【IT168评测室】VPN(虚拟专网)是一种用来在两个站点间,利用了认证、加密、隧道、访问控制等手段创建可靠通信的技术,这种技术的使用成本比租用数字线路成本要低的多,而数据的传输如同在局域网内一样的安全。在过去十年间,它已经普遍的应用于国外的大型企业的网络中。近年来,随着国内的宽带接入费用的降低,国内的应用也越来越广泛。
以目前大多数的企业维运资源都来自于网络,诸如电子邮件,MSN文字传递,VOIP语音闸道等,皆需透过稳定的宽带线路来有效达成目标,若是线路中断或是不稳定情况产生,所有的公司运作皆需要停顿,对于企业影响盛巨;有鉴于此,透过负载平衡设备将二条以上的宽带线路做集成,可以有效的达到平时拓增带宽以及良好畅通的网络,当线路一条发生问题或是中断时,可以立即将封包传送到存活的线路中,提供负载流量之策略管理能力,将负载导流至非常好的链路上,有效增进网络使用效能及传输稳定,让企业内外之讯息沟通不断线。
Qno QVM330 VPN路由器 |
我们IT168评测室最近收到了侠诺科技推出的款定位于中小企业的VPN路由器QVM330。QVM其实是这个系列的路由器三种主要特征的缩写:QoS、VPN、Management,代表这个系列的路由器都支持QoS、VPN功能并且提供强大的管理方式。
侠诺企业简介: Qno侠诺科技总部位于宝岛台湾知名的新竹科技园区,是一家专注于多WAN口路由器的网络产品专业厂商。侠诺团队具备多年网络产品开发经验,曾开发出全球销售量最大的中小企业单WAN口路由器,随着宽带接入进化到新的时代,Qno便以侠诺之名进入到大陆市场,侠诺科技主打多WAN口路由器的应用。Qno侠诺产品采用高阶英特尔IXP架构网络处理器,内建负载均衡、带宽管理、防火墙、VPN网关、线路备援等。性能足以适应光纤带宽之应用,在网吧、小区、及企业市场深受好评。侠诺在全国各地均有专业代理就近供货及服务,深圳设有技术服务中心。 |
概括的说,QVM330是一款拥有强大的网络功能的设备,它既可以作为入网的宽带路由器和VPN网关,也可以用于中小企业或分支机构使用的VPN网关。它可以担任中小企业上网及支持外部使用者或办事处的VPN服务器:它也可作为分支机构的VPN路由器,与位于总部的VPN服务器建立IPSec隧道,让分支机构局域网上的使用者就像在总部一样,可以使用各种服务。
QVM330多功能VPN智能型路由器完全适合企业分支机构的使用,它支持侠诺特有的SmartLink VPN设定功能,大大方便网管的维护。QVM330内建有Intel IXP425 266MHz高效能网络处理器,配合侠诺成熟的智慧软件,可以提供企业需要的防火墙、线路负载均衡、线路备份、VPN、QoS管理以及路由等各种功能,适用于各种不同网络架构。
根据侠诺提供的资料显示,QVM330性能优越,防火墙效能可达200Mbps以上,VPN效能可同时处理55条IPSec联机,3DES运作效能达50Mbps以上,完全可以胜任一般中小企业的选用。QVM330还提供双WAN口负载均衡及备份,即使VPN掉线,也可使用备份功能快速重建。先进的带宽管理QoS提供弹性的配置,可依应用、IP、MAC限制,提供适当的带宽给不同使用者,让互联网连线使用更有效率。透过和QVM1000远程管控功能的配合,总部网管人员可透过VPN通道,支持管理分支机构带宽应用。
我们收到的QVM330为送测样品,除了没有彩色外包装盒之外,基本上接近于完全零售包装,打开包装可以看到如图所示物品:
-
QVM330主机
-
变压器
-
机架固定附件
-
以太网线
-
胶皮垫脚
在附件中,没有提供关于设备的安装和设置的文档资料,估计是送测样品的原因。咨询侠诺相关部门,正式零售包装中会附送安装、设置的相关资料。
QVM330外观及主要功能
QVM330采用了全金属外壳——可以为内部的机芯提供足够强度的保护,也有助于散发运行时产生的热量。产品在配色上并没有采用一般的网络设备所采用的铁灰色或者黑色,而是采用了深浅两色搭配,波浪分界线很有些八卦图中阴阳两极意思。
QVM330的状态指示灯和接口都位于路由器的前面板上,从左到右依次是电源指示灯(Power)、诊断指示灯(DIAG)、LAN口指示灯、WAN口指示灯和DMZ端口指示灯。
QVM330提供两个10/100Mbps RJ-45 WAN口及4个10/100Mbps RJ-45 LAN口。同其它的双WAN口路由器相似,WAN1和WAN2可以同时连接两个宽带连接(固接/PPPoE计时制/光纤接入FTTB),透过QVM330内置的负载平衡机制将二条以上的宽带线路做集成,可以有效的达到平时拓增带宽的网络,而且当其中的一条线路发生故障的时候,可以立即将封包传送另外一条依然正常的线路中,提供负载流量策略管理能力,将负载导流至非常好的链路上,有效增进网络使用效能及传输稳定。
