【IT168评测室】艾泰HiPER2000是一款定位于中小企业应用的VPN路由器,它支持IPSec、L2TP、PPTP协议,支持客户端或者服务器工作模式,支持使用动态地址构建VPN隧道,VPN应用方面的相当的灵活。它还提供了防火墙、流量控制以及管理和监控功能,功能相当的丰富。
我们收到评测样品是HiPER2000系列的一员,具体型号为2231CS,在完全零售包装中包括HiPER 2231CS VPN路由器、电源适配器、以太网线、串口线、基本配置手册、VPN配置手册和随机光盘。用户购买的时候可以对照包装盒中的装箱单,确保附件齐全。
值得肯定的是,基本配置手册和VPN配置手册都是简体中文版的,对于设备的使用、配置都进行了全面、详细的介绍。VPN产品的配置比普通的路由器要复杂的多,因此一本简体中文版本的用户手册将会是非常的必要的。在随机光盘中还提供了Word格式和PDF格式的电子版基本配置手册、VPN配置手册和高级配置手册,使用起来非常的方便。
HiPER 2231CS大小如同一本32开小说,全塑料黑色外壳,可以平放在桌面上。前面板上从左到右依次是WAN口状态指示灯(wan)、系统状态指示灯(SYS)、ACT指示灯、LAN口指示灯、电源指示灯(PWR)。正常状态下,WAN指示灯以每秒两次的频率显示,当系统繁忙的时候闪烁频率会降低,有经验的艾泰用户可以根据它来初步判断设备的负载状况。
在HiPER 2231CS背后有配置端口、4个LAN口、1个UP-Link端口和1个WAN口,当使用UP-Link端口的时候,第四个LAN口此时不可用。
LAN口和WAN口配置了用于只是Link/Act和是否工作于100Mbps状态的指示灯,便于管理员初步的了解产品的工作状态。
从外观来判断,HiPER是一款4口路由器产品,提供了相当齐全的状态指示灯,可以帮助管理员初步的了解设备的工作状况,各个端口的连接状况等信息。
内部细节
HiPER 2231CS内部的电路板设计的非常的紧凑,由于覆盖了散热片,我们无法得知这款设备所采用的主芯片的具体型号,咨询艾泰公司之后也没有提供具体的芯片信号,仅仅是说采用了ARM9水平的处理器。
这款VPN路由器采用了Intel TE28F160 Flash芯片和Winbond W9864320H SDRAM芯片,其中TE28F160是一颗16Mbit(2M x 8bit)的Flash芯片,而W9864320H则是一颗64Mbit(2M x 32bit)SDRAM芯片。从存储器的配置上看,这款VPN路由器属于入门级VPN路由器,比较适用于作为分支机构VPN路由器。
ReOS 5.0管理系统
艾泰不但为HiPER 2231CS提供全中文版的说明书,还提供了简体中文Web管理界面,每个界面还针对当前界面的控制选项提供了相应的在线帮助,有VPN路由器使用经验的用户完全可以脱离说明书进行基本操作了。
这款路由器的默认的IP地址是少见的192.168.16.1——为了用户方便起见,我们建议采用192.168.0.1或者192.168.1.1,这样即便是说明书不在手中,管理员也基本上可以靠猜测进入到管理界面,虽然是一个不起眼的地方,还是的确可以更加方便日常的使用。
在管理页面的首页,用户可以方便的进入到快速向导、基本配置、高级配置、系统管理、系统状态、上网监控、带宽业务和VPN配置等界面。比较方便的是,每个功能的入口都有对于这个功能所涉及的项目的概述,因此用户能够很快的找到所需的功能,而不会迷失在层层迭迭的页面中。
为了方便入门级用户,这款VPN路由器提供了快速设置向导,利用这个功能用户可以快速的配置路由器上网所需要的基本网络参数,从实现局域网的搭建、共享Internet接入线路等等。
基本配置界面 |
