优点
-
支持主流VPN协议
-
支持主流认证方式和加密算法
-
可配置为双WAN口,支持负载均衡和线路备份
缺点
-
管理界面中英文混杂
-
在线文档、电子文档主要指标内容不统一
价格
-
暂无
【IT168评测中心】清华同方的VPN产品线非常的齐全,既有支持主流VPN协议(IPSec、P2F、P2LF)的路由器产品,也有支持新兴SSL VPN协议的产品。
TF-SSL VPN | TF-VPN |
|
|
去年我们曾经测试过清华同方TF-VPN100,一款针对小型分支办公室应用的VPN产品。最近我们收到了清华同方TF-VPN500,这款产品提供了硬件加密解密功能,可用于大、中型商业公司总部机构。
清华同方TF-VPN500是一款标准19吋设备,可以安装在标准机架上,只占用1U空间。它设计有1个LAN口、1个WAN口、一个DMZ端口(可做为第二个WAN口或LAN口)和1个串口。主要特性如下:
-
IPSEC(VPN)支持600条隧道
-
支持PPTP Client和Server
-
支持L2TP Client和Server支持
-
支持GRE支持
-
支持Preshare key Secret(不安全)
-
RSA Digital Key Signature(数字签名)
-
X.509 Certificates(CA证书)
-
可配置为双WAN口的负载均衡和备份
-
提供WEB管理界面
-
支持硬件加密解密
我们将结合其管理界面对于这款设备的主要功能进行详细的介绍。
基本设置
TF-VPN500支持命令行配置界面,也提供了Web管理界面,设备默认配置为192.168.0.1,因此用户可以直接使用直观的Web管理界面。
一般的Web管理界面或者全部为英文、或者全部为中文,像TF-VPN500这样采用了中英文混杂的界面的产品,我们是第一次见到。希望厂商能够尽快完全汉化或者配置中英文可选的双语界面,以防给用户产品未完成的错觉。
TF-VPN500提供了4个可配置端口,1个LAN口、1个WAN口、1个DMZ口和1个COM口,前三个口均为10/100M以太网网口,不过不支持自动交叉线序,这在现在网络设备中比较少见,使用起来不太方便。该设备的DMZ端口的设计比较特别,它可以配置为第二个WAN口,也可以配置为第二个LAN口。
双WAN口功能使得这款设备具有负载平衡功能和线路备份功能,不过其负载均衡配置界面非常的简单,只有启用与否的一个开关选项,从其产品特性列表中,我们发现这款产品具有“双机单线路主从备份和双机双线路镜像备份两种冗余备份”的能力。
TF-VPN500支持静态路由表配置,还支持RIP v1/v2和BGP路由协议,因此产品可以用于较为复杂的路由环境中。
|
TF-VPN500可做为DNS代理服务器使用,也就是把局域网内客户端的DNS请求转发到适合的DNS服务器上。VPN500支持NAT协议,可以让局域网内的所有客户端共享单一接入线路。
TF-VPN500提供了QoS流量管理功能,用户可以根据所申请接入线路的实际上行、下行带宽进行设置,VPN500内置的流量管理以及控制规则将会帮助更加有效的进行数据传输。网管可以根据实际应用情况,为不同的服务设定不同的优先权,确保关键应用的顺利使用。
防火墙功能
清华同方TF-VPN500集成功能较为全面的全状态检测防火墙。
|
TF-VPN500支持Telnet、SSH、Web和SSL Web等多种服务,默认状态下其LAN端口的Telnet和Web服务均是开启的。这款设备还支持远程web登陆,并且支持SSL加密。
管理员可以对于需要约束的地址和服务制定一定的规则,TF-VPN500根据这个规则来决定接受、拒绝或者放弃数据包。在NAT界面中可以制定不同的端口转发规则。
Connection Tracking功能模块主要提供了两个功能。首先,它进一步补充了包过滤规则,可以允许相关连接透过防火墙。比如,当启用File transfer protocol选项之后,FTP数据将能自动的透过防火墙。另外,如果不启用这个选项,那么FTP数据也将无法穿透NAT。
VPN500已经预设了防火墙规则,用户可以根据自己的需要增删防火墙规则。不过增删防火墙规则需要通过iptables进行(有兴趣的用户可以浏览:http://www.netfilter.org/documentation),需要用户具有一定的专业知识。
这里我们罗列部分配置示例:
-
关闭所有服务:
iptables –A Filter –j DROP -
禁止某个MAC地址的某个端口服务:
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 8000 -j DROP -
禁止某个IP地址服务:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP -
禁止某个IP地址的PING:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP -
将WAN口NAT到PC:
-
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
-
禁用QQ防火墙配置:
iptables -A Filter -p udp --dport ! 53 -j DROP
iptables -A Filter -p tcp -d 218.17.209.0/24 -j DROP
iptables -A Filter -p tcp -d 218.18.95.0/24 -j DROP -
