| 轉(zhuǎn)載:PConline,網(wǎng)址:http://network.pconline.com.cn/pingce/0906/1690082.html
UTT 3640是艾泰科技面向中小型企業(yè),中小型社區(qū)等環(huán)境而設(shè)計(jì)的多WAN口VPN寬帶路由器����,配備4個(gè)10/100Mbps廣域網(wǎng)接口,4個(gè)10/100Mbps局域網(wǎng)接口��,帶機(jī)量100-300臺(tái)(官方標(biāo)稱值���,視具體網(wǎng)絡(luò)環(huán)境而定)��。
UTT 3640采用4 WAN口設(shè)計(jì)���,不僅可以實(shí)現(xiàn)線路冗余,還為用戶提供了低成本擴(kuò)容上網(wǎng)帶寬的途徑��;網(wǎng)絡(luò)管理方面���,UTT 3640對(duì)帶寬分配�����、內(nèi)網(wǎng)用戶分組�、日志統(tǒng)計(jì)、時(shí)段訪問(wèn)��、上網(wǎng)監(jiān)控等提供了完善的支持���;上網(wǎng)行為管理方面�����,UTT 3640可以封堵QQ�、MSN和BT�����,對(duì)迅雷也提供了限制功能���;在VPN接入方面�����,UTT 3640支持IPSec����、L2TP以及PPTP三種VPN協(xié)議�,最多可配置50條VPN隧道,并發(fā)30條���。
艾泰 UTT 3640 圖 庫(kù) 評(píng) 測(cè) 論 壇 報(bào) 價(jià) 網(wǎng)上購(gòu)買(mǎi) UTT 3640所有的網(wǎng)絡(luò)接口被設(shè)計(jì)在了前面板上,包括4個(gè)10/100Mbps自適應(yīng)局域網(wǎng)接口�����,4個(gè)10/100Mbps自適應(yīng)廣域網(wǎng)接口,面板中間部分為RESET按鍵�,用于將設(shè)備恢復(fù)至出廠狀態(tài)���,面板最左側(cè)為指示燈區(qū)域,除了可以反映所有8個(gè)端口的工作狀態(tài)��,UTT 3640還設(shè)計(jì)有PWR��、SYS�����、TRF�、FLT四個(gè)顯示設(shè)備工作狀態(tài)的指示燈,它們分別代表:電源�����、系統(tǒng)狀態(tài)����、數(shù)據(jù)流量����、系統(tǒng)故障���。
艾泰UTT 3640 圖 庫(kù) 評(píng) 測(cè) 論 壇 報(bào) 價(jià) 網(wǎng)上購(gòu)買(mǎi)
UTT 3640外觀尺寸為440mm×224mm×44mm,標(biāo)準(zhǔn)1U規(guī)格����,使用隨機(jī)附送的支架,可安裝于標(biāo)準(zhǔn)機(jī)柜中�����,前置網(wǎng)絡(luò)接口設(shè)計(jì)方便用戶更改跳線和進(jìn)行一般網(wǎng)絡(luò)維護(hù)���。
本次評(píng)測(cè)我們將從三個(gè)大的方面進(jìn)行��,涉及UTT 3640的基礎(chǔ)網(wǎng)絡(luò)管理功能�����,策略管理��,上網(wǎng)行為管理。作為一款寬帶路由器�,這些功能對(duì)保障企業(yè)用戶的業(yè)務(wù)應(yīng)用穩(wěn)定起著主要支撐作用�。
基礎(chǔ)網(wǎng)絡(luò)管理功能
UTT 3640管理頁(yè)面
UTT 3640的管理主頁(yè)�,布局非常像一般網(wǎng)站的主頁(yè)。UTT 3640將管理功能分為9部分��,分別是:基本配置���、高級(jí)配置��、系統(tǒng)管理�����、系統(tǒng)狀態(tài)�����、上網(wǎng)監(jiān)控�����、VPN配置���、用戶管理��、防火墻��、安全配置���。
快捷配置菜單
考慮到易用性,UTT 3640在管理首頁(yè)設(shè)計(jì)了一個(gè)“開(kāi)始”菜單��,在這一菜單中��,用戶可以快速訪問(wèn)一些重要功能的配置頁(yè)面�,例如配置WAN口地址、內(nèi)網(wǎng)地址����,啟用內(nèi)網(wǎng)安全防御功能等。