QVM330还提供了WAN口备援功能,费用有限的机构可以申请两条宽带接入线路,其中一条采用包月付费方式,另外一条可采用计时交费方式。这样可以让WAN1通过包月线路提供日常工作的接入,计时制的接入线路连接WAN2,平时并不联机,因此并不产生联机费用,只有在WAN1线路出现故障的时候,QVM330可以自动的启动WAN2的线路,确保整个机构始终有稳定的Internet连接。
QVM330提供智能型VPN设定,VPN中央控管及远程管理;QVM330还支持SmartLink VPN设定功能,分公司端输入IP及口令即可完成VPN设定;QVM330拥有QoS带宽管理,可依照IP或是Services Port服务埠来限定保证频宽与最高频宽,网络使用更加畅通效率加倍。支持标准IPSec Server/Client联机,支持DES(56Bit)/3DES(168bit) 55 个VPN通道以及同时支持PPTP VPN使用。
QVM330内建防火墙主动侦测技术,SPI、DoS、ActiveX、Java、Cookie Block功能。支持封包过滤功能IP/MAC/URL Filter .(In-Out Filter Access Control) 。
QVM330侧面的散热孔 |
QVM330底部,可固定于墙壁 |
电源适配器 |
QVM330内部细节
QVM330设备内部 |
我们对于侠诺QVM330 VPN路由器进行了拆解,带领读者一起从硬件配置的角度来了解这款产品。这款产品采用电源外置设计,电路板只是占据了一半的空间,显得非常的简洁。
QVM330电路板 |
Intel IXP425处理器 |
Intel IXP425处理器 |
位于QVM330电路板中心位置的是Intel IXP425 266Mhz RISC CPU,这是Intel针对网络应用所推出的专用处理器,它整合了Intel XScale核心和网络处理器引擎(NPE),可以满足高端网关、VoIP、无线访问点、SME路由器、交换机、安全设备、工控等应用。这颗处理器可以提供给网络设备快速处理封包的能力,Qno资料显示QVM330可以达到全双工200Mbps以上线速,满足超过100台以上机器同时使用。
IXP425在硬件上支持主流的加密、认证算法(SHA-1、MD5、DES、3DES、AES),这对于QVM330这类VPN路由器来说是非常重要的,不安全的VPN设备是没有市场的。
Infineon-ADMtek ADM6999是一颗高性能、高整合度(控制器、PHY和内存)的8口10/100 Mbps TX/FX加1个10/100 MII/RMII/7wires ports以太网交换控制器。
Flash芯片和DRAM芯片 |
QVM330采用了Intel TE28F640 Flash闪存芯片和MIRA P2V28S40BTP DRAM芯片。Intel TE28F640 Flash闪存芯片容量为8MB。MIRA P2V28S40BTP DRAM芯片是一颗容量为4bank x 2M x 16bit的随机存储器芯片,最高运行频率为166MHz,两颗芯片总共可以提供32MB的DRAM容量。
因为是外置电源设计,因此内部供电部分很简单 |
QVM330基本设置
通过QVM330的基于Web的管理界面,用户可以对于这款双WAN口VPN路由器进行方便的、快速的控制。管理界面包括英文界面和简体中文界面,显然侠诺为这款产品顺利进入中国内地市场做好完全的准备。
这款VPN路由器的软件版本为2.0.1,我们的所有功能测试和性能测试都是在这个版本下进行的。在首页设置中,用户可以所使用的设备的硬件配置有基本的了解:Intel IXP425 266MHz处理器、32MB内存、8MB闪存。
在这个界面中,用户可以直观的了解到端口即时状态,哪个端口是处于联机状态,哪个端口是空闲的并且是处于激活状态或者关闭状态。点击每个端口,用户可以进一步的查看当前端口设定状态,比如优先权、连接速率、工作模式、接收/发送的封包数等等。
用户可以直接查看LAN设置、WAN设置、DMZ、网关设定、路由工作模式、防火墙状态、VPN配置状态等等,而且还可以直接点击每个连接进入到相关的设定中去,非常的方便。
