网络通信 频道

侠诺旗舰级QoS VPN 4/8WAN智能路由器

    【IT168 评测】近日,IT168评测室再次对于侠诺刚刚发布的适用于中大型应用的旗舰级QoS VPN 4 WAN口智能型路由器QVM1000进行了全面的评测,这是国内媒体对于这家专注于多WAN口宽带接入路由器产品的公司的最新产品的第一份评测报告。

  侠诺旗舰级VPN路由器QVM1000

  侠诺QVM系列产品是专为需要架设VPN的中大型机构设计的支持负载均衡、QoS的VPN路由器,上周我们已经对于QVM330进行了全面的测试。本周我们IT168评测室再次对于侠诺刚刚发布的适用于中大型应用的旗舰级QoS VPN 4 WAN口智能型路由器QVM1000进行了全面的评测,这是国内媒体对于这家专注于多WAN口宽带接入路由器产品的公司的最新产品的第一份评测报告。

QVM1000零售包装盒

QVM1000包装中全部的物品

  侠诺送测的QVM1000样品非常的接近于最终零售包装,外包装风格清新,醒目。在包装盒中除了QVM1000 VPN路由器之外,还提供了必需的一些附件,比如电源线、以太网线、机架固顶附件和橡胶垫脚。不过,依然没有任何说明文档——纸介质的或者电子版的都没有。就这个问题我们咨询了侠诺,他们给予肯定回答正式产品会包括详细的使用说明文档。

  QVM1000是一款注重易用性的VPN路由器产品,侠诺科技努力改变去IPSec路由器难以配置的局面,同QVM330配合用户只要更改三个参数就可以完成以前二、三十个参数才能完成的IPsec设置。虽然大大简化了设置方式,但是IPSec的安全性依然有保障,因此可以大大减少网管在配置VPN过程中耗费的时间。

  QVM1000采用了Intel IXP425处理器,高达128MB的随机存储器和16MB的Flash存储器,提供给了负载均衡、安全防护、带宽管理、VPN等功能足够的硬件平台的支持。从侠诺提供的资料显示,QVM1000的防火墙效能可达200Mbps以上,VPN效能可同时处理100/300条PPTP/IPSec联机,3DES运作效能达70Mbps以上,效能直逼昂贵的大型网络设备。

  QVM1000提供了4个10/100Mbps的广域网端口,1个10/100Mbps的DMZ端口和11个10/100Mbps的局域网端口。 未来的QVM1000在在非VPN模式下最多可支持8个广域网端口负载均衡功能。因此完全适用于中大型机构或企业总部联网及VPN网关应用。

QVM1000侧面

  QVM1000为标准19英寸机箱,采用随机附送的配件可以安装在标准的19英寸机架上。由于路由器内采用了发热量较少的部件,并没有采用主动或者被动式散热,侧面的散热孔足以满足设备的散热需求。

  QVM1000内部细节

  QVM1000 VPN路由器电路板设计的紧凑、简洁,仅仅占据了机箱内部大约三分之一的面积。可以看到,QVM1000采用了内置供电电路设计,因此无需外置式电源适配器,只要使用标准的电源线即可实现对于VPN1000的供电,便于用于标准机架。

  在《侠诺QVM330 VPN路由器评测》一文中,我们已经介绍过Intel IXP425 RISC CPU处理器,这是Intel针对网络应用所推出的专用处理器,它整合了Intel XScale核心和网络处理器引擎(NPE),可以满足高端网关、VoIP、无线访问点、SME路由器、交换机、安全设备、工控等应用。同QVM330不同的是,QVM1000所采用的Intel IXP425 RISC CPU的主频达到了533MHz,主频是QVM330所采用的IXP425处理器主频的一倍。

  因为采用了性能强劲的网络处理器,使得QVM330的防火墙效能达200Mbps以上,而且还提供了IPSec DES/3DES及PPTP协议硬件加速能力,3DES运作效能超过70Mbps以上,同时可处理超过300条以上VPN联机。

  Infineon-ADMtek ADM6926+ADM7008这两款芯片是百兆交换产品主流解决方案之一,ADM6926是一款性价比较高的26口(支持SS-SMII的24口10/100M自适应半/全双工交换端口和支持RMII/MII的2口10/100M半/全双工交换端口)10/100Mbps以太网交换机控制器芯片,采用0.18微米制程,支持流控制、广播风暴过滤、IGMP snooping、QoS、Trunking Port、VLAN、带宽控制。