多WAN口設(shè)置 作為一款多WAN口路由器���,UTT 3640的負(fù)載分配機(jī)制支持基于IP規(guī)則和基于NAT會(huì)話規(guī)則。同時(shí)在本頁(yè)面下端����,各端口使用狀況會(huì)以圖表方式列出����,便于用戶了解各WAN口工作狀態(tài)。
啟用身份綁定����,這一功能主要用來(lái)保障某些特殊應(yīng)用���。我們打個(gè)比方,用戶在瀏覽網(wǎng)頁(yè)時(shí)�,流量從哪個(gè)WAN口被發(fā)送和接收都可以,因?yàn)榇藭r(shí)的HTTP流量對(duì)“連續(xù)性”沒(méi)有要求��,但對(duì)于某些應(yīng)用���,像網(wǎng)銀、QQ�,它們?nèi)绻c服務(wù)器建立起連接���,那這個(gè)連接將是持續(xù)的����,也就是說(shuō)對(duì)“連續(xù)性”是有要求的����。UTT 3640的這一功能可以將這類(lèi)應(yīng)用的連接�,從連接建立開(kāi)始�,到連接被釋放掉,整個(gè)過(guò)程中將“連接會(huì)話”固定在某一WAN口上�����。
NAT規(guī)則 UTT 3640的NAT規(guī)則的類(lèi)型有三種:EasyIP,即網(wǎng)絡(luò)地址端口轉(zhuǎn)換����,多個(gè)內(nèi)部 IP 地址映射到同一個(gè)外部 IP 地址。通過(guò)設(shè)置“權(quán)重”���,可實(shí)現(xiàn)按權(quán)重比分配流量;One2One :即靜態(tài)地址轉(zhuǎn)換�����,內(nèi)部 IP 地址與外部 IP 地址進(jìn)行一對(duì)一的映射�;Passthrough��,對(duì)指定的 IP 地址不做 NAT ���,使用其實(shí)際地址連接到 Internet 。
IP/MAC綁定 IP/MAC綁定功能�����,在UTT 3640中可以當(dāng)作內(nèi)網(wǎng)管理工具來(lái)使用,在一個(gè)比較固定的網(wǎng)絡(luò)中�����,由于PC比較固定���,所以IP/MAC的對(duì)應(yīng)條目應(yīng)該也是固定的���;诖耍琔TT將內(nèi)網(wǎng)用戶分為合法用戶�����、非法用戶�����、身份未知用戶��。
合法用戶指的是其IP及MAC地址與某個(gè)IP/MAC綁定條目完全匹配,且該條目被“允許”�����;非法用戶指的是其IP及MAC地址與某個(gè)IP/MAC綁定條目完全匹配��,且該條目的“允許”未被選中�����,或者,其IP和MAC地址中有且只有一個(gè)某個(gè)綁定條目的對(duì)應(yīng)信息匹配��;身份未知用戶指的是除合法用戶與非法用戶之外的所有用戶����,即非IP/MAC綁定用戶��。UTT 3640允許合法用戶上網(wǎng)�,禁止非法用戶上網(wǎng)�����。對(duì)于身份未知用戶,若選中“允許未被IP/MAC綁定的主機(jī)通過(guò)”�����,則允許上網(wǎng);反之��,則禁止上網(wǎng)���。
用戶點(diǎn)擊“導(dǎo)出ARP綁定腳本文件”�����,可以從UTT 3640中下載一個(gè)批處理文件��,在每臺(tái)PC上運(yùn)行一次這個(gè)文件���,PC端將建立一條靜態(tài)的ARP記錄,這對(duì)ARP欺騙可以起到防御作用。
IPSec VPN配置 UTT 3640支持IPSec���、L2TP以及PPTP三種VPN協(xié)議��,可實(shí)現(xiàn)網(wǎng)關(guān)到網(wǎng)關(guān)�����、遠(yuǎn)程撥號(hào)等多種形式的VPN���,最多可配置50條VPN隧道,并發(fā)30條��。IPSec VPN支持自動(dòng)IKE和手動(dòng)密鑰��,支持ESP/AH協(xié)議��、3DES/DES/AES加密算法�����、SHA1/MD5認(rèn)證算法���。
日志信息統(tǒng)計(jì)