“基本配置项目”界面中包括网络设定、网络品质服务QoS、密码设置、时间设置。网络设定中可以设定路由器设备的LAN地址,用户可以根据自己的情况,选择WAN的连接方式:静态IP、动态IP、PPPoE等等。
QVM330提供了对于QoS的支持,QoS工作在OSI/RM 4层,用于提供可靠的端到端的数据传输。用户可以选择在哪个WAN端口上启用QoS功能,并且可以选择是启用带宽控制、优先权。用户可以分别针对不同的服务(DNS、FTP、HTTP、HTTPS、TFTP、IMAP、NNTP、POP3、SMTP、TELNET、TELNET SSL、DHCP)、不同的局域网IP地址、上行或者下行、最低频宽、最高频宽。
QVM330高级设置
QVM330通过前面板WAN2端口和DMZ共用一个端口,需要启用DMZ功能的时候,用户需要将局域网的PC连接到这个端口上。处于DMZ区域中的站在了路由器的前面,如果用户在运行某些网络游戏的时候有问题,可以尝试一下这个功能。
很多时候,我们希望在局域网内部架设的服务器,Internet上的用户也可以访问的到。QVM330预置了多种服务,比如DNS、FTP、HTTP、IMAP、NNTP、POP3、SNMP、SMTP、TELNET等等。
因此,如果希望Internet用户可以访问架设在公司内部的Web服务器,则需要进行虚拟服务器的设置,这样外部用户就可以通过访问QVM330外部的公共IP地址,而能得到内部Web的服务器的服务。
UPnP通讯协议配置界面 |
Windows XP集成了UPnP功能,但是默认是关闭的,用户只要在“添加删除Windows组件/Windows组件向导/网络服务”中选择“通用即插即用”就可以启用UPnP。QVM330支持UPnP功能,并且在配置界面中提供了多种服务的预设值,比如启用了Web服务,80端口也会相应的打开,启用了FTP服务,那么21端口会相应的打开。
路由通讯协议配置界面 |
QVM330支持动态路由和静态路由。根据应用的不同,用户可以将QVM330设定为NAT模式或者路由模式。如果有必要,用户还可以选择是使用RIP I还是RIP II路由协议。
这个功能适用于拥有多个可用的IP地址的情况,通过启用一对一NAT功能,外部IP地址可以同内部虚拟IP地址对应,这样当运行某些需要外部IP地址的网络游戏的时候,才能进行正常的通讯。
DDNS动态域名解析服务配置界面 |
VPN330支持dyndns.org与3322.org的动态网址转换功能,利用这项功能,用户可以利用动态IP地址架设网站。
广域网接口MAC地址设定 |
防火墙功能
QVM330提供了防火墙功能,其中包括SPI封包主动侦测检验功能、DoS侦测功能、关闭对外的封包回应等等。是否允许进行远程管理、允许Multicast封包穿透格式、设定MTU值。在这个界面甚至可以决定是否支持Java、Cookies、ActiveX、HTTP等应用。
访问存取规则设定 |
用户可以根据IP地址、目的IP地址、IP协议等等来制订访问存储规则,从而实现对于所有经由QVM330的数据包进行管理。进行规则设定非常的简单而灵活,用户可以选择是否启用访问存储规则,是否针对LAN还是WAN或者DMZ用户应用存取规则设定,由于内置了针对多种服务的预设值,用户可以方便的启用针对某个服务的相应端口。
QVM330支持基于关键字和基于URL的内容过滤,并且可以指定内容过滤规则作用的时间段,而且一个星期的每一天都单独指定时间段。
SmartLink:10分钟架设专用隧道
在地方规划部门的网关曾经不止一次的向我提及VPN是多么的麻烦,一旦出现故障不但需要检测本部门的设备,而且还要到同一个城市的另外一个部门去检测,一天的时间都会耗费在其中。侠诺致力于努力的提高其全线网络产品的易用性,包括VPN产品的易用性。
我们试用这款产品的过程中,可以感觉到侠诺QVM330在易用性方面取得的明显成果。这款VPN路由器同样支持SmartLink VPN智能型设定功能,通过VPN中央管控以及远程管理可以在分公司端就可以完成VPN的设定,免去网管人员奔波之苦。
VPN虚拟私有网络包括“目前VPN状态”、“网关对网关设定”、“客户端对网关设定”、“封包穿透路由器功能”这个子菜单,通过它们可以方便、快速的进行VPN状态的查询和设定。
在“目前VPN状态”中,用户可以一目了然已经建立的VPN隧道的名称、状态、加密算法、认证方式、所在的组、本地组、远程组等等。用户通过这个界面可以直接进行隧道状态设定,这种方便一直贯穿在整个侠诺产品的管理功能中。
网关对网关设定 |
客户端对网关设定 |
