| 轉(zhuǎn)載:PConline,網(wǎng)址:http://network.pconline.com.cn/pingce/0906/1690082.html
UTT 3640是艾泰科技面向中小型企業(yè)���,中小型社區(qū)等環(huán)境而設(shè)計的多WAN口VPN寬帶路由器���,配備4個10/100Mbps廣域網(wǎng)接口,4個10/100Mbps局域網(wǎng)接口�,帶機(jī)量100-300臺(官方標(biāo)稱值,視具體網(wǎng)絡(luò)環(huán)境而定)���。
UTT 3640采用4 WAN口設(shè)計,不僅可以實(shí)現(xiàn)線路冗余�����,還為用戶提供了低成本擴(kuò)容上網(wǎng)帶寬的途徑��;網(wǎng)絡(luò)管理方面����,UTT 3640對帶寬分配、內(nèi)網(wǎng)用戶分組���、日志統(tǒng)計�����、時段訪問����、上網(wǎng)監(jiān)控等提供了完善的支持;上網(wǎng)行為管理方面�����,UTT 3640可以封堵QQ�、MSN和BT,對迅雷也提供了限制功能�����;在VPN接入方面���,UTT 3640支持IPSec��、L2TP以及PPTP三種VPN協(xié)議��,最多可配置50條VPN隧道����,并發(fā)30條�����。
艾泰 UTT 3640 圖 庫 評 測 論 壇 報 價 網(wǎng)上購買 UTT 3640所有的網(wǎng)絡(luò)接口被設(shè)計在了前面板上�����,包括4個10/100Mbps自適應(yīng)局域網(wǎng)接口,4個10/100Mbps自適應(yīng)廣域網(wǎng)接口��,面板中間部分為RESET按鍵����,用于將設(shè)備恢復(fù)至出廠狀態(tài),面板最左側(cè)為指示燈區(qū)域����,除了可以反映所有8個端口的工作狀態(tài)���,UTT 3640還設(shè)計有PWR�、SYS�、TRF、FLT四個顯示設(shè)備工作狀態(tài)的指示燈�����,它們分別代表:電源�、系統(tǒng)狀態(tài)、數(shù)據(jù)流量���、系統(tǒng)故障�。
艾泰UTT 3640 圖 庫 評 測 論 壇 報 價 網(wǎng)上購買
UTT 3640外觀尺寸為440mm×224mm×44mm,標(biāo)準(zhǔn)1U規(guī)格��,使用隨機(jī)附送的支架�,可安裝于標(biāo)準(zhǔn)機(jī)柜中,前置網(wǎng)絡(luò)接口設(shè)計方便用戶更改跳線和進(jìn)行一般網(wǎng)絡(luò)維護(hù)����。
本次評測我們將從三個大的方面進(jìn)行,涉及UTT 3640的基礎(chǔ)網(wǎng)絡(luò)管理功能����,策略管理,上網(wǎng)行為管理���。作為一款寬帶路由器�,這些功能對保障企業(yè)用戶的業(yè)務(wù)應(yīng)用穩(wěn)定起著主要支撐作用�����。
基礎(chǔ)網(wǎng)絡(luò)管理功能
UTT 3640管理頁面
UTT 3640的管理主頁�����,布局非常像一般網(wǎng)站的主頁。UTT 3640將管理功能分為9部分��,分別是:基本配置�����、高級配置�、系統(tǒng)管理、系統(tǒng)狀態(tài)�����、上網(wǎng)監(jiān)控��、VPN配置�����、用戶管理��、防火墻�、安全配置���。
快捷配置菜單
考慮到易用性��,UTT 3640在管理首頁設(shè)計了一個“開始”菜單��,在這一菜單中�,用戶可以快速訪問一些重要功能的配置頁面,例如配置WAN口地址�、內(nèi)網(wǎng)地址,啟用內(nèi)網(wǎng)安全防御功能等���。
