【IT168 评测】近日,IT168评测室再次对于侠诺刚刚发布的适用于中大型应用的旗舰级QoS VPN 4 WAN口智能型路由器QVM1000进行了全面的评测,这是国内媒体对于这家专注于多WAN口宽带接入路由器产品的公司的最新产品的第一份评测报告。
侠诺旗舰级VPN路由器QVM1000
侠诺QVM系列产品是专为需要架设VPN的中大型机构设计的支持负载均衡、QoS的VPN路由器,上周我们已经对于QVM330进行了全面的测试。本周我们IT168评测室再次对于侠诺刚刚发布的适用于中大型应用的旗舰级QoS VPN 4 WAN口智能型路由器QVM1000进行了全面的评测,这是国内媒体对于这家专注于多WAN口宽带接入路由器产品的公司的最新产品的第一份评测报告。
QVM1000零售包装盒 |
QVM1000包装中全部的物品 |
侠诺送测的QVM1000样品非常的接近于最终零售包装,外包装风格清新,醒目。在包装盒中除了QVM1000 VPN路由器之外,还提供了必需的一些附件,比如电源线、以太网线、机架固顶附件和橡胶垫脚。不过,依然没有任何说明文档——纸介质的或者电子版的都没有。就这个问题我们咨询了侠诺,他们给予肯定回答正式产品会包括详细的使用说明文档。
QVM1000是一款注重易用性的VPN路由器产品,侠诺科技努力改变去IPSec路由器难以配置的局面,同QVM330配合用户只要更改三个参数就可以完成以前二、三十个参数才能完成的IPsec设置。虽然大大简化了设置方式,但是IPSec的安全性依然有保障,因此可以大大减少网管在配置VPN过程中耗费的时间。
QVM1000采用了Intel IXP425处理器,高达128MB的随机存储器和16MB的Flash存储器,提供给了负载均衡、安全防护、带宽管理、VPN等功能足够的硬件平台的支持。从侠诺提供的资料显示,QVM1000的防火墙效能可达200Mbps以上,VPN效能可同时处理100/300条PPTP/IPSec联机,3DES运作效能达70Mbps以上,效能直逼昂贵的大型网络设备。
| |
|
QVM1000提供了4个10/100Mbps的广域网端口,1个10/100Mbps的DMZ端口和11个10/100Mbps的局域网端口。 未来的QVM1000在在非VPN模式下最多可支持8个广域网端口负载均衡功能。因此完全适用于中大型机构或企业总部联网及VPN网关应用。
QVM1000侧面 |
QVM1000为标准19英寸机箱,采用随机附送的配件可以安装在标准的19英寸机架上。由于路由器内采用了发热量较少的部件,并没有采用主动或者被动式散热,侧面的散热孔足以满足设备的散热需求。
QVM1000内部细节
QVM1000 VPN路由器电路板设计的紧凑、简洁,仅仅占据了机箱内部大约三分之一的面积。可以看到,QVM1000采用了内置供电电路设计,因此无需外置式电源适配器,只要使用标准的电源线即可实现对于VPN1000的供电,便于用于标准机架。
在《侠诺QVM330 VPN路由器评测》一文中,我们已经介绍过Intel IXP425 RISC CPU处理器,这是Intel针对网络应用所推出的专用处理器,它整合了Intel XScale核心和网络处理器引擎(NPE),可以满足高端网关、VoIP、无线访问点、SME路由器、交换机、安全设备、工控等应用。同QVM330不同的是,QVM1000所采用的Intel IXP425 RISC CPU的主频达到了533MHz,主频是QVM330所采用的IXP425处理器主频的一倍。
因为采用了性能强劲的网络处理器,使得QVM330的防火墙效能达200Mbps以上,而且还提供了IPSec DES/3DES及PPTP协议硬件加速能力,3DES运作效能超过70Mbps以上,同时可处理超过300条以上VPN联机。
Infineon-ADMtek ADM6926+ADM7008这两款芯片是百兆交换产品主流解决方案之一,ADM6926是一款性价比较高的26口(支持SS-SMII的24口10/100M自适应半/全双工交换端口和支持RMII/MII的2口10/100M半/全双工交换端口)10/100Mbps以太网交换机控制器芯片,采用0.18微米制程,支持流控制、广播风暴过滤、IGMP snooping、QoS、Trunking Port、VLAN、带宽控制。