侠诺推荐用户把QVM330做为企业分支机构使用,因为它支持侠诺SmartLink VPN设定功能,因此无论是架设网关对网关VPN隧道还是架设客户端对网关VPN隧道,都可以非常快的架设起来。
所有的选项Local Group Setup、Remote Group Setup、IPsec Setup都在同一张页面内,用户只要在这一张页面内点选几次就可以完成VPN隧道设定。QVM330支持多种Security Gateway Type(IP only、IP+Domain FQDN Authentication、IP+Email Addr USER FQDN Authentication、Dynamic IP+Domain FQDN Authentication、Dynamic+Email Addr USER FQDN Authentication)、多种Security Group Type(Subnet)、多种加密算法(DES、3DES、AES-128/192/256)、支持多种认证模式(MD5、SHA1)。
QVM330 VPN效能可同时处理50条IPSec联机,3DES运作效能达60Mbps以上(Smartbit600测试结果,后面的Chariot测试结果也显示这款设备的VPN效能不俗)。
封包穿透路由器功能设定界面 |
QVM330是我们接触的第一款专用的VPN路由器,但是我们利用它同QVM1000成功建立网关到网关VPN隧道的时间不超过10分钟,这都是因为这两款VPN路由器支持Smartlink VPN功能。
其它功能
DHCP配置界面 |
系统工具 |
QVM330支持SNMP网络通讯协议,利用网络管理程序(比如HP Open View)进行实时的管理。通过自我检测功能,用户可以查询DNS、执行Ping命令。重新启动设备、恢复原出厂预设值、系统软件更新、系统配置参数文件备份也都可以在这个界面实现。
QVM配置界面 |
QVM330提供了完备的日志功能,并且根据不同系统事件进行不同的动作。比如,只是把诸如系统错误信息、系统配置变更、认证登入等动作记录入系统日志,而不做告警;而会针对Syn Flooding、IP Spoofing、Win Nuke、Ping of Death、登入认证错误等情况启动告警动作。
基本路由性能
在《侠诺QVM330智能型VPN路由精彩评测》一文中,我们已经公布了SmartBit600测试设备对于QVM330的测试结果。在这份报告中显示,在IPSec协议下,启用3DES/MD5加密算法的情况,最高传输率可以达到62Mbps以上,这个速度超过了一般宽带的速度,证实这款VPN路由器足以满足大部分的机构建立VPN网络的需要。
在这个部分我们使用网络实验室中的PC以及相关设备构建了测试网络,利用NetIQ Chariot来测试QVM330的NAT模式下的性能、路由模式下的性能、网关到网关的VPN性能和客户端到网关的VPN性能。这个部分的测试更加接近于实际应用的情况。
我们按照上图所示构建了测试网络,1台PC连接在QVM330的WAN口,同QVM330的WAN口设定在同一个网段(192.168.99.x),并且安装了NetIQ Endpoint 5.0软件。另外两台PC分别连接到QVM330的LAN口,同QVM330的LAN口设定在同一个网段(192.168.0.x),其中一台安装NetIQ控制台软件Chariot 5.0软件,另外一台安装NetIQ Endpoint 5.0软件。QVM330设定为Gateway网关模式。
首先,我们让Chariot分别调用Filesnal.scr脚本、FTPget.scr脚本,在192.168.99.200和192.168.0.42之间建立100个Pairs和5个Paris,设定为Run until any pair ends,然后分别进行WAN-to-LAN和LAN-to-WAN测试。WAN-to-LAN测试过程中,192.168.0.42处于DMZ区域内。
WAN-to-LAN | LAN-to-WAN | |
Throughput.scr | 65.297 | 88.006 |
Filesndl.scr | 73.476 | 84.061 |
FTPget.scr | 54.574 | 72.884 |
然后,我们让Chariot调用和Response_Time.scr脚本,并且在192.168.99.200和192.168.0.42之间建立100个Paris,运行模式为,设定为Run until any pair ends,分别进行WAN-to-LAN和LAN-to-WAN测试。WAN-to-LAN测试过程中,192.168.0.42处于DMZ区域内。