只允许某些服务,其他都拒绝:
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT iptables -A Filter -j DROP -
禁止某个MAC地址访问internet:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP -
拒绝某个地址多个端口服务:
iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT -
拒绝某段时间上网:
iptables -A Filter -s 10.10.10.253 -m time --timestart 6:00 --timestop 11:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP
UPnP网关功能允许自持UPnP功能的应用程序和操作系统按照需要建立端口转发规则,它可以让一些位于NAT防火墙之后的原本无法正常工作的程序正常运行。这个功能对于安全具有一定的威胁,如果你在寻求最大化安全,那么应该关闭这个选项。
检测以及堵截入侵(IDB)能伪装对外提供一系列的服务和监视入侵。当服务被入侵时,会在日志中进行记录,并且将而连线截断。网络扫描通常是入侵的前奏,用户可以选择堵截所有曾扫描过指定端口的入侵主机。
VPN500提供了三种预设值:基本、标准、严格。点击“基本”按钮可以设置一些基本端口,这样可以防止多种入侵;“标准”设置包括更多的端口,可以侦测更多的入侵。“严格”设置则包括了几乎所有端口,可以监察几乎所有入侵动作。为了降低防止伪报的次数,建议用户适当放宽触发次数。
VPN功能
VPN500提供了对于PPTP、L2TP、IPSec和GRE的支持,因为VPN设置相对比较复杂,所以每种设置都采用了向导设置模式,引导用户一步一步的进行设置。
PPTP(点对点隧道协议)由微软、Ascend、3com、ECI等公司制定,是一个工作在OSI/RM第二层的隧道协议,它将PPP数据桢封装在IP数据报内通过IP网络进行传输。PPTP使用一个TCP连接对隧道进行维护,使用通用路由封装(GRE)技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP桢中的负载数据进行加密或压缩。
L2TP(第二层隧道协议) 是IETF(因特网工程任务组)结合了PPTP和L2F协议制定的工作在OSI/RM第二层协议(数据链路层)的隧道协议标准,这种协议比较适合于开展远程接入VPN业务。L2TP沿袭了PPTP的一些特点,比如也是使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。L2TP比PPTP的适用范围更广阔,比如它可以用于IP、桢中继永久虚拟电路(PVCs)、X.25虚拟电路(VCs)或ATM VCs网络上;L2TP支持在两端点之间建立多条隧道;L2TP支持包头压缩,降低了overhead。
IPSec是一组开放的网络安全协议的总称,规定了在网络层可以提供访问控制、无连接的完整性、数据来源验证、防重放保护、加密以及数据流分类加密等安全服务。它包括两个安全协议:认证头(AH)和封装安全载荷(ESP)。AH主要提供的功能有数据来源验证、数据完整性验证和防报文重放功能。ESP在AH协议的功能之外再提供对IP报文的加密功能。另外,IPSec通常使用因特网密钥交换(IKE)协议进行安全参数的自动协商。目前IPSec是公认的更加安全的VPN隧道协议,对于安全性要求较高的用户可以考虑采用这种模式,不过这种模式需要较高配置的硬件支持。
清华同方TF-VPN500产品支持企业总部及各个分支机构以全静态IP地址、单静态IP地址+动态IP地址以及全动态IP地址的方式接入因特网。特别适用于目前国内静态IP地址昂贵且资源紧缺的情况。
清华同方TF-VPN500经过了严格的互通性测试,可以同CISCO、NetScreen等国际厂商的VPN产品互通互联。
相对于前面的L2TP、IPSec等协议,通用路由封装(GRE)协议出现的更早一些,该标准规定了对数据包的封装方法,即如何用一种网络协议去封装另一种网络协议,但是并没有相应的安全机制,属于功能简单的VPN协议。因此,GRE在实际应用中中经常需要与IPSec配合使用。
Port Tunnels是一种类似于VPN的点对点隧道,它仅能从一个节点的单个TCP端口向另外一个节点传输数据。HTTP隧道使用HTTP协议传输非加密数据。
测试平台和测试方法
IT168评测中心网络实验室对于VPN路由器的测试分为两个部分:NAT转发能力和VPN应用测试。
NAT转发能力测试方法说明
NAT转发能力测试网络示意图
Client和Console配置 | |
主板 | Gigabyte |
芯片组 | i845GL+ICH4 |
驱动程序 | 5.10.1006 |
处理器 | Intel Celeron 1.7GHz |
前端总线 | 400MHz FSB |
L2容量 | 128KB |
内存 | Kingston 256MB DDR333 |
内存时序 | 2.5-3-3-7 1CMD |
磁盘控制器 | ICH4 |
硬盘 | Seagate 7200.7 40GB |
分区 | 硬盘分为两个分区,均为NTFS格式,系统默认簇,主分区20GB,其它分为扩展分区 |
驱动程序 | 2.3.0.2160 |
操作系统 | Microsoft Windows XP Pro |
板载网卡 | Realtek RTL8139 |
