【IT168 评测】近日，IT168评测室再次对于侠诺刚刚发布的适用于中大型应用的旗舰级QoS VPN 4 WAN口智能型路由器QVM1000进行了全面的评测，这是国内媒体对于这家专注于多WAN口宽带接入路由器产品的公司的最新产品的第一份评测报告。

　　侠诺旗舰级VPN路由器QVM1000

　　侠诺QVM系列产品是专为需要架设VPN的中大型机构设计的支持负载均衡、QoS的VPN路由器，上周我们已经对于QVM330进行了全面的测试。本周我们IT168评测室再次对于侠诺刚刚发布的适用于中大型应用的旗舰级QoS VPN 4 WAN口智能型路由器QVM1000进行了全面的评测，这是国内媒体对于这家专注于多WAN口宽带接入路由器产品的公司的最新产品的第一份评测报告。

QVM1000零售包装盒

QVM1000包装中全部的物品

　　侠诺送测的QVM1000样品非常的接近于最终零售包装，外包装风格清新，醒目。在包装盒中除了QVM1000 VPN路由器之外，还提供了必需的一些附件，比如电源线、以太网线、机架固顶附件和橡胶垫脚。不过，依然没有任何说明文档——纸介质的或者电子版的都没有。就这个问题我们咨询了侠诺，他们给予肯定回答正式产品会包括详细的使用说明文档。

　　QVM1000是一款注重易用性的VPN路由器产品，侠诺科技努力改变去IPSec路由器难以配置的局面，同QVM330配合用户只要更改三个参数就可以完成以前二、三十个参数才能完成的IPsec设置。虽然大大简化了设置方式，但是IPSec的安全性依然有保障，因此可以大大减少网管在配置VPN过程中耗费的时间。

　　QVM1000采用了Intel IXP425处理器，高达128MB的随机存储器和16MB的Flash存储器，提供给了负载均衡、安全防护、带宽管理、VPN等功能足够的硬件平台的支持。从侠诺提供的资料显示，QVM1000的防火墙效能可达200Mbps以上，VPN效能可同时处理100/300条PPTP/IPSec联机，3DES运作效能达70Mbps以上，效能直逼昂贵的大型网络设备。

QVM1000侧面

　　QVM1000为标准19英寸机箱，采用随机附送的配件可以安装在标准的19英寸机架上。由于路由器内采用了发热量较少的部件，并没有采用主动或者被动式散热，侧面的散热孔足以满足设备的散热需求。

　　QVM1000内部细节

　　QVM1000 VPN路由器电路板设计的紧凑、简洁，仅仅占据了机箱内部大约三分之一的面积。可以看到，QVM1000采用了内置供电电路设计，因此无需外置式电源适配器，只要使用标准的电源线即可实现对于VPN1000的供电，便于用于标准机架。

　　在《侠诺QVM330 VPN路由器评测》一文中，我们已经介绍过Intel IXP425 RISC CPU处理器，这是Intel针对网络应用所推出的专用处理器，它整合了Intel XScale核心和网络处理器引擎（NPE），可以满足高端网关、VoIP、无线访问点、SME路由器、交换机、安全设备、工控等应用。同QVM330不同的是，QVM1000所采用的Intel IXP425 RISC CPU的主频达到了533MHz，主频是QVM330所采用的IXP425处理器主频的一倍。

　　因为采用了性能强劲的网络处理器，使得QVM330的防火墙效能达200Mbps以上，而且还提供了IPSec DES/3DES及PPTP协议硬件加速能力，3DES运作效能超过70Mbps以上，同时可处理超过300条以上VPN联机。

　　Infineon-ADMtek ADM6926＋ADM7008这两款芯片是百兆交换产品主流解决方案之一，ADM6926是一款性价比较高的26口（支持SS-SMII的24口10/100M自适应半/全双工交换端口和支持RMII/MII的2口10/100M半/全双工交换端口）10/100Mbps以太网交换机控制器芯片，采用0.18微米制程，支持流控制、广播风暴过滤、IGMP snooping、QoS、Trunking Port、VLAN、带宽控制。

　　ADM7008是一颗8端口10/100M PHY芯片，QVM1000使用了两颗ADM7008芯片，提供了11个LAN口、4个WAN口和1个DMZ口的支持。

　　QVM1000 VPN路由器采用了4颗MIRA P2V56S40 BTP随机存储器，这款DRAM的容量为256Mbit（4BANK x 4M x 16bit），4颗芯片的总容量为128MB。Flash芯片为Intel TE29F128，容量为32MB。