多WAN口設(shè)置 作為一款多WAN口路由器��,UTT 3640的負(fù)載分配機(jī)制支持基于IP規(guī)則和基于NAT會話規(guī)則�����。同時在本頁面下端����,各端口使用狀況會以圖表方式列出����,便于用戶了解各WAN口工作狀態(tài)。
啟用身份綁定����,這一功能主要用來保障某些特殊應(yīng)用�。我們打個比方��,用戶在瀏覽網(wǎng)頁時��,流量從哪個WAN口被發(fā)送和接收都可以�,因?yàn)榇藭r的HTTP流量對“連續(xù)性”沒有要求,但對于某些應(yīng)用��,像網(wǎng)銀���、QQ�����,它們?nèi)绻c服務(wù)器建立起連接��,那這個連接將是持續(xù)的����,也就是說對“連續(xù)性”是有要求的�。UTT 3640的這一功能可以將這類應(yīng)用的連接�,從連接建立開始,到連接被釋放掉�,整個過程中將“連接會話”固定在某一WAN口上�����。
NAT規(guī)則 UTT 3640的NAT規(guī)則的類型有三種:EasyIP��,即網(wǎng)絡(luò)地址端口轉(zhuǎn)換����,多個內(nèi)部 IP 地址映射到同一個外部 IP 地址����。通過設(shè)置“權(quán)重”,可實(shí)現(xiàn)按權(quán)重比分配流量�;One2One :即靜態(tài)地址轉(zhuǎn)換,內(nèi)部 IP 地址與外部 IP 地址進(jìn)行一對一的映射���;Passthrough�����,對指定的 IP 地址不做 NAT ����,使用其實(shí)際地址連接到 Internet 。
IP/MAC綁定 IP/MAC綁定功能���,在UTT 3640中可以當(dāng)作內(nèi)網(wǎng)管理工具來使用�����,在一個比較固定的網(wǎng)絡(luò)中��,由于PC比較固定��,所以IP/MAC的對應(yīng)條目應(yīng)該也是固定的����;诖���,UTT將內(nèi)網(wǎng)用戶分為合法用戶、非法用戶�、身份未知用戶。
合法用戶指的是其IP及MAC地址與某個IP/MAC綁定條目完全匹配�����,且該條目被“允許”�;非法用戶指的是其IP及MAC地址與某個IP/MAC綁定條目完全匹配��,且該條目的“允許”未被選中,或者����,其IP和MAC地址中有且只有一個某個綁定條目的對應(yīng)信息匹配;身份未知用戶指的是除合法用戶與非法用戶之外的所有用戶�,即非IP/MAC綁定用戶。UTT 3640允許合法用戶上網(wǎng)���,禁止非法用戶上網(wǎng)�。對于身份未知用戶����,若選中“允許未被IP/MAC綁定的主機(jī)通過”,則允許上網(wǎng)�����;反之�����,則禁止上網(wǎng)���。
用戶點(diǎn)擊“導(dǎo)出ARP綁定腳本文件”��,可以從UTT 3640中下載一個批處理文件���,在每臺PC上運(yùn)行一次這個文件���,PC端將建立一條靜態(tài)的ARP記錄,這對ARP欺騙可以起到防御作用���。
IPSec VPN配置 UTT 3640支持IPSec�、L2TP以及PPTP三種VPN協(xié)議�����,可實(shí)現(xiàn)網(wǎng)關(guān)到網(wǎng)關(guān)����、遠(yuǎn)程撥號等多種形式的VPN,最多可配置50條VPN隧道�,并發(fā)30條。IPSec VPN支持自動IKE和手動密鑰���,支持ESP/AH協(xié)議���、3DES/DES/AES加密算法�、SHA1/MD5認(rèn)證算法�����。
日志信息統(tǒng)計
