清华同方TF-VPN100
【IT168评测室】TF-VPN100、TF-VPN200系列产品是清华同方网络产品公司专门针对小型应用开发的VPN产品,这个系列的产品力求简易实用,以较高的性价比吸引中小企业客户。我们IT168评测室最近收到的清华同方送测的其中一款TF-VPN100,本文将会对于这款产品进行全面的介绍和应用性性能评估。
清华同方TF-VPN100 |
TF-VPN100为标准19吋机箱,可以安装到标准19吋机架上使用。这款VPN产品采用了外置电源适配器的设计,而我们拆开机箱发现内部的电路板仅仅占据了1/3不到的面积,供电部分完全可以内置于机箱内部,然后通过标准电源线连接电源插座即可,这样可以更加适用于标准机房中。
在F-VPN100的前面板上是设备的状态指示灯,从左到右依次是电源指示灯(PWR)、自检指示灯(TST)、LAN口指示灯(LAN1-4)和WAN口指示灯。其中电源指示灯常亮表示的是电源接通,自检指示灯闪烁则表示设备成功启动,LAN口和WAN口指示灯常亮表示已经正确连接,闪烁表示有数据传输。
在TF-VPN100的后部提供了多种接口,从左到右依次是12VDC 0.5A电源接口、复位按钮、串口、WAN口和LAN口。TF-VPN100支持国内的各种网络接入方式,具有良好的兼容性;引入动态域名解析的功能,确保动态IP和一个固定域名的实时对应;WEB验证能够纪录黑客攻击的日志和URL网站日志等,有效保障网络安全;此外,TF-VPN针对我国现状,支持多种接入方式的无须静态IP地址的虚拟专用网络通讯网关,采用独有技术,没有中心节点的限制,没有网络瓶颈;支持国家推荐的加密算法,可用于政府机关或国家相关部门,全部支持各种VOIP应用。
在TF-VPN100的两侧是用于安装固定附件的安装孔和散热孔——VPN100内部元件的发热量很小,因此并没有采用任何的被动式或者主动式散热方式,这些散热孔就可以帮助这款设备散发掉工作过程中产生的热量。
内部结构和细节
TF-VPN100内部的电路板设计的相当的紧凑,只是占据了机箱内不到三分之一的面积。VPN100是基于KENDIN KS8695高整合度SOHO网关控制器芯片设计的。
KS8695是Micrel-Kendin生产的高度整合的控制器芯片,它整合了5端口快速以太网收发器(transceivers)、MAC、交换控制器、帧缓存以及ARM922T核心(整合的32bit ARM922T CPU核心的工作频率为166MHz,内置MMU),可用于802.11 a/b/g路由器、多端口宽带网关、机顶盒、媒体适配器、网络存储、网络相机、多端口VPN/防火墙、多端口VoIP网关、FTTH CPE等产品中。这款芯片面市已经有3年之久,我们过去在多款网络产品看到过它的踪影。
Intel Flash芯片 |
IC42S16800-7T DRAM芯片 |
ICSI IC42S16800是一颗2M x 16 Bit x 4 Banks (128-MBIT) SDRAM芯片,容量为16MB,额定最高运行频率为133MHz。
Analog ADM3311串口收发器芯片 |
主板供电电路局部 |
TF-VPN100的硬件配置非常的普通,这同其针对中小应用和追求性价比的市场推广思路是相符的。
VPN功能介绍
VPN100提供了简体中文的Web管理界面,按照功能归纳于4个方面:网络、防火墙、虚拟专用网和系统。针对不同的功能,在同一个界面上,还有简明的说明文字帮助用户进行设定。但是,不足也是存在的,比如功能页面设计的比较繁杂,往往一个子功能页面还有还包括数个页面。
这里我们对于VPN100的两大功能VPN和防火墙功能进行进一步的介绍。VPN100提供了对于PPTP、L2TP、IPSec和GRE的支持,因为VPN设置相对比较复杂,所以每种设置都采用了向导设置模式,引导用户一步一步的进行设置,当然用户依然需要具备一定的VPN的相关知识和安装经验。
PPTP VPN客户设置界面 |
PPTP VPN服务器设置界面 |
PPTP(点对点隧道协议)由微软、Ascend、3com、ECI等公司制定,是一个工作在OSI/RM第二层的隧道协议,它将PPP数据桢封装在IP数据报内通过IP网络进行传输。PPTP使用一个TCP连接对隧道进行维护,使用通用路由封装(GRE)技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP桢中的负载数据进行加密或压缩。
L2TP VPN客户设置界面 |
L2TP VPN服务器设置界面 |
L2TP(第二层隧道协议) 是IETF(因特网工程任务组)结合了PPTP和L2F协议制定的工作在OSI/RM第二层协议(数据链路层)的隧道协议标准,这种协议比较适合于开展远程接入VPN业务。L2TP沿袭了PPTP的一些特点,比如也是使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。L2TP比PPTP的适用范围更广阔,比如它可以用于IP、桢中继永久虚拟电路(PVCs)、X.25虚拟电路(VCs)或ATM VCs网络上;L2TP支持在两端点之间建立多条隧道;L2TP支持包头压缩,降低了overhead。
IPSec设置界面 |