内部供电部分

　　负载均衡功能

　　多WAN口设备面市之前，构建多条接入线路的局域网是相当复杂的。一般的是将每一条线路连接单台路由器，再透过其路由等模式将不同的网段串联起来，这个时候只要一条线路出状况，所有的线路路由便会发生状况程度不一的连锁反应。

　　多WAN口路由器通过负载平衡将多条接入线路有机的集成在一起，多条接入线路的带宽被捆绑在一起提供了更高带宽，更重要的是当其中一条线路发生故障中断的时候，负载平衡机制会帮助路由器把封包通过依然存活的线路进行传输，始终将负载导流到非常好的链路上，可以有效增进网络使用效能及稳定性。基于支持负载平衡机制的多WAN口路由器的网络更加便于建设、维护和管理。

　　负载平衡技术可以实现分配网络运作模式的目的，比如将部分IP地址或是服务端口指定在某一条接入线路，将另外部分指定到别的接入线路。因此，使用QVM1000的机构可以关键网络服务（如电子邮件服务器）配置在可靠度高的线路上；将较不重要的服务（内部员工上网）配置在可靠度相对较低的线路上，确保企业网络弹性运作。

　　通过“基本配置项目-多广域网设置”，网关可以对于设备的工作模式进行设定。QVM1000提供三种模式：

• 智能型负载均衡

• IP群组（依使用者）

• IP负载均衡

　　随着网络内容的急剧增加，对于带宽需求也随之增加，很多机构的带宽总是处于捉襟见肘的境地。QVM1000支持QoS功能，可以根据IP位置和服务端口来定制适合自身应用环境的带宽管理政策，通过制定IP与服务端口的最高带宽以及保障可用的带宽或是优先级，确保网络重要信息或应用服务优先畅通。

　　策略路由功能

　　对于需要多WAN口路由器的用户来说，不合理的使用带宽，再多的WAN口，再多的接入线路也不能满足无序的需求。侠诺科技的多款路由器（比如FVR9208/9208s，FVR9416/9416s，QVM1000/330）都支持策略路由功能，利用这个功能网管可以让不同的服务走不同的接入线路，确保关键性任务有通畅的连接和足够的带宽。

　　QVm1000提供了两种策略路由配置方法：一种是基于协议的配置方法，另外一种基于IP地址的配置方法。通过这样可以为机构内不同的部门分配不同的出口线路，比如让重要的财务部门通过WAN1口确保连接的畅通，而让其他的部门共用其他的WAN口上的接入线路。

　　在“基本配置项目-多广域网设置”点击需要配置的WAN口接入该WAN口配置界面，在这个界面中网管可以选择来源IP地址和目的IP地址，并且选择在这两段IP地址之间所运行的协议。

　　举例来说，网管可以利用这个功能让局域网内的192.168.0.11-20这10台电脑访问Internet上202.99.8.1-99这些服务器提供的SMTP服务，这些服务都通过WAN3口传输数据。

　　在“进阶功能配置-路由通信协议”的配置界面，网管可以通过“指定路由通信协议”进行设置。在“目的地址”填入需要访问的服务器的IP地址，填入相应的子网掩码、默认网关、路由节点并且指定相应的广域网接口。

　　采用侠诺QVM1000路由器的机构可以根据自己的情况把不同的协议指定在不同的WAN口上的接入线路，比如把HTTP、SMTP、POP3等无需太高带宽，但是却需要保持必要的连通的应用指定在一个WAN口上，避免其它应用的影响。

　　VPN备援功能

　　侠诺推荐QVM1000作为总部VPN路由器、QVM330作为分支机构VPN路由器配合使用，利用合适的产品可以实现多WAN口线路备援以及VPN备援功能，可以帮助企业构建安全、稳定的私有网络。

　　侠诺QVM1000可以作为总部VPN路由器使用，它最多可以提供4 WAN VPN功能，可以同时与多个分支机构和移动用户之间建立VPN隧道。网管人员可依带宽需要，扩展WAN口数量，以适应分支机构或行动用户的需要，不致因带宽受限而无法提供良好的服务。另外，QVM1000也提供断线备援的功能，当某个WAN口联机因故掉线时，就可短时间自动由其他WAN口重建，用户或分支机构只会感到短暂中断，就可继续工作——只有这样才能确保企业总部提供的VPN服务的稳定性。

　　QVM系列产品的分支机构端备援功能设定则是在分支机构VPN网关中（QVM330）进行配置。用户只要将双广域网设置中的“线路侦测机制”启动。设定二个广域口使用的联机方式，QVM330即会并同线路备援，一同作VPN备援功能。它可在WAN1掉线时，依默认的方式及信息，自动建立新的联机及VPN隧道，达到分支机构VPN备援的功能。