NAT統(tǒng)計信息 在系統(tǒng)狀態(tài)信息統(tǒng)計方面��,UTT 3640所提供的統(tǒng)計功能可以說十分完善���,包括用戶統(tǒng)計、NAT統(tǒng)計�����、DHCP統(tǒng)計��、接口統(tǒng)計��、路由和端口信息等�。每個列表中的信息條目均支持排序功能,例如上表中IP地址�、活動記錄、下載數(shù)據(jù)包/總數(shù)等等�,用戶只要點(diǎn)擊相應(yīng)條目就可實(shí)現(xiàn)A—>Z或Z—>A的排序�。
系統(tǒng)信息
UTT 3640上網(wǎng)監(jiān)控統(tǒng)計支持預(yù)置分類查尋及自定義端口號查尋
策略管理
帶寬管理 UTT 3640可配置三個帶寬限速策略�,實(shí)現(xiàn)分時段對內(nèi)網(wǎng)用戶進(jìn)行帶寬限速,對于郵件應(yīng)用可選擇不受當(dāng)前策略的限制�����。上傳及下載速率范圍從Block���、64K直到40M���、NoLimit,共50個級別�。
“時間段”一項(xiàng)需要在“時間段配置”頁面中預(yù)先進(jìn)行設(shè)置,一個時間段最多可由8個時間單元組成����,一組起始時間和結(jié)束時間的組合為一個時間單元。借助這一機(jī)制��,用戶可以配置靈活的時段策略��。
時間段配置
時段策略 在“時段策略”中�����,用戶可以引用在“時間段配置”中設(shè)定的時間段。這一頁面中的選項(xiàng)主要是對用戶的上網(wǎng)行為進(jìn)行管理���,稍后我們會測試這些策略的管理效果���。
組管理 UTT 3640支持將多個用戶(一個地址段內(nèi)的連續(xù)IP地址)定義為用戶組�,可以對整個組進(jìn)行策略管理。
在“組管理”中也可以對用戶的上網(wǎng)行為進(jìn)行管理��,與在“時段策略”中進(jìn)行的配置不同��,在“組管理”中設(shè)置的策略可以理解為是當(dāng)前用戶組的默認(rèn)策略��,但往往僅有默認(rèn)策略還是不夠的����,一天中的某一時段,我可能需要適當(dāng)修改默認(rèn)策略��,以使管理更加靈活�。時段策略就可以幫助用戶做到這點(diǎn),在設(shè)定的時間����,時段策略將替代默認(rèn)策略�����。
個性化管理 如果某人需要被特殊照顧�,在“個性化管理”中可以單獨(dú)為其配置上網(wǎng)帶寬����、上網(wǎng)行管理管理等參數(shù)。
訪問控制策略 訪問控制策略����,其中源地址組,目的地址組�����,服務(wù)組�,有單獨(dú)的頁面可以進(jìn)行設(shè)置,然后在該頁面中進(jìn)行引用�,這種先“設(shè)定”后“引用”的方式在管理上會顯得相當(dāng)靈活。
上網(wǎng)行為管理
上網(wǎng)行為管理 對于DNS過濾�,F(xiàn)ileType過濾,UTT 3640內(nèi)置了部分條目����,其工作機(jī)制與URL過濾相同���,如果用戶想過濾更多的網(wǎng)址,可以在URL過濾中進(jìn)行設(shè)置����。下面我們將僅對IM過濾,P2P過濾進(jìn)行測試�����。
 
MSN2009 攔截成功�����;QQ2008II Beta1 攔截成功
 
BitSpirit v3.3.3.167 攔截成功���;迅雷5 5.9.2.927限制成功 在這里說一下迅雷,UTT 3640提供的限制功能被描述為“禁止Thunder搜索資源”��,而并不是禁止迅雷下載�。我們都知道,迅雷下載時會連接大量的“源”�����,這也是為什么迅雷下載速度比較快的原因。UTT 3640可以限制迅雷連接其它的源��,如上圖所示����,“資源”處顯現(xiàn)的是1/1,如果不進(jìn)行限制����,那此處將會是一個非常高的值。將下載“源”限制為1����,即不會影響到員工正常下載操作,同時也能避免P2P下載軟件濫用網(wǎng)絡(luò)資源�����。