NAT統(tǒng)計(jì)信息 在系統(tǒng)狀態(tài)信息統(tǒng)計(jì)方面�����,UTT 3640所提供的統(tǒng)計(jì)功能可以說(shuō)十分完善���,包括用戶統(tǒng)計(jì)����、NAT統(tǒng)計(jì)、DHCP統(tǒng)計(jì)、接口統(tǒng)計(jì)��、路由和端口信息等����。每個(gè)列表中的信息條目均支持排序功能�,例如上表中IP地址、活動(dòng)記錄�����、下載數(shù)據(jù)包/總數(shù)等等����,用戶只要點(diǎn)擊相應(yīng)條目就可實(shí)現(xiàn)A—>Z或Z—>A的排序����。
系統(tǒng)信息
UTT 3640上網(wǎng)監(jiān)控統(tǒng)計(jì)支持預(yù)置分類(lèi)查尋及自定義端口號(hào)查尋
策略管理
帶寬管理 UTT 3640可配置三個(gè)帶寬限速策略����,實(shí)現(xiàn)分時(shí)段對(duì)內(nèi)網(wǎng)用戶進(jìn)行帶寬限速��,對(duì)于郵件應(yīng)用可選擇不受當(dāng)前策略的限制。上傳及下載速率范圍從Block��、64K直到40M�����、NoLimit,共50個(gè)級(jí)別����。
“時(shí)間段”一項(xiàng)需要在“時(shí)間段配置”頁(yè)面中預(yù)先進(jìn)行設(shè)置�����,一個(gè)時(shí)間段最多可由8個(gè)時(shí)間單元組成�,一組起始時(shí)間和結(jié)束時(shí)間的組合為一個(gè)時(shí)間單元。借助這一機(jī)制���,用戶可以配置靈活的時(shí)段策略。
時(shí)間段配置
時(shí)段策略 在“時(shí)段策略”中,用戶可以引用在“時(shí)間段配置”中設(shè)定的時(shí)間段��。這一頁(yè)面中的選項(xiàng)主要是對(duì)用戶的上網(wǎng)行為進(jìn)行管理����,稍后我們會(huì)測(cè)試這些策略的管理效果���。
組管理 UTT 3640支持將多個(gè)用戶(一個(gè)地址段內(nèi)的連續(xù)IP地址)定義為用戶組��,可以對(duì)整個(gè)組進(jìn)行策略管理����。
在“組管理”中也可以對(duì)用戶的上網(wǎng)行為進(jìn)行管理��,與在“時(shí)段策略”中進(jìn)行的配置不同����,在“組管理”中設(shè)置的策略可以理解為是當(dāng)前用戶組的默認(rèn)策略��,但往往僅有默認(rèn)策略還是不夠的�,一天中的某一時(shí)段,我可能需要適當(dāng)修改默認(rèn)策略����,以使管理更加靈活�����。時(shí)段策略就可以幫助用戶做到這點(diǎn)����,在設(shè)定的時(shí)間�����,時(shí)段策略將替代默認(rèn)策略��。
個(gè)性化管理 如果某人需要被特殊照顧�,在“個(gè)性化管理”中可以單獨(dú)為其配置上網(wǎng)帶寬���、上網(wǎng)行管理管理等參數(shù)。
訪問(wèn)控制策略 訪問(wèn)控制策略,其中源地址組����,目的地址組,服務(wù)組���,有單獨(dú)的頁(yè)面可以進(jìn)行設(shè)置,然后在該頁(yè)面中進(jìn)行引用,這種先“設(shè)定”后“引用”的方式在管理上會(huì)顯得相當(dāng)靈活。
上網(wǎng)行為管理
上網(wǎng)行為管理 對(duì)于DNS過(guò)濾��,F(xiàn)ileType過(guò)濾,UTT 3640內(nèi)置了部分條目,其工作機(jī)制與URL過(guò)濾相同���,如果用戶想過(guò)濾更多的網(wǎng)址�,可以在URL過(guò)濾中進(jìn)行設(shè)置��。下面我們將僅對(duì)IM過(guò)濾�,P2P過(guò)濾進(jìn)行測(cè)試。
 
MSN2009 攔截成功����;QQ2008II Beta1 攔截成功
 
BitSpirit v3.3.3.167 攔截成功;迅雷5 5.9.2.927限制成功 在這里說(shuō)一下迅雷��,UTT 3640提供的限制功能被描述為“禁止Thunder搜索資源”���,而并不是禁止迅雷下載�����。我們都知道���,迅雷下載時(shí)會(huì)連接大量的“源”��,這也是為什么迅雷下載速度比較快的原因����。UTT 3640可以限制迅雷連接其它的源,如上圖所示����,“資源”處顯現(xiàn)的是1/1�,如果不進(jìn)行限制,那此處將會(huì)是一個(gè)非常高的值�。將下載“源”限制為1,即不會(huì)影響到員工正常下載操作�,同時(shí)也能避免P2P下載軟件濫用網(wǎng)絡(luò)資源��。