　　QVM1000提供了方便的VPN设置界面，无论是建立网关到网关VPN隧道，还是建立客户端到网关隧道都可以在一个界面完成。如商图所示，所有的选项Local Group Setup、Remote Group Setup、IPsec Setup都在同一张页面内，用户只要在这一张页面内点选几次就可以完成VPN隧道设定。QVM330支持多种Security Gateway Type（IP only、IP+Domain FQDN Authentication、IP+Email Addr USER FQDN Authentication、Dynamic IP+Domain FQDN Authentication、Dynamic＋Email Addr USER FQDN Authentication）、多种Security Group Type（Subnet）、多种加密算法（DES、3DES、AES-128/192/256）、支持多种认证模式（MD5、SHA1）。

　　SmartLink功能

　　IPSec是VPN技术中较为成熟的隧道协议，相对于PPTP、SSL这两种协议来说更加安全，值得信赖。不过，IPsec隧道的设定、安装配置和管理都相当的复杂，侠诺科技的QVM（QoS VPN Management）系列产品是专为解决这个问题而特别进行研发的，它支持SmartLink功能，采用IPSec的通信协议，大幅简化了配置的过程。

　　相对于传统IPSec VPN服务器和用户端的设置，QVM产品SmartLink的VPN配置过程就显然简单了很多。SmartLink设定底层完全采用标准的IPSec协定，提供了更简易的设置界面。因此，SmartLink的VPN配置并不会影响IPSec协议的安全性，又可大大简化网管人员部署VPN网络的工作。

总部端QVM配置界面

　　要使用QVM SmartLink功能，网管人员需要首先设定总部端的QVM服务器。设置QVM服务器的用户名和密码，并提供给分支机构端，备认证身份之用。在这里还可以设定允许分支机构访问的总部网段。如果设定为192.168.0.1/255.255.255.0，则用户可访问所有该网段IP位址服务器；如果设定为192.168.0.3/255.255.255.255，则分支机构端则只能访问服务器网段中的192.168.0.3。

QVM用户端配置界面

　　在分支机构VPN路由器客户端配置界面输入总部端VPN路由器已经设置好的用户名、密码，中心QVM服务器的地址或网功能变量名称，客户端即可连接入总部端QVM服务器。中心端QVM服务器功能变量名称支持动态DNS，在同一个画面也可配置服务器端备份VPN联机的功能变量名称或IP。

QVM服务器状态

　　当VPN联机完成后，即可从QVM1000服务器的状态页面看到不同分支机构的联机情况，包括启动联机时间、持续时间，并可作细部配置。　　可见，原本极为复杂的IPSec设定，只要三个参数即可解决。总部端的网管在QVM1000中设置用于分支机构登录的用户名及密码。然后通知使用QVM330的分支机构关于总部QVM的IP地址、用户名及密码。

　　另外，为了完成SmartLink的自动设定，QVM系列产品研发时也针对虚拟IP穿透作了因应设计。由于部份ISP分配的IP不足，所以分配虚拟IP给用户。再加上有些办公室通过分享连联机互联网，所以常常发生分支机构是通过二层虚拟IP连到总部的情况。侠诺的QVM SmartLink设定，可轻易在复杂的IP设定下建立VPN隧道。网管人员或集成业者不用再为了设定分支机构的VPN而四处奔波了。

　　基本路由效能测试

在这个部分我们使用网络实验室中的PC以及相关设备构建了测试网络，利用NetIQ Chariot来测试QVM330的NAT模式下的性能、网关到网关的VPN性能和客户端到网关的VPN性能。 　　我们按照上图所示构建了测试网络，1台PC连接在QVM1000的WAN口，同QVM1000的WAN口设定在同一个网段（192.168.99.x），并且安装了NetIQ Endpoint 5.0软件。另外两台PC分别连接到QVM1000的LAN口，同QVM1000的LAN口设定在同一个网段（192.168.0.x），其中一台安装NetIQ控制台软件Chariot 5.0软件，另外一台安装NetIQ Endpoint 5.0软件。QVM1000设定为Gateway网关模式。 　　首先，我们让Chariot分别调用Filesnal.scr脚本、FTPget.scr脚本，在192.168.99.200和192.168.0.42之间建立100个Pairs和5个Paris，设定为Run until any pair ends，然后分别进行WAN-to-LAN和LAN-to-WAN测试。WAN-to-LAN测试过程中，192.168.0.42处于DMZ（软）区域内。     WAN-to-LAN LAN-to-WAN Throughput.scr 90.027 89.824 Filesndl.scr 93.767 89.963 FTPget.scr 90.273 62.879 　　然后，我们让Chariot调用和Response_Time.scr脚本，并且在192.168.99.200和192.168.0.42之间建立100个Paris，运行模式为Batch，设定为Run until any pair ends，分别进行WAN-to-LAN和LAN-to-WAN测试。WAN-to-LAN测试过程中，192.168.0.42处于DMZ区域内。 LAN-to-WAN WAN-to-LAN   平均吞吐量 平均 响应时间 最小 响应时间 最大 响应时间 LAN-to-WAN 11.952Mbps 0.012s 0.000s 0.034s WAN-to-LAN 11.482Mbps 0.021s 0.001s 0.069s