路由器通過什么方式禁止BT下載���、禁止QQ聊天���?在這里我們再多說一下,請看下面的截圖。
QQ數(shù)據(jù)包
BitSpirit數(shù)據(jù)包 不同的應(yīng)用���,使用的通信協(xié)議是不同的��,QQ所使用的協(xié)議在WIRESHARK中被識別為OICQ�,BitSpirit所使用的協(xié)議被識別為BitTorrent���。上網(wǎng)行為管理路由器可以識別這些通信協(xié)議�����,根據(jù)用戶設(shè)定的策略��,允許或禁止這些類型的數(shù)據(jù)包通過路由器���,從而實(shí)現(xiàn)對某些具體應(yīng)用的管理����。
ARP欺騙防御
ARP欺騙防御 啟用ARP更新限制后,UTT 3640將丟棄收到的免費(fèi)ARP包����,從而防止設(shè)備遭受ARP欺騙;啟用ARP廣播后,設(shè)備將會向局域網(wǎng)定期廣播自己正確的ARP信息����,從而防止局域網(wǎng)PC遭受ARP欺騙。
ARP欺騙攻擊利用的是IP協(xié)議本身所固有的缺陷實(shí)現(xiàn)的��,就目前來講����,還無法從根本上解決這一缺陷,所以各廠商都使用自己的技術(shù)來試圖解決這一問題����。UTT 3640使用了兩種機(jī)制,忽略收到的免費(fèi)ARP包���、進(jìn)行ARP廣播��。第一種機(jī)制可以讓路由器的ARP表不被惡意修改����,使路由器可以找到內(nèi)網(wǎng)中的PC機(jī)�����,第二種機(jī)制的效果是,路由器會主動的更新內(nèi)網(wǎng)PC上的ARP表����,讓PC可以找到路由器。
此處的ARP廣播間隔不宜過低��,太低的話對網(wǎng)絡(luò)資源會產(chǎn)生一定的消耗�,但也不宜太高,太高的話保護(hù)效果就不顯著了�。ARP病毒會將其它PC上的IP/MAC記錄修改成錯條的對應(yīng)關(guān)系,路由器定期發(fā)送的ARP廣播包又會將PC上的IP/MAC記錄修正��,這是一個“拉鋸式”的過程����,能否獲勝要看誰“手快”。當(dāng)然����,比較有效的方法還是在每臺PC上進(jìn)行IP/MAC綁定,用戶可以在UTT 3640中下載一個批處理程序����,在每臺PC上執(zhí)行一下���,這樣基本可以做到一勞永逸�。
性能測試
吞吐性能測試我們使用IxChariot,這也是網(wǎng)絡(luò)媒體普遍所采用的評測工具����,測試內(nèi)容是UTT 3640工作在NAT(共享上網(wǎng)方式)模式下的吞吐性能,對于IxChariot測試腳本的選擇��,我們使用的是High_Performance_Throughput.scr ��,所有參數(shù)均為默認(rèn)設(shè)置��。
10Pairs 上網(wǎng)行為管理關(guān)閉 93.723Mbps
10Pairs 上網(wǎng)行為管理啟用 93.783Mbps 由于Ixchariot本身是有損耗的�,使用Ixchariot測得的Throughput結(jié)果是有效數(shù)據(jù)負(fù)載,不包括TCP協(xié)議損耗���、幀間隔��、應(yīng)答和Ixchariot本身系統(tǒng)損耗�,此部分典型損耗根據(jù)理論計算約6M����,就是說即使你測試的是一臺能線速轉(zhuǎn)發(fā)的100Mbps交換機(jī),測出來的Throughput也只可能是94M左右�,這是理論極限值�����。從上面的測試結(jié)果來看��,在上網(wǎng)行為管理開啟或關(guān)閉的狀態(tài)下����,UTT 3640的吞吐性能均表現(xiàn)強(qiáng)勁���。