ADM7008是一颗8端口10/100M PHY芯片,QVM1000使用了两颗ADM7008芯片,提供了11个LAN口、4个WAN口和1个DMZ口的支持。
QVM1000 VPN路由器采用了4颗MIRA P2V56S40 BTP随机存储器,这款DRAM的容量为256Mbit(4BANK x 4M x 16bit),4颗芯片的总容量为128MB。Flash芯片为Intel TE29F128,容量为32MB。
内部供电部分 |
负载均衡功能
多WAN口设备面市之前,构建多条接入线路的局域网是相当复杂的。一般的是将每一条线路连接单台路由器,再透过其路由等模式将不同的网段串联起来,这个时候只要一条线路出状况,所有的线路路由便会发生状况程度不一的连锁反应。
负载平衡技术可以实现分配网络运作模式的目的,比如将部分IP地址或是服务端口指定在某一条接入线路,将另外部分指定到别的接入线路。因此,使用QVM1000的机构可以关键网络服务(如电子邮件服务器)配置在可靠度高的线路上;将较不重要的服务(内部员工上网)配置在可靠度相对较低的线路上,确保企业网络弹性运作。
通过“基本配置项目-多广域网设置”,网关可以对于设备的工作模式进行设定。QVM1000提供三种模式:
-
智能型负载均衡
-
IP群组(依使用者)
-
IP负载均衡
随着网络内容的急剧增加,对于带宽需求也随之增加,很多机构的带宽总是处于捉襟见肘的境地。QVM1000支持QoS功能,可以根据IP位置和服务端口来定制适合自身应用环境的带宽管理政策,通过制定IP与服务端口的最高带宽以及保障可用的带宽或是优先级,确保网络重要信息或应用服务优先畅通。
策略路由功能
对于需要多WAN口路由器的用户来说,不合理的使用带宽,再多的WAN口,再多的接入线路也不能满足无序的需求。侠诺科技的多款路由器(比如FVR9208/9208s,FVR9416/9416s,QVM1000/330)都支持策略路由功能,利用这个功能网管可以让不同的服务走不同的接入线路,确保关键性任务有通畅的连接和足够的带宽。
QVm1000提供了两种策略路由配置方法:一种是基于协议的配置方法,另外一种基于IP地址的配置方法。通过这样可以为机构内不同的部门分配不同的出口线路,比如让重要的财务部门通过WAN1口确保连接的畅通,而让其他的部门共用其他的WAN口上的接入线路。
在“基本配置项目-多广域网设置”点击需要配置的WAN口接入该WAN口配置界面,在这个界面中网管可以选择来源IP地址和目的IP地址,并且选择在这两段IP地址之间所运行的协议。
举例来说,网管可以利用这个功能让局域网内的192.168.0.11-20这10台电脑访问Internet上202.99.8.1-99这些服务器提供的SMTP服务,这些服务都通过WAN3口传输数据。
在“进阶功能配置-路由通信协议”的配置界面,网管可以通过“指定路由通信协议”进行设置。在“目的地址”填入需要访问的服务器的IP地址,填入相应的子网掩码、默认网关、路由节点并且指定相应的广域网接口。
采用侠诺QVM1000路由器的机构可以根据自己的情况把不同的协议指定在不同的WAN口上的接入线路,比如把HTTP、SMTP、POP3等无需太高带宽,但是却需要保持必要的连通的应用指定在一个WAN口上,避免其它应用的影响。
VPN备援功能
侠诺推荐QVM1000作为总部VPN路由器、QVM330作为分支机构VPN路由器配合使用,利用合适的产品可以实现多WAN口线路备援以及VPN备援功能,可以帮助企业构建安全、稳定的私有网络。
侠诺QVM1000可以作为总部VPN路由器使用,它最多可以提供4 WAN VPN功能,可以同时与多个分支机构和移动用户之间建立VPN隧道。网管人员可依带宽需要,扩展WAN口数量,以适应分支机构或行动用户的需要,不致因带宽受限而无法提供良好的服务。另外,QVM1000也提供断线备援的功能,当某个WAN口联机因故掉线时,就可短时间自动由其他WAN口重建,用户或分支机构只会感到短暂中断,就可继续工作——只有这样才能确保企业总部提供的VPN服务的稳定性。