　　Response_Time.scr脚本采用双向发送154字节长度报文的方法衡量吞吐能力，相对于前面的三种测试脚本，报文长度小了很多，需要路由器和测试客户端具有更高的计算能力，才能得到更高的吞吐量和更低的响应时间。

　　从我们测试结果上看，QVM1000的性能明显的高于QVM330，不过它的响应曲线的走势不够理想，波动较大。

　　网关到网关效能测试

我们按照上图所示构建了测试网络，1台PC连接在QVM1000的LAN口，同QVM1000的LAN口设定在同一个网段（192.168.0.x），安装了NetIQ Chariot 5.0和Endpoint 5.0软件。另外，1台PC连接到QVM330的LAN口，同其LAN口设定为同一个网段（192.168.1.x）。然后两台VPN路由器互设为网关。 　　利用管理界面添加网关到网关隧道，分别在MD5/DES, MD5/3DES, SHA1/DES和SHA1/3DES下测量吞吐量，然后使用Filesnal.scr (100Kbytes)脚本测试吞吐量并且记录。   网关到网关效能（Mbps） 3DES/MD5 40.787 3DES/SHA1 40.489 DES/MD5 40.244 DES/SHA1 38.917

　　客户端到网关效能测试

我们按照上图所示构建了测试网络，1台PC连接在QVM1000的LAN口，同QVM1000的LAN口设定在同一个网段（192.168.0.x），安装了NetIQ  Endpoint 5.0软件。另外1台PC连接到QVM1000的WAN口，设定为不同的网段（192.168.1.x），在这台PC上安装了NetIQ Chariot Console 5.0、NetIQ Endpoint 5.0和Symantec Client VPN软件。 　　然后在远端客户端和网关之间客户端到网关隧道，分别在MD5/DES, MD5/3DES, SHA1/DES和SHA1/3DES下测量吞吐量，然后使用Filesnal.scr (100Kbytes)脚本测试吞吐量并且记录。     客户端到网关（Mbps） 3DES/MD5 31.320 3DES/SHA1 28.730 DES/MD5 38.421 DES/SHA1 36.053 　　即便是在3DES/MD5、3DES/SHA1加密认证模式下，QVM1000也能提供30Mbps左右的VPN转发效能，因此只要用户的提供足够的带宽，QVM1000肯定不会成为构建私有通道的瓶颈。

 

　　IT168评测室观点

　　多WAN口产品是侠诺科技（Qno）的重点，这样的市场策略是因为侠诺看到了当前多WAN宽带路由器产品已经越来越多的网吧、宽带小区、学校等讲求速度及稳定的客户群所接受，并且预见到了这个市场将会进一步的扩展。

　　为了确保提供足够的VPN性能、防火墙性能，侠诺为QVM1000配置了可以称得上豪华的硬件配置：Intel IXP425 533 Mhz高效能网络处理器、128MB随机存储器、16MB Flash存储器。它内置了侠诺智能软件，提供企业需要的防火墙、线路负载均衡、线路备份、VPN、QoS管理及路由功能，可符合各种不同网络架构，网管人员方便规划管理。

　　我们的测试结果也显示了这款VPN路由器具有强劲的处理能力，NAT转发能力接近于线速，同QVM330之间的转发能力达到了40Mbps，而客户端到网关的3DES转发能力也达到了30Mbps。

　　QVM1000支持4 WAN口多线路负载均衡模式，今后还会升级到8 WAN口。这款VPN路由器还支持先进带宽管理QoS，提供弹性的配置，可依应用、IP、MAC限制，提供适当的带宽给不同使用者，让互联网联机使用更有效率。它支持虚拟局域网(VLAN)的功能，方便将内部网络分隔成几个独立网域，提高网络防护能力及安全性。

　　总得来说，QVM1000/QVM330产品是一套非常完善的多WAN口VPN路由器解决方案，特别是SmartLink技术大大降低了基于IPSec VPN路由器的使用难度，使得这套产品的普及几乎没有了技术门槛，值得推荐。

　　QVM1000规格表格