IPSec是一组开放的网络安全协议的总称,规定了在网络层可以提供访问控制、无连接的完整性、数据来源验证、防重放保护、加密以及数据流分类加密等安全服务。它包括两个安全协议:认证头(AH)和封装安全载荷(ESP)。AH主要提供的功能有数据来源验证、数据完整性验证和防报文重放功能。ESP在AH协议的功能之外再提供对IP报文的加密功能。另外,IPSec通常使用因特网密钥交换(IKE)协议进行安全参数的自动协商。目前IPSec是公认的更加安全的VPN隧道协议,对于安全性要求较高的用户可以考虑采用这种模式,不过这种模式需要较高配置的硬件支持。
GRE VPN设置界面 |
相对于前面的L2TP、IPSec等协议,通用路由封装(GRE)协议出现的更早一些,该标准规定了对数据包的封装方法,即如何用一种网络协议去封装另一种网络协议,但是并没有相应的安全机制,属于功能简单的VPN协议。因此,GRE在实际应用中中经常需要与IPSec配合使用。
防火墙功能介绍
防火墙功能包括“外来访问”、“包过滤”、“防火墙规则”、“入侵检测”和“接入控制”。
外来访问-服务管理界面 |
TF-VPN100默认允许从LAN界面和拨入界面进行管理,如果用户希望通过互联网对设备做远程管理,那么需要勾选互联网接口中的Telnet或者Web。VPN100默认不响应PING,如果用户需要则需要勾选接受回应要求(外来Ping)。VPN100默认使用HTTP进行管理配置,如果用户需要使用HTTPS需要通过Web服务器页面进行相应的设置。
包过滤-服务组设置界面 |
VPN100默认的防火墙策略为所有从LAN/VPN/Dial-In进入防火墙的数据,可以从任何接口出去,但所有从WAN进入防火墙的数据,不管去往那个接口,防火墙默认都会丢弃该数据。用户可以配置防火墙来控制网络流量,如基于源地址、目的地址、数据进入/出去的网络端口和应用服务等,用户可以配置防火墙的NAT(网络地址转换),如源地址NAT\目的地址NAT\1 to 1NAT。
防火墙规则配置界面 |
VPN100已经预设了防火墙规则,用户可以根据自己的需要增删防火墙规则。不过增删防火墙规则需要通过iptables进行(有兴趣的用户可以浏览:http://www.netfilter.org/documentation)。
这里我们罗列部分配置示例:
-
关闭所有服务:
iptables –A Filter –j DROP -
禁止某个MAC地址的某个端口服务:
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 8000 -j DROP -
禁止某个IP地址服务:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP -
禁止某个IP地址的PING:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP -
将WAN口NAT到PC:
-
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
-
禁用QQ防火墙配置:
iptables -A Filter -p udp --dport ! 53 -j DROP
iptables -A Filter -p tcp -d 218.17.209.0/24 -j DROP
iptables -A Filter -p tcp -d 218.18.95.0/24 -j DROP -
只允许某些服务,其他都拒绝:
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT iptables -A Filter -j DROP -
禁止某个MAC地址访问internet:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP -
拒绝某个地址多个端口服务:
iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT -
拒绝某段时间上网:
iptables -A Filter -s 10.10.10.253 -m time --timestart 6:00 --timestop 11:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP
这个部分的功能,厂商完全可以通过更加人性化的交互界面提供给用户。我们希望清华同方的下一代产品可以改进这个方面的配置功能。
入侵检测配置界面 |
检测以及堵截入侵(IDB)能伪装对外提供一系列的服务和监视入侵。当服务被入侵时,会在日志中进行记录,并且将而连线截断。网络扫描通常是入侵的前奏,用户可以选择堵截所有曾扫描过指定端口的入侵主机。
VPN100提供了三种预设值:基本、标准、严格。点击“基本”按钮可以设置一些基本端口,这样可以防止多种入侵;“标准”设置包括更多的端口,可以侦测更多的入侵。“严格”设置则包括了几乎所有端口,可以监察几乎所有入侵动作。为了降低防止伪报的次数,建议用户适当放宽触发次数。
接入控制-内容设置界面 |
VPN100提供的接入控制功能可以帮助网管有效的控制局域网内用户的访问互联网的动作。VPN100可以根据IP地址、URL、内容来限制局域网内用户,不过内容过滤服务和ZoneAlarm服务都需要用户另外购买。
NAT转发效能测试