通过基本设置界面可以对于WAN口、LAN口地址进行配置,还可以对于DHCP服务和DNS服务器、DDNS、时间段进行配置。这款VPN路由器支持静态IP接入、动态IP接入和PPPoE接入方式。比较特别是这款路由器支持为每个物理路由端口(LAN、WAN、DMZ)配置两个不同网段的IP地址,而且可以相互通讯。配置时间段策略也是在这个界面进行的,配置多个时间段策略然后同其它功能结合即可实现基于时间的控制。
高级配置界面 |
高级配置界面包括组管理、业务管理、NAT和DMZ配置、路由配置、用户管理和特殊功能等等。分组功能是有效的管理用户的功能,利用这个功能可以把具有共性的用户划分到一个连续的IP地址段中,然后赋予相应的权限。业务策略功能提供了基于协议、常用服务、IP地址和端口等多个方面的进行访问控制的手段,通过业务策略、组管理和时间策略的结合,管理员可以实现对于局域网内用户全面的控制。用户管理功能主要是进行IP地址和MAC地址的绑定,通过这种方式来防止IP欺骗的攻击。
特殊功能中包括了多个特殊但是也非常有用的功能,快速转发功能可以实现各个物理端口之间快速转发,可明显的提高性能。内网主机速率限制则提供了基本的流量控制的功能。管理还可以把端口2-4镜像到端口1上,从而方便流量、协议分析。这款路由器还支持虚拟局域网功能。
带宽业务配置 |
带宽业务功能也就是QoS,它可以把ISP提供的带宽二次根据优先级分配给不同组的局域网用户。如果选择平均分配带宽,那么就不会出现群组内某个用户占用带宽过高而影响他人的后果。这里还允许需要带宽高的组可以暂时节育带宽使用率不高的组的带宽,相当的智能化。
上网监控界面 |
在这个功能中可以根据全部记录、主备份线路、内网地址、外网地址、域名、NAT地址、外网端口等条件进行查询,以监控局域网用户的上网情况。
VPN配置界面之PPTP/L2TP |
VPN配置界面之IPSec |
这是一款VPN路由器,支持主流的PPTP/L2TP和IPSec隧道协议,支持DES、3DES、SHA1等加密认证方式。从上面的截图可以看出,它们的配置界面非常的简洁,比之前我们所测试的清华同方同档次VPN设备的配置界面简单的多,这大大的降低了设备的使用门槛。
NAT转发能力
在IT168网络实验室,我们利用NetIQ Chariot软件和专为VPN设备测试而搭建的网络上了对于被测设备进行了测试,主要包括VPN路由器三种状态下的性能:NAT模式下转发性能、网关到网关模式下的VPN性能。我们按照上图所示构建了测试网络,安装了NetIQ Endpoint 5.0软件的一个客户端(华硕AP2400-E2服务器,板载Broadcom BCM5721 PCI Express千兆网卡)连接在被测VPN路由器的WAN口,并且同其WAN口设定在同一个网段(192.168.99.x)。安装了NetIQ Endpoint 5.0软件的另外一个客户端(华硕AP1600-E2服务器,板载Broadcom BCM5721 PCI Express千兆网卡)连接在LAN口,设定为在192.168.0.x网段中。一台PC(Celeron 1.7GHz、256MB、40GB、百兆网卡)安装了NetIQ Chariot 5.0软件连接在LAN口做为控制台。
我们以Response_Time测试脚本为基础,通过调整所传输数据的大小来控制测试期间所传输数据的大小,从而实现在E1和E2之间发送不同尺寸数据包(64B、128B、256B、512B、1024B、1280B、1518B)的。在这个脚本测试过程中测试数据的传输是双向的,严格说来它反应的是E1客户端网卡的数据包处理能力、路由器的转发或者交换能力和E2客户端网卡的数据包处理能力的综合,因此测试结果是这个测试网路的双向吞吐量、响应时洹?/P>
这个部分我们进行的是LAN口到LAN口的之间的交换能力的测试,同之前的同类产品相比,它的吞吐量保持了应用的水平,最高达到了184Mbps。
网关对网关VPN性能
