的不是很突出。而Zyxel也让用户自行选择一个IPsec客户端，以使连接更安全。
NAT 功能

　　除了防火墙，内容过滤器和VPN服务之外，2 Plus的NAT功能也比较普遍的路由器要多。第一，用户可以为每台主机定义并行会话的最大数量。默认是2048个，最大是3000个。用户也可以完全关闭NAT功能。

　　如果用户从ISP商那里获得了多个IP地址的话，2 Plus帮用户发挥最大的功效。在地址映射页面包含了支持的NAT映射类型，其中有：一对一，多对一，多对多过载，多个一对一以及服务器。

　　只有单个WAN IP地址的用户将跳过地址映射页面，并使用端口映射规则，如图19所示。（截图顶部的“默认服务器”跟其他NAT路由器的“DMZ”功能一样。）用户也可以使用输入端口和触发端口的范围来定义12条端口触发规则。

图 19: NAT端口映射页面

　　其他的管理软件包括通用即插即用(UPnP)和应用层网关(ALG)支持。UPnP默认关闭。UPnP端口页面也可以把想要保存的规则存入闪存。

　　ALG的选项则更为简单，可以处理FTP, H.323和SIP。用户可对SIP ALG默认的3600秒超时进行更改，或者入0将其关闭。

　　静态路由页面允许用户定义最多11个静态路由，包含目标IP地址，子网掩码，网关IP。

　　在带宽管理页面可以通过共享或者优先两项分开管理WAN到 LAN，以及LAN 到 WAN的数据传输。 用户也可以为双向传输设定最大速度，运用8个优先级定义传输的类和子类（图20）。

图20: 带宽管理

　　跟2 plus的其他功能一样，DNS控制也显得比较灵活。用户可以输入地址记录并分配这些地址。不同的域可使用不同的DNS服务器，ISP，Public 或 Private DNS都可以自行调配。

　　图21显示了2 plus的众多管理选项。HTTPs管理默认打开，不过需要注意，在浏览器输入2 plus的IP地址的时候，要在前面添加https://，比普通的http多一个s。用户也可以通过SSH和Telnet进入命令行界面。当然，用户也可以限制使用SSH和Telnet的IP，也为各个服务定义不同的端口。
 

图21: 远程管理界面

　　如果用户不喜欢通过浏览器上传和下载路由器保存设置和固件升级的话，可以通过FTP登陆，同样可以限制登陆IP和端口。

日志功能

　　再接下来我们来看看2 plus的日志和其他功能。日志比普通路由器的来的详细，包含了来源，目标IP地址，和注析。端口扫描以及其他行为将被认为是攻击行为，用红色字体记录，并表明“攻击”字样。日志查看器可以通过升序或者是降序时间/日期来显示记录，也可以只显示符合特定条件的记录。

　　日志可以立即或者定期通过Email发送给用户，也可以手动刷新和清除。图22显示了日志邮件支持SMTP认证，不过缺少一个测试按钮，以方便用户查看是否能够发送Email。

图 22: 日志设置界面

性能和总结

　　测试路由和VPN隧道吞吐量的时候我使用了IxChariot，固件版本为V4.00(XU.2) | 07/26/2006。省去了查看响应时间（ping）的步骤，因为现在的路由器最小响应时间都在1毫秒以下。

　　测试UDP的吞吐量，结果遭遇失败。, Qcheck 和 IxChariot不支持一些具有SPI防火墙功能的NAT路由器。表2显示了相关的性能。尽管打开了防火墙，吞吐量也达到了30+Mbps，比一般的宽带连接多出一截。

表 2:路由吞吐量

表 3: IPsec隧道吞吐量

　　所以，结果是，Zyxel把Zywall 2 plus整个武装了起来，不论是功能上还是性能上。Zyxel产品的用户界面一向都是比较复杂，2 plus也继承了这个传统，初级用户使用起来有点困难。虽然防火墙方面相对同等价位的产品来说，能够赢来很多的鲜花，但是最简单的NAT路由器也懂得如何在端口映射之后，在防火墙上作出相应的调整，2 plus却做不到。这一点，为2 plus赢来了一些转头。

　　还有一个不足点是在IPsec方面。同一层次其他的厂商都会提供最少一个IPsec客户端。Zyxel应当也如此，并在客户端上设好默认设置，免去不必要的麻烦。同时只有双隧道的设计也显得有点吝啬。大概同一价位的Netgear's FVS124G都支持25条隧道，4个千兆转换器以及双WAN端口。

　　总的来说，Zyxel Zywall 2 plus是一个具有先进防火墙的不错的双隧道IPsec路由器。如果不介意较少的隧道数量，以及需要经常设置规则性防火墙的话，这款产品将能很好为你服务。