在这个部分我们使用网络实验室中的PC以及相关设备构建了测试网络,利用NetIQ Chariot来测试TF-VPN100的NAT模式下的性能、网关到网关的VPN性能和客户端到网关的VPN性能。
我们按照上图所示构建了测试网络,1台PC连接在TF-VPN100的WAN口,同TF-VPN100的WAN口设定在同一个网段(192.168.99.x),并且安装了NetIQ Endpoint 5.0软件。另外两台PC分别连接到TF-VPN100的LAN口,同TF-VPN100的LAN口设定在同一个网段(192.168.0.x),其中一台安装NetIQ控制台软件Chariot 5.0软件,另外一台安装NetIQ Endpoint 5.0软件。
我们让Chariot分别调用Throughput.scr脚本、Filesnal.scr脚本、FTPget.scr脚本,在192.168.99.200和192.168.0.42之间建立100个Pairs、100个Paris和5个Paris,设定为Run until any pair ends,然后分别LAN-to-WAN测试。
LAN-to-WAN | |
Throughput.scr | 19.003 Mbps |
Filesndl.scr | 18.977 Mbps |
FTPget.scr | 16.736 Mbps |
然后,我们让Chariot调用和Response_Time.scr脚本,并且在192.168.99.200和192.168.0.42之间建立100个Paris,运行模式为Batch,设定为Run until any pair ends,数据走向为LAN-to-WAN。
从测试结果来看,VPN100的NAT路由器性能比较一般,Throughput脚本测试只能达到19.003Mbps。
Response_Time.scr脚本测试曲线 |
平均吞吐量 |
平均 |
最小 |
最大 | |
LAN-to-WAN | 2.176 Mbps | 0.072s | 0.071s | 0.076s |
Response_Time.scr脚本采用双向发送154字节长度报文的方法衡量吞吐能力,相对于前面的三种测试脚本,报文长度小了很多,需要路由器和测试客户端具有更高的计算能力,才能得到更高的吞吐量和更低的响应时间。在我们的这个测试平台上,同时开启100Paris可以在中高端路由器上得到10-15Mbps的吞吐量,因此这个脚本的测试吞吐量结果低于这个数值的都不会受到测试平台本身性能的限制。
从测试曲线看到,响应时间维持在0.071-0.076s之间,平均响应时间较长。平均吞吐量只能达到2.176Mbps,虽然同过去我们测试过的中高端路由器有较大的差别,但是读者也需要注意到它们之间的价格差异。
网关到网关转发效能测试
我们按照上图所示构建了测试网络,1台PC连接在侠诺QVM1000的LAN口,同QVM1000的LAN口设定在同一个网段(192.168.0.x),安装了NetIQ Chariot 5.0和Endpoint 5.0软件。另外,1台PC连接到TF-VPN100的LAN口,同其LAN口设定为同一个网段(192.168.1.x)。然后两台VPN路由器互设为网关。
利用管理界面添加网关到网关IPSec隧道,分别在MD5/DES, MD5/3DES, SHA1/DES和SHA1/3DES下测量吞吐量,然后使用Filesnal.scr (100Kbytes)脚本测试吞吐量并且记录。由于侠诺QVM1000和QVM330配合使用时,在我们的测试方案下可以达到40Mbps左右的吞吐量,因此QVM1000在测试中不会成为TF-VPN的瓶颈。
网关到网关效能 | |
3DES/MD5 | 2.782 Mbps |
3DES/SHA1 | 2.214 Mbps |
DES/MD5 | 4.076 Mbps |
DES/SHA1 | 3.630 Mbps |
IPSec隧道协议的安全性是目前公认的,但是如果要采用这种技术,需要VPN路由器具有较高的硬件配置,特别是处理器性能较高。Micrel-Kendin KS8695内置的ARM922T在这种应用下,可以提供基本令人接受的性能,达到了清华同方公布的标称数值,这也决定了这款VPN路由器只能用于数据传输量不大的场合,比较适合做为分支机构VPN网关。
稳定性测试
依然在上述测试环境中,我们利用NETIQ Chariot 5.0进行了稳定性测试。网关到网关隧道采用了3DES/MD5加密认证算法,采用Filesnal.scr脚本,建立10个Paris,设定运行时间为24个小时。清华同方TF-VPN100成功的完成了整个测试。
IT168评测室观点
清华同方TF-VPN100设备是清华同方网络产品公司专门针对小型应用开发的VPN产品,针对注重构建VPN成本的中小企业用户。因此,在硬件配置上VPN100并不高,借助于一颗Micrel-Kendin KS8695高整合芯片实现了全部功能,因此在我们的测试中成绩不高也在我们的预料之中。全面的功能是这款产品的特色,它支持多种私有网络隧道协议,比如PPTP、L2TP、IPSec、GRE等等,配置界面采用了向导式,提高了产品的易用性;功能强大的防火墙对内对外都提供了丰富的约束手段,可以帮助网管有效的约束网络用户的行为。
清华同方TF-VPN100以较低的成本提供给中小企业、分支机构架设VPN的功能,适用于不需要同时构建多条隧道、数据量不大的用户使用。