測試完吞吐性能��,接下來要測試的是在真實(shí)應(yīng)用環(huán)境下的性能�。使用IxChariot作為測試工具����。使用IxChariot中不同應(yīng)用類型的腳本組成一個腳本集,共120Pairs���,盡量模擬產(chǎn)生真實(shí)數(shù)據(jù)流量��,腳本組成如下圖�����。根據(jù)以往的測試結(jié)果�����,此腳本集的極限成績在24Mbps左右���,我們將整個腳本集進(jìn)行復(fù)制,使其達(dá)到600Pairs�,為的是增加路由器的負(fù)載。
IxChariot腳本集
600Pairs當(dāng)前測試環(huán)境性能表現(xiàn) 117.619Mbps
600Pairs LAN To WAN性能上網(wǎng)行為管理關(guān)閉 75.815Mbps
600Pairs LAN To WAN性能上網(wǎng)行為管理開啟 69.049Mbps
UTT 3640的混合數(shù)據(jù)包測試成績達(dá)到了一個不錯的水平�。為了體現(xiàn)出啟用上網(wǎng)行為管理功能前后UTT 3640的性能差別,我們除了啟用內(nèi)置的各種上網(wǎng)行為管理功能����,還開啟了域名過濾功能,并設(shè)置了100條關(guān)鍵字�����,從測試結(jié)果來看�����,性能衰減并不明顯��。
PConline評測室總結(jié)
艾泰UTT 3640 圖 庫 評 測 論 壇 報 價 網(wǎng)上購買 作為一款面向中型網(wǎng)絡(luò)環(huán)境(官方標(biāo)稱帶機(jī)量100-300臺)的多WAN口路由器,UTT 3640在基礎(chǔ)網(wǎng)絡(luò)管理和吞吐性能方面均有著出色的表現(xiàn)�。基礎(chǔ)內(nèi)網(wǎng)管理方面���,包括帶寬分配��、上網(wǎng)行為管理���,內(nèi)網(wǎng)用戶分組,日志統(tǒng)計���,時段訪問���,上網(wǎng)監(jiān)控等,UTT 3640在這些方面都提供了良好的支持�����。性能方面��,從測試結(jié)果來看�,無論是吞吐測試還是混合數(shù)據(jù)包測試,性能表現(xiàn)均令人滿意��。
VPN功能對于一些企業(yè)來講往往也是不可或缺的,UTT 3640支持IPSec����、L2TP以及PPTP三種VPN協(xié)議���,最多可配置50條VPN隧道���,并發(fā)30條,可用于連接遠(yuǎn)端總部或分支機(jī)構(gòu)網(wǎng)絡(luò)��,也可用于移動辦公用戶通過路由器遠(yuǎn)程接入公司網(wǎng)絡(luò)����。另外,UTT提供了標(biāo)準(zhǔn)的SNMP接口��,可供遠(yuǎn)程SNMP服務(wù)器管理����,支持系統(tǒng)日志功能,可通過遠(yuǎn)程SYSLOG服務(wù)器進(jìn)行日志采集���。
說到不足��,UTT 3640雖然可以設(shè)置精細(xì)的帶寬分配策略���,但對于高級QoS功能支持并不完善��。就這一問題我們詢問了艾泰公司的產(chǎn)品經(jīng)理�����,得知在艾泰即將發(fā)布的ReOS 2009新版中����,將全面支持高級QoS功能��,包括根據(jù)IP地址����、協(xié)議、服務(wù)端口等元素來進(jìn)行帶寬資源管理����。另外,對于電驢下載�,UTT 3640沒有提供攔截功能,這方面,用戶可以使用UTT 3640靈活的自定義策略功能�����,手動對電驢服務(wù)器和通信端口進(jìn)行封堵�。
| 