  ADM7008是一颗8端口10/100M PHY芯片,QVM1000使用了两颗ADM7008芯片,提供了11个LAN口、4个WAN口和1个DMZ口的支持。

  QVM1000 VPN路由器采用了4颗MIRA P2V56S40 BTP随机存储器,这款DRAM的容量为256Mbit(4BANK x 4M x 16bit),4颗芯片的总容量为128MB。Flash芯片为Intel TE29F128,容量为32MB。

内部供电部分

  负载均衡功能

  多WAN口设备面市之前,构建多条接入线路的局域网是相当复杂的。一般的是将每一条线路连接单台路由器,再透过其路由等模式将不同的网段串联起来,这个时候只要一条线路出状况,所有的线路路由便会发生状况程度不一的连锁反应。

  多WAN口路由器通过负载平衡将多条接入线路有机的集成在一起,多条接入线路的带宽被捆绑在一起提供了更高带宽,更重要的是当其中一条线路发生故障中断的时候,负载平衡机制会帮助路由器把封包通过依然存活的线路进行传输,始终将负载导流到非常好的链路上,可以有效增进网络使用效能及稳定性。基于支持负载平衡机制的多WAN口路由器的网络更加便于建设、维护和管理。

  负载平衡技术可以实现分配网络运作模式的目的,比如将部分IP地址或是服务端口指定在某一条接入线路,将另外部分指定到别的接入线路。因此,使用QVM1000的机构可以关键网络服务(如电子邮件服务器)配置在可靠度高的线路上;将较不重要的服务(内部员工上网)配置在可靠度相对较低的线路上,确保企业网络弹性运作。

  通过“基本配置项目-多广域网设置”,网关可以对于设备的工作模式进行设定。QVM1000提供三种模式:

  • 智能型负载均衡

  • IP群组(依使用者)

  • IP负载均衡

  策略路由功能

  VPN备援功能

  侠诺QVM1000可以作为总部VPN路由器使用,它最多可以提供4 WAN VPN功能,可以同时与多个分支机构和移动用户之间建立VPN隧道。网管人员可依带宽需要,扩展WAN口数量,以适应分支机构或行动用户的需要,不致因带宽受限而无法提供良好的服务。另外,QVM1000也提供断线备援的功能,当某个WAN口联机因故掉线时,就可短时间自动由其他WAN口重建,用户或分支机构只会感到短暂中断,就可继续工作——只有这样才能确保企业总部提供的VPN服务的稳定性。

  QVM系列产品的分支机构端备援功能设定则是在分支机构VPN网关中(QVM330)进行配置。用户只要将双广域网设置中的“线路侦测机制”启动。设定二个广域口使用的联机方式,QVM330即会并同线路备援,一同作VPN备援功能。它可在WAN1掉线时,依默认的方式及信息,自动建立新的联机及VPN隧道,达到分支机构VPN备援的功能。

  QVM1000提供了方便的VPN设置界面,无论是建立网关到网关VPN隧道,还是建立客户端到网关隧道都可以在一个界面完成。如商图所示,所有的选项Local Group Setup、Remote Group Setup、IPsec Setup都在同一张页面内,用户只要在这一张页面内点选几次就可以完成VPN隧道设定。QVM330支持多种Security Gateway Type(IP only、IP+Domain FQDN Authentication、IP+Email Addr USER FQDN Authentication、Dynamic IP+Domain FQDN Authentication、Dynamic+Email Addr USER FQDN Authentication)、多种Security Group Type(Subnet)、多种加密算法(DES、3DES、AES-128/192/256)、支持多种认证模式(MD5、SHA1)。

  SmartLink功能

  IPSec是VPN技术中较为成熟的隧道协议,相对于PPTP、SSL这两种协议来说更加安全,值得信赖。不过,IPsec隧道的设定、安装配置和管理都相当的复杂,侠诺科技的QVM(QoS VPN Management)系列产品是专为解决这个问题而特别进行研发的,它支持SmartLink功能,采用IPSec的通信协议,大幅简化了配置的过程。

  相对于传统IPSec VPN服务器和用户端的设置,QVM产品SmartLink的VPN配置过程就显然简单了很多。SmartLink设定底层完全采用标准的IPSec协定,提供了更简易的设置界面。因此,SmartLink的VPN配置并不会影响IPSec协议的安全性,又可大大简化网管人员部署VPN网络的工作。

