宽带用户的高速增长引发了宽带接入产品的发展，市面上出现了很多供中小企业使用宽带接入设备，如宽带路由器，安全网关等，有些很贵到几万元，有些很便宜，甚至到100多元，那么这些接入设备有什么区别呢？比如我们去买冰淇淋，我们可以去吃一根几块钱的蒙牛，也可以去吃上百元的哈根达斯，都是冰淇淋，区别在哪儿？宽带接入设备也是一样，多种多样，HiPER的宽带安全网关和其他宽带路由器有什么区别呢？

    在解释这些区别之前，我们要提一下ReOS。ReOS是上海艾泰科技有限公司实现的适合接入设备的网络操作系统，是艾泰人的创新和结晶。ReOS对于HiPER系列宽带安全网关，就如Cisco的IOS对于Cisco的路由器，ReOS是一个运行在HiPER系列硬件设备上的网络操作系统。是HiPER系列宽带安全网关的核心。HiPER安全网关和普通宽带路由器的具体区别表现在以下7个方面。

    区别一：相同CPU时的性能

    一般而言，市面上的宽带路由器都是用有限的几家ARM/MIPS系列CPU外加以太网控制芯片的方案，硬件一旦固定，转发能力就体现在软件上了。而转发能力作为接入设备的一个重要特征，低转发能力会使宽带接入设备成为网络瓶颈，影响网络的使用。HiPER宽带安全网关使用了高效率的包快速转发算法，并申请多项专利，在相同的平台上，如ARM9 166的CPU，转发能力可以达到65K PPS。在Intel 的IXP 425硬件平台上可以达到210K PPS。与之相比较的是，其他厂商相同的硬件ARM9芯片，如TP-Link或者Linksys，只能做到9 K 到10 K PPS，是HiPER的ReOS实现的1/6。对于Intel IXP 425的硬件平台，台湾省的QNO 9416只能做到27 K PPS，HiPER相