QVM1000提供了方便的VPN设置界面,无论是建立网关到网关VPN隧道,还是建立客户端到网关隧道都可以在一个界面完成。如商图所示,所有的选项Local Group Setup、Remote Group Setup、IPsec Setup都在同一张页面内,用户只要在这一张页面内点选几次就可以完成VPN隧道设定。QVM330支持多种Security Gateway Type(IP only、IP+Domain FQDN Authentication、IP+Email Addr USER FQDN Authentication、Dynamic IP+Domain FQDN Authentication、Dynamic+Email Addr USER FQDN Authentication)、多种Security Group Type(Subnet)、多种加密算法(DES、3DES、AES-128/192/256)、支持多种认证模式(MD5、SHA1)。
SmartLink功能
IPSec是VPN技术中较为成熟的隧道协议,相对于PPTP、SSL这两种协议来说更加安全,值得信赖。不过,IPsec隧道的设定、安装配置和管理都相当的复杂,侠诺科技的QVM(QoS VPN Management)系列产品是专为解决这个问题而特别进行研发的,它支持SmartLink功能,采用IPSec的通信协议,大幅简化了配置的过程。
相对于传统IPSec VPN服务器和用户端的设置,QVM产品SmartLink的VPN配置过程就显然简单了很多。SmartLink设定底层完全采用标准的IPSec协定,提供了更简易的设置界面。因此,SmartLink的VPN配置并不会影响IPSec协议的安全性,又可大大简化网管人员部署VPN网络的工作。
总部端QVM配置界面 |
要使用QVM SmartLink功能,网管人员需要首先设定总部端的QVM服务器。设置QVM服务器的用户名和密码,并提供给分支机构端,备认证身份之用。在这里还可以设定允许分支机构访问的总部网段。如果设定为192.168.0.1/255.255.255.0,则用户可访问所有该网段IP位址服务器;如果设定为192.168.0.3/255.255.255.255,则分支机构端则只能访问服务器网段中的192.168.0.3。
QVM用户端配置界面 |
在分支机构VPN路由器客户端配置界面输入总部端VPN路由器已经设置好的用户名、密码,中心QVM服务器的地址或网功能变量名称,客户端即可连接入总部端QVM服务器。中心端QVM服务器功能变量名称支持动态DNS,在同一个画面也可配置服务器端备份VPN联机的功能变量名称或IP。
QVM服务器状态 |
当VPN联机完成后,即可从QVM1000服务器的状态页面看到不同分支机构的联机情况,包括启动联机时间、持续时间,并可作细部配置。 可见,原本极为复杂的IPSec设定,只要三个参数即可解决。总部端的网管在QVM1000中设置用于分支机构登录的用户名及密码。然后通知使用QVM330的分支机构关于总部QVM的IP地址、用户名及密码。
另外,为了完成SmartLink的自动设定,QVM系列产品研发时也针对虚拟IP穿透作了因应设计。由于部份ISP分配的IP不足,所以分配虚拟IP给用户。再加上有些办公室通过分享连联机互联网,所以常常发生分支机构是通过二层虚拟IP连到总部的情况。侠诺的QVM SmartLink设定,可轻易在复杂的IP设定下建立VPN隧道。网管人员或集成业者不用再为了设定分支机构的VPN而四处奔波了。
基本路由效能测试
Response_Time.scr脚本采用双向发送154字节长度报文的方法衡量吞吐能力,相对于前面的三种测试脚本,报文长度小了很多,需要路由器和测试客户端具有更高的计算能力,才能得到更高的吞吐量和更低的响应时间。
从我们测试结果上看,QVM1000的性能明显的高于QVM330,不过它的响应曲线的走势不够理想,波动较大。
网关到网关效能测试
|
客户端到网关效能测试
|
IT168评测室观点
多WAN口产品是侠诺科技(Qno)的重点,这样的市场策略是因为侠诺看到了当前多WAN宽带路由器产品已经越来越多的网吧、宽带小区、学校等讲求速度及稳定的客户群所接受,并且预见到了这个市场将会进一步的扩展。