总部端QVM配置界面

  要使用QVM SmartLink功能,网管人员需要首先设定总部端的QVM服务器。设置QVM服务器的用户名和密码,并提供给分支机构端,备认证身份之用。在这里还可以设定允许分支机构访问的总部网段。如果设定为192.168.0.1/255.255.255.0,则用户可访问所有该网段IP位址服务器;如果设定为192.168.0.3/255.255.255.255,则分支机构端则只能访问服务器网段中的192.168.0.3。

QVM用户端配置界面

  在分支机构VPN路由器客户端配置界面输入总部端VPN路由器已经设置好的用户名、密码,中心QVM服务器的地址或网功能变量名称,客户端即可连接入总部端QVM服务器。中心端QVM服务器功能变量名称支持动态DNS,在同一个画面也可配置服务器端备份VPN联机的功能变量名称或IP。

QVM服务器状态

  当VPN联机完成后,即可从QVM1000服务器的状态页面看到不同分支机构的联机情况,包括启动联机时间、持续时间,并可作细部配置。  可见,原本极为复杂的IPSec设定,只要三个参数即可解决。总部端的网管在QVM1000中设置用于分支机构登录的用户名及密码。然后通知使用QVM330的分支机构关于总部QVM的IP地址、用户名及密码。

  另外,为了完成SmartLink的自动设定,QVM系列产品研发时也针对虚拟IP穿透作了因应设计。由于部份ISP分配的IP不足,所以分配虚拟IP给用户。再加上有些办公室通过分享连联机互联网,所以常常发生分支机构是通过二层虚拟IP连到总部的情况。侠诺的QVM SmartLink设定,可轻易在复杂的IP设定下建立VPN隧道。网管人员或集成业者不用再为了设定分支机构的VPN而四处奔波了。

  基本路由效能测试

  在这个部分我们使用网络实验室中的PC以及相关设备构建了测试网络,利用NetIQ Chariot来测试QVM330的NAT模式下的性能、网关到网关的VPN性能和客户端到网关的VPN性能。

  我们按照上图所示构建了测试网络,1台PC连接在QVM1000的WAN口,同QVM1000的WAN口设定在同一个网段(192.168.99.x),并且安装了NetIQ Endpoint 5.0软件。另外两台PC分别连接到QVM1000的LAN口,同QVM1000的LAN口设定在同一个网段(192.168.0.x),其中一台安装NetIQ控制台软件Chariot 5.0软件,另外一台安装NetIQ Endpoint 5.0软件。QVM1000设定为Gateway网关模式。

  首先,我们让Chariot分别调用Filesnal.scr脚本、FTPget.scr脚本,在192.168.99.200和192.168.0.42之间建立100个Pairs和5个Paris,设定为Run until any pair ends,然后分别进行WAN-to-LAN和LAN-to-WAN测试。WAN-to-LAN测试过程中,192.168.0.42处于DMZ(软)区域内。

 
  WAN-to-LAN LAN-to-WAN
Throughput.scr 90.027 89.824
Filesndl.scr 93.767 89.963
FTPget.scr 90.273 62.879

  然后,我们让Chariot调用和Response_Time.scr脚本,并且在192.168.99.200和192.168.0.42之间建立100个Paris,运行模式为Batch,设定为Run until any pair ends,分别进行WAN-to-LAN和LAN-to-WAN测试。WAN-to-LAN测试过程中,192.168.0.42处于DMZ区域内。

LAN-to-WAN

WAN-to-LAN

 

平均吞吐量

平均
响应时间

最小
响应时间

最大
响应时间

LAN-to-WAN 11.952Mbps 0.012s 0.000s 0.034s
WAN-to-LAN 11.482Mbps 0.021s 0.001s 0.069s

  Response_Time.scr脚本采用双向发送154字节长度报文的方法衡量吞吐能力,相对于前面的三种测试脚本,报文长度小了很多,需要路由器和测试客户端具有更高的计算能力,才能得到更高的吞吐量和更低的响应时间。