路由器通過(guò)什么方式禁止BT下載���、禁止QQ聊天����?在這里我們?cè)俣嗾f(shuō)一下����,請(qǐng)看下面的截圖。
QQ數(shù)據(jù)包
BitSpirit數(shù)據(jù)包 不同的應(yīng)用�����,使用的通信協(xié)議是不同的�����,QQ所使用的協(xié)議在WIRESHARK中被識(shí)別為OICQ���,BitSpirit所使用的協(xié)議被識(shí)別為BitTorrent�。上網(wǎng)行為管理路由器可以識(shí)別這些通信協(xié)議����,根據(jù)用戶設(shè)定的策略�,允許或禁止這些類(lèi)型的數(shù)據(jù)包通過(guò)路由器�,從而實(shí)現(xiàn)對(duì)某些具體應(yīng)用的管理。
ARP欺騙防御
ARP欺騙防御 啟用ARP更新限制后�,UTT 3640將丟棄收到的免費(fèi)ARP包,從而防止設(shè)備遭受ARP欺騙���;啟用ARP廣播后�,設(shè)備將會(huì)向局域網(wǎng)定期廣播自己正確的ARP信息�,從而防止局域網(wǎng)PC遭受ARP欺騙����。
ARP欺騙攻擊利用的是IP協(xié)議本身所固有的缺陷實(shí)現(xiàn)的,就目前來(lái)講�,還無(wú)法從根本上解決這一缺陷,所以各廠商都使用自己的技術(shù)來(lái)試圖解決這一問(wèn)題�����。UTT 3640使用了兩種機(jī)制�����,忽略收到的免費(fèi)ARP包�、進(jìn)行ARP廣播���。第一種機(jī)制可以讓路由器的ARP表不被惡意修改,使路由器可以找到內(nèi)網(wǎng)中的PC機(jī)�����,第二種機(jī)制的效果是���,路由器會(huì)主動(dòng)的更新內(nèi)網(wǎng)PC上的ARP表��,讓PC可以找到路由器���。
此處的ARP廣播間隔不宜過(guò)低,太低的話對(duì)網(wǎng)絡(luò)資源會(huì)產(chǎn)生一定的消耗��,但也不宜太高����,太高的話保護(hù)效果就不顯著了。ARP病毒會(huì)將其它PC上的IP/MAC記錄修改成錯(cuò)條的對(duì)應(yīng)關(guān)系����,路由器定期發(fā)送的ARP廣播包又會(huì)將PC上的IP/MAC記錄修正,這是一個(gè)“拉鋸式”的過(guò)程�,能否獲勝要看誰(shuí)“手快”��。當(dāng)然����,比較有效的方法還是在每臺(tái)PC上進(jìn)行IP/MAC綁定��,用戶可以在UTT 3640中下載一個(gè)批處理程序�����,在每臺(tái)PC上執(zhí)行一下����,這樣基本可以做到一勞永逸�����。
性能測(cè)試
吞吐性能測(cè)試我們使用IxChariot�,這也是網(wǎng)絡(luò)媒體普遍所采用的評(píng)測(cè)工具,測(cè)試內(nèi)容是UTT 3640工作在NAT(共享上網(wǎng)方式)模式下的吞吐性能�,對(duì)于IxChariot測(cè)試腳本的選擇,我們使用的是High_Performance_Throughput.scr ��,所有參數(shù)均為默認(rèn)設(shè)置����。
10Pairs 上網(wǎng)行為管理關(guān)閉 93.723Mbps
10Pairs 上網(wǎng)行為管理啟用 93.783Mbps 由于Ixchariot本身是有損耗的�����,使用Ixchariot測(cè)得的Throughput結(jié)果是有效數(shù)據(jù)負(fù)載�����,不包括TCP協(xié)議損耗�����、幀間隔��、應(yīng)答和Ixchariot本身系統(tǒng)損耗�,此部分典型損耗根據(jù)理論計(jì)算約6M���,就是說(shuō)即使你測(cè)試的是一臺(tái)能線速轉(zhuǎn)發(fā)的100Mbps交換機(jī)�,測(cè)出來(lái)的Throughput也只可能是94M左右����,這是理論極限值。從上面的測(cè)試結(jié)果來(lái)看,在上網(wǎng)行為管理開(kāi)啟或關(guān)閉的狀態(tài)下�,UTT 3640的吞吐性能均表現(xiàn)強(qiáng)勁。