为了确保提供足够的VPN性能、防火墙性能,侠诺为QVM1000配置了可以称得上豪华的硬件配置:Intel IXP425 533 Mhz高效能网络处理器、128MB随机存储器、16MB Flash存储器。它内置了侠诺智能软件,提供企业需要的防火墙、线路负载均衡、线路备份、VPN、QoS管理及路由功能,可符合各种不同网络架构,网管人员方便规划管理。
我们的测试结果也显示了这款VPN路由器具有强劲的处理能力,NAT转发能力接近于线速,同QVM330之间的转发能力达到了40Mbps,而客户端到网关的3DES转发能力也达到了30Mbps。
QVM1000支持4 WAN口多线路负载均衡模式,今后还会升级到8 WAN口。这款VPN路由器还支持先进带宽管理QoS,提供弹性的配置,可依应用、IP、MAC限制,提供适当的带宽给不同使用者,让互联网联机使用更有效率。它支持虚拟局域网(VLAN)的功能,方便将内部网络分隔成几个独立网域,提高网络防护能力及安全性。
总得来说,QVM1000/QVM330产品是一套非常完善的多WAN口VPN路由器解决方案,特别是SmartLink技术大大降低了基于IPSec VPN路由器的使用难度,使得这套产品的普及几乎没有了技术门槛,值得推荐。
QVM1000规格表格
硬件规格 CPU处理器 快闪内存 DRAM内存 |
Intel IXP425 533MHz RISC 16MB 128MB |
网络介面 广域端口 WAN 可设定的埠口 ( DMZ/WAN) 区域网络端口 LAN Port 非军事区端口 DMZ Port |
4-ports (SME Mode)/ 8 ports LB Mode 1-port |
处理速度 Perfomance 联机数 Session 防火墙效能 Firewall Throughput (bi-directional) VPN 效能 |
120,000 200 Mbps 3DES/90Mbps |
负载均衡以及线路备机 线路备援 Link Backup 负载均衡 Load Balancer 端口绑定 (Protocol Binding) |
● ● ● |
广域端口连接型态 Connection Type DHCP 自动 IP 功能 固定 IP 位置 - Static IP ADSL PPPoE PPTP 桥接模式 Bridge Mode |
● ● ● ● ● |
VPN Feature 支持 IPSec 通道数 认证功能 加密功能 Encryption IKE Key Management PKI VPN 透通 VPN 备援 Redundant VPN 群组式 Group VPN VPN 硬件加速功能 PPTP VPN Server |
300 MD5/SHA1 DES/3DES/AES ● Future ● ● ● ● 100 |
防火墙 Firewall DoS Prevention/SPI 骇客攻击纪录 即时电子邮件通知 存取管制条例 Java/ActiveX/proxy 上网管制功能 |
● ● ● Access Rule ● ● |
DHCP 服务器 LAN DHCP Server 自动配发IP数量 WAN DHCP Client |
● class B ● |
网络位置转译 NAT 多对一 NAT 功能 一对一 NAT 功能 PAT MAC 位置控制 DMZ 功能 虚拟主机功能 Port Forwarding 微软即插即用 IP 过滤功能 |
● ● ● ● ● ● ● ● |
系统管理 网页管理功能 SNMP |
● ● |
IP 路由通信协议 静态路由 动态路由 RIPI/II |
● ● |
系统日志/线上监看 系统日志 日志电子邮件通知 SNMP trap |
● ● ● |
埠口管理功能 埠口设定 (VLAN) 埠口状态 |
● ● |
带宽管理功能 QoS 保证带宽 最大带宽 优先级设定 DiffServ stamp |
● ● ● - |
其他功能项目 3322.org/DtDNS/DyDNS 系统自我侦测看门狗 MAC Address Clone VLAN 端口映射 CMS控制 |
● ● ● ● ● server x 200 |