网卡驱动程序 | 5.396.530.2001 |
我们启用了IT168评测中心网络实验室中的30个客户端,每10台客户端为一组,其中一组通过思科Catalyst4500千兆交换机(WS-X4013+ Supervisor Engine II-Plus和WS-X4548-GB-RJ45)连接至被测路由器的LAN口,另外一组则通过D-link DGS-3024千兆交换机连接到被测试路由器的LAN口或者WAN口。通过这种方式我们有效的解决了NetIQ Chariot对于其运行平台要求配置较高(处理器性能、磁盘性能均对于产生的吞吐量有影响)的缺陷。控制台直接连接在被测路由器的LAN口,方便配置路由器和进行测试。
我们使用了NetIQ Chariot 5.0对于被测设备进行了测试。在Chariot 5.0中预置了多个脚本,它们可以反映不同应用时的情况,比如FTP、Mail、Web、Lotus、IPTV、RealAudio、ActiveDirectory、MicrosoftSQL等等。这个软件是站在用户的角度上来衡量网络性能,同采用仪器测试的实际含义并不相同,请读者在阅读测试结果的时候注意区别。
我们通过调节Chariot测试脚本,可以生成容量分别为64B、128B、256B、512B、1024B和1514B尺寸的帧,采用抓包软件分析知道这些不同尺寸的帧中54 Bytes的内容是固定的,这里面除了18字节的帧报头、校验信息等,应该还包括Chariot软件的一些标识信息,容量为36字节。
因此,我们所调节生成的帧中包含实际的数据分别为10B、74B、202B、458B、970B和1460B。而Chariot所统计的吞吐量只是包含了脚本中所定义的“file_size”字节数目,而Chariot为测试所产生的大约36字节的信息是包括在每一帧中的。很显然,随着我们测试所使用的帧容量越小,其内的有效数据的比例就越小。按照这样计算,在传输64B MAC帧时,NetIQ Chartiot测试结果达到12Mbps左右,就是“线速”了。
这里再次提醒读者和厂商注意,只有基于相同测试方法的数值才有可比性,请勿将本测试方法的数值同仪器测试结果比较。
VPN应用测试方法说明
我们按照上图所示构建了测试VPN网关到VPN网关测试网络,将实验室中的10台PC为一组划分为一个局域网,分别通过千兆交换机连接到VPN网关。利用管理界面添加网关到网关IPSec隧道,分别在MD5/DES, MD5/3DES, SHA1/DES和SHA1/3DES下测量吞吐量,然后使用多种测试脚本模拟不同应用测试吞吐量。
我们按照上图所示构建了客户端到网关测试网络,利用外网的10台PC依次建立IPSec隧道,分别在MD5/DES, MD5/3DES, SHA1/DES和SHA1/3DES下测量吞吐量,然后使用多种测试脚本模拟不同应用测试吞吐量。
测试结果分析
清华同方TF-VPN500 | ||
MAC帧大小 | 吞吐量(Mbps) | TRA(Transaction Rate Average) |
64B(11.9) | 0.488 | 5559 |
128B(50.0) | 3.317 | 5543 |
256B(73.7) | 8.787 | 5424 |
512B(86.1) | 19.755 | 5411 |
1024B(92.9) | 42.246 | 5284 |
1514B(95.2) | 60.178 | 5178 |
我们测试了从LAN口到WAN口之间的NAT转发能力,测试结果显示64Bytes字节时,这款设备的平均事务完成率为5.5TRA左右,实际有效吞吐量为0.488Mbps,只能达到理想状态的4.1%。即便是传输最大数据帧,实际有效吞吐量也只有60Mbps,是理想状态的63.2%。
脚本名称 | 吞吐量(Mbps) |
Filesndl | 81.460 |
Inquiryl | 8.647 |
Dbasedl | 6.563 |
FTPget | 67.256 |
Filesndl脚本传输100KB的大容量文件,而Inquiryl和Dbasedl脚本则传输100B的小文件。这个几个脚本用来模拟被测产品在实际应用中的效能。TF-VPN500的测试结果显示这款设备性能比较一般。
由于清华同方仅仅提供了一台TF-VPN500样机,因此我们无法按照我们的测试环境搭建VPN网关到VPN网关的网络。而TF-VPN500是定位于总部机构的VPN设备,因此仅仅提供了网关到网关的连接能力,我们所设计的客户端直接连接到网关的测试方法也无法进行。
IT168评测中心观点
TF-VPN500支持主流的VPN协议,比如PPTP、L2TP、GRE和IPSec,产品标称最大可支持500-600条IPSec隧道,并且提供硬件加密解密能力,比较适用于做为大、中型商业公司总部的VPN接入设备。
TF-VPN500也是一款功能完善的路由器,通过灵活的端口配置,可以支持双WAN口的负载均衡和备份。VPN500还提供了全状态检测防火墙和较为完善的访问控制能力。
TF-VPN500的缺点非常的明显,中英文混合的管理界面很少出现了已经销售了较长时间的产品上。另外,清华同方的不同的资料上,对于TF-VPN500的的参数标定也不一致,比如http://www.sslvpn.cn/chanping/datat/show.asp?id=61 该页面资料显示其最大隧道数量为600条,提供了4个LAN口,而一份宣传彩页上则标称为最大隧道数量为500条,产品实物上只有1个LAN口。希望厂商能够尽快弥补这些不利于产品形象的小问题。