測(cè)試完吞吐性能�����,接下來(lái)要測(cè)試的是在真實(shí)應(yīng)用環(huán)境下的性能�。使用IxChariot作為測(cè)試工具。使用IxChariot中不同應(yīng)用類(lèi)型的腳本組成一個(gè)腳本集�����,共120Pairs�,盡量模擬產(chǎn)生真實(shí)數(shù)據(jù)流量,腳本組成如下圖�。根據(jù)以往的測(cè)試結(jié)果,此腳本集的極限成績(jī)?cè)?4Mbps左右�,我們將整個(gè)腳本集進(jìn)行復(fù)制,使其達(dá)到600Pairs�����,為的是增加路由器的負(fù)載����。
IxChariot腳本集
600Pairs當(dāng)前測(cè)試環(huán)境性能表現(xiàn) 117.619Mbps
600Pairs LAN To WAN性能上網(wǎng)行為管理關(guān)閉 75.815Mbps
600Pairs LAN To WAN性能上網(wǎng)行為管理開(kāi)啟 69.049Mbps
UTT 3640的混合數(shù)據(jù)包測(cè)試成績(jī)達(dá)到了一個(gè)不錯(cuò)的水平。為了體現(xiàn)出啟用上網(wǎng)行為管理功能前后UTT 3640的性能差別��,我們除了啟用內(nèi)置的各種上網(wǎng)行為管理功能�����,還開(kāi)啟了域名過(guò)濾功能��,并設(shè)置了100條關(guān)鍵字�����,從測(cè)試結(jié)果來(lái)看��,性能衰減并不明顯�。
PConline評(píng)測(cè)室總結(jié)
艾泰UTT 3640 圖 庫(kù) 評(píng) 測(cè) 論 壇 報(bào) 價(jià) 網(wǎng)上購(gòu)買(mǎi) 作為一款面向中型網(wǎng)絡(luò)環(huán)境(官方標(biāo)稱帶機(jī)量100-300臺(tái))的多WAN口路由器,UTT 3640在基礎(chǔ)網(wǎng)絡(luò)管理和吞吐性能方面均有著出色的表現(xiàn)�。基礎(chǔ)內(nèi)網(wǎng)管理方面��,包括帶寬分配�、上網(wǎng)行為管理,內(nèi)網(wǎng)用戶分組��,日志統(tǒng)計(jì)�����,時(shí)段訪問(wèn),上網(wǎng)監(jiān)控等����,UTT 3640在這些方面都提供了良好的支持。性能方面��,從測(cè)試結(jié)果來(lái)看�,無(wú)論是吞吐測(cè)試還是混合數(shù)據(jù)包測(cè)試,性能表現(xiàn)均令人滿意�。
VPN功能對(duì)于一些企業(yè)來(lái)講往往也是不可或缺的,UTT 3640支持IPSec���、L2TP以及PPTP三種VPN協(xié)議�����,最多可配置50條VPN隧道����,并發(fā)30條��,可用于連接遠(yuǎn)端總部或分支機(jī)構(gòu)網(wǎng)絡(luò)���,也可用于移動(dòng)辦公用戶通過(guò)路由器遠(yuǎn)程接入公司網(wǎng)絡(luò)��。另外����,UTT提供了標(biāo)準(zhǔn)的SNMP接口���,可供遠(yuǎn)程SNMP服務(wù)器管理��,支持系統(tǒng)日志功能���,可通過(guò)遠(yuǎn)程SYSLOG服務(wù)器進(jìn)行日志采集。
說(shuō)到不足�����,UTT 3640雖然可以設(shè)置精細(xì)的帶寬分配策略�����,但對(duì)于高級(jí)QoS功能支持并不完善�����。就這一問(wèn)題我們?cè)儐?wèn)了艾泰公司的產(chǎn)品經(jīng)理,得知在艾泰即將發(fā)布的ReOS 2009新版中��,將全面支持高級(jí)QoS功能�����,包括根據(jù)IP地址�、協(xié)議、服務(wù)端口等元素來(lái)進(jìn)行帶寬資源管理���。另外�,對(duì)于電驢下載����,UTT 3640沒(méi)有提供攔截功能,這方面��,用戶可以使用UTT 3640靈活的自定義策略功能�,手動(dòng)對(duì)電驢服務(wù)器和通信端口進(jìn)行封堵。
| 