LAN-to-WAN吞吐量测试曲线 |
LAN-to-WAN响应时间测试曲线 |
WAN-to-LAN吞吐量测试曲线 |
WAN-to-LAN响应时间测试曲线 |
平均吞吐量 | 平均响应时间 | 最大响应时间 | 最大响应时间 | |
LAN-to-WAN | 8.205Mbps | 0.019s | 0.019s | 0.024s |
WAN-to-LAN | 7.001Mbps | 0.021s | 0.006s | 0.026s |
Gateway to Gateway效能测试
我们按照上图所示构建了测试网络,1台PC连接在QVM330的LAN口,同QVM330的LAN口设定在同一个网段(192.168.0.x),安装了NetIQ Chariot 5.0和Endpoint 5.0软件。另外,1太PC连接到QVM1000的LAN口,同其LAN口设定为同一个网段(192.168.1.x)。然后两台VPN路由器互设为网关。
利用管理界面添加网关到网关隧道,分别在MD5/DES, MD5/3DES, SHA1/DES和SHA1/3DES下测量吞吐量,然后使用Filesnal.scr (100Kbytes)脚本测试吞吐量并且记录。
网关到网关效能(Mbps) | |
3DES/MD5 | 40.787 |
3DES/SHA1 | 40.489 |
DES/MD5 | 40.244 |
DES/SHA1 | 38.917 |
Client to Gateway效能测试
我们按照上图所示构建了测试网络,1台PC连接在QVM330的LAN口,同QVM330的LAN口设定在同一个网段(192.168.0.x),安装了NetIQ Endpoint 5.0软件。另外1台PC连接到QVM330的WAN口,设定为不同的网段(192.168.1.x),在这台PC上安装了NetIQ Chariot Console 5.0、NetIQ Endpoint 5.0和Symantec Client VPN软件。
然后在远端客户端和网关之间客户端到网关隧道,分别在MD5/DES, MD5/3DES, SHA1/DES和SHA1/3DES下测量吞吐量,然后使用Filesnal.scr (100Kbytes)脚本测试吞吐量并且记录。
客户端到网关(Mbps) | |
3DES/MD5 | 22.858 |
3DES/SHA1 | 22.515 |
DES/MD5 | 24.543 |
DES/SHA1 | 24.975 |
IT168评测室观点
侠诺(Qno)QVM330 VPN路由器采用了Intel IXP425 266Mhz RISC处理器、配置了32MB随机存储器和8MB Flash存储器,提供了较高性能的VPN路由器硬件平台。
QVM330具备两个10/100Mbps RJ-45 WAN口及4个10/100Mbps RJ-45 LAN口。默认状态下,WAN1口做为普通的WAN口使用,WAN2/DMZ则充当DMZ接口,启用了WAN口备援功能之后,两个WAN口可以分别连接两个宽带连接(固接/PPPoE计时制/光纤接入FTTB),透过QVM330内置的负载平衡机制将二条以上的宽带线路做集成,可以有效的达到拓增带宽的目的。双WAN口备援功能进一步增加了这款双WAN VPN路由器的实用价值,对于接入稳定性要求较高的用户可以申请两条接入线路,一条提供日常接入功能,另外一条只是在前一条出现故障的时候才会启用,可以让用户以很低的接入成本实现稳定的接入。
智能型VPN设定是QVM330(或者说整个Qno VPN产品)的亮点,它提供了VPN中央控管及远程管理;QVM330通过SmartLink VPN设定功能,可以远程管理总部端VPN路由器,从而快速的建立起来VPN线路。QVM330支持标准IPSec Server/Client联机,支持DES(56Bit)/3DES(168bit) 55 个VPN通道以及同时支持PPTP VPN使用。
工作在NAT模式下的QVM330的吞吐量测试结果可以达到88Mbps,网关到网关吞吐量可以达到40Mbps,而客户端到网关的吞吐量也接近于24Mbps。
综合各个方面,QVM300无论是功能、性能和易用性等方面,都可以担当其企业分支机构的VPN路由器的角色。中小企业也可以考虑选择这款产品满足多WAN口扩展带宽和VPN接入的应用。