我们按照上图所示构建了测试网络,安装了NetIQ Chariot 5.0和NetIQ Endpoint 5.0软件的一个客户端(华硕AP2400-E2服务器,板载Broadcom BCM5721 PCI Express千兆网卡)连接在被测VPN路由器的LAN口,IP地址设定在192.168.0.x网段内。被测VPN路由器WAN口设定在192.168.99.x网段内,其网关设定为另外一台VPN路由器的WAN口IP地址。
为了帮助我们进行网关到网关的性能测试,我们还采用了一台Qno FRV9208 VPN路由器来帮助我们搭建测试网络。这台VPN路由器采用了IXP处理器,在性能上不会构成被测VPN路由器的瓶颈。安装了NetIQ Endpoint 5.0软件的另外一个客户端(华硕AP1600-E2服务器,板载Broadcom BCM5721 PCI Express千兆网卡)连接在Qno FRV9208 VPN路由器的LAN口,设定为在192.168.1.x网段中。Qno FRV9208 VPN路由器的WAN口设定在192.168.99.x网段内,其网关设定为被测VPN路由器的WAN口IP地址。
网关到网关效能(Mbps) | |
3DES/MD5 | 0.936 |
3DES/SHA1 | 1.026 |
DES/MD5 | 2.633 |
DES/SHA1 | 2.137 |
我们分别将网关到网关之间的隧道的加密认证算法设定为3DES/MD5、3DES/SHA1、DES/MD5、DES/SHA1,然后使用Filesnal.scr (100Kbytes)脚本测试吞吐量并且记录。DES/MD5和DES/SHA1的性能是3DES/MD5和3DES/SHA1性能的1倍多。
客户端对网关VPN性能
安装了NetIQ Chariot 5.0、NetIQ Endpoint 5.0和Symantec Client VPN 3.0的一个客户端(华硕AP2400-E2服务器,板载Broadcom BCM5721 PCI Express千兆网卡)连接在被测VPN路由器的WAN口,IP地址设定在192.168.99.x网段内。被测VPN路由器WAN口设定在192.168.99.x网段内,LAN口设定在192.168.0.x网段,连接一台安装了NetIQ Endpoint 5.0软件的客户端(华硕AP1600-E2服务器,板载Broadcom BCM5721 PCI Express千兆网卡)。
我们利用了艾泰科技提供的HiPER IPSec客户端软件成功的建立了基于L2TP的IPsec隧道,但是我们发现在这种模式下无法进行Net Chariot测试。另外,我们没有成功的利用Symantec Client VPN等第三方直接建立起来客户端到网关的IPSec VPN隧道,因此最终没有进行这个项目的测试。
IT168评测室观点
艾泰HiPER2231CS采用了ARM9级别的处理器、2MB Flash存储器和8MBSDRAM存储器,是一款针对小型网络应用的路由器产品。我们的测试结果显示它的NAT转发能力发挥了硬件应有的性能,双向吞吐量86Mbps。这款路由器的丰富的功能给我们留下了深刻的印象,它支持完善灵活的业务管理策略,还有基于CBQ技术的带宽分配和管理技术,网管们可以更加得心应手的管理HiPER2231CS背后的局域网了。其实,对于IPSec、L2TP/PPTP等VPN协议的支持才是这款产品的重点,它允许L2TP/PPTP/IPSec ESP透明通过,支持客户端或服务器工作模式,支持使用动态地址构建VPN隧道,可实现网关到网关的连接和移动用户的接入。最多可配置2条VPN隧道,并发2条。在VPN功能上这款产品无疑是非常出色的。我们测试了网关到网关的VPN性能和客户端到网关VPN性能,这款产品基本上发挥了其硬件的设计能力。