  从我们测试结果上看,QVM1000的性能明显的高于QVM330,不过它的响应曲线的走势不够理想,波动较大。

  网关到网关效能测试

  我们按照上图所示构建了测试网络,1台PC连接在QVM1000的LAN口,同QVM1000的LAN口设定在同一个网段(192.168.0.x),安装了NetIQ Chariot 5.0和Endpoint 5.0软件。另外,1台PC连接到QVM330的LAN口,同其LAN口设定为同一个网段(192.168.1.x)。然后两台VPN路由器互设为网关。

  利用管理界面添加网关到网关隧道,分别在MD5/DES, MD5/3DES, SHA1/DES和SHA1/3DES下测量吞吐量,然后使用Filesnal.scr (100Kbytes)脚本测试吞吐量并且记录。

  网关到网关效能(Mbps)
3DES/MD5 40.787
3DES/SHA1 40.489
DES/MD5 40.244
DES/SHA1 38.917
  需要说明是这个测试数值将会受限於QVM330的性能,并非QVM1000的峰值性能,不过这个测试结果同实际应用的情形非常的相似,侠诺也推荐用户配合使用QVM1000和QVM330。

  客户端到网关效能测试

  我们按照上图所示构建了测试网络,1台PC连接在QVM1000的LAN口,同QVM1000的LAN口设定在同一个网段(192.168.0.x),安装了NetIQ  Endpoint 5.0软件。另外1台PC连接到QVM1000的WAN口,设定为不同的网段(192.168.1.x),在这台PC上安装了NetIQ Chariot Console 5.0、NetIQ Endpoint 5.0和Symantec Client VPN软件。

  然后在远端客户端和网关之间客户端到网关隧道,分别在MD5/DES, MD5/3DES, SHA1/DES和SHA1/3DES下测量吞吐量,然后使用Filesnal.scr (100Kbytes)脚本测试吞吐量并且记录。

 
  客户端到网关(Mbps)
3DES/MD5 31.320
3DES/SHA1 28.730
DES/MD5 38.421
DES/SHA1 36.053
  即便是在3DES/MD5、3DES/SHA1加密认证模式下,QVM1000也能提供30Mbps左右的VPN转发效能,因此只要用户的提供足够的带宽,QVM1000肯定不会成为构建私有通道的瓶颈。

 

  IT168评测室观点

  QVM1000规格表格

硬件规格
CPU处理器
快闪内存
DRAM内存

Intel IXP425 533MHz RISC
16MB
128MB
网络介面
广域端口 WAN


可设定的埠口 ( DMZ/WAN)
区域网络端口 LAN Port
非军事区端口 DMZ Port

4-ports (SME Mode)/
8 ports LB Mode

1-port
11-ports
1-port

处理速度 Perfomance
联机数 Session
防火墙效能 Firewall Throughput
(bi-directional)
VPN 效能

120,000
200 Mbps

3DES/90Mbps
负载均衡以及线路备机
线路备援 Link Backup
负载均衡 Load Balancer
端口绑定 (Protocol Binding)



广域端口连接型态 Connection Type
DHCP 自动 IP 功能
固定 IP 位置 - Static IP
ADSL PPPoE
PPTP
桥接模式 Bridge Mode





VPN Feature
支持 IPSec 通道数
认证功能
加密功能 Encryption
IKE Key Management
PKI
VPN 透通
VPN 备援 Redundant VPN
群组式 Group VPN
VPN 硬件加速功能
PPTP VPN Server

300
MD5/SHA1
DES/3DES/AES

Future




100
防火墙 Firewall
DoS Prevention/SPI
骇客攻击纪录
即时电子邮件通知
存取管制条例
Java/ActiveX/proxy
上网管制功能




Access Rule

DHCP 服务器
LAN DHCP Server
自动配发IP数量
WAN DHCP Client


class B
网络位置转译 NAT
多对一 NAT 功能
一对一 NAT 功能
PAT
MAC 位置控制
DMZ 功能
虚拟主机功能 Port Forwarding
微软即插即用
IP 过滤功能








系统管理
网页管理功能
SNMP


IP 路由通信协议
静态路由
动态路由 RIPI/II


系统日志/线上监看
系统日志
日志电子邮件通知
SNMP trap



埠口管理功能
埠口设定 (VLAN)
埠口状态


带宽管理功能 QoS
保证带宽
最大带宽
优先级设定
DiffServ stamp




-
其他功能项目
3322.org/DtDNS/DyDNS
系统自我侦测看门狗
MAC Address Clone
VLAN
端口映射
CMS控制






server x 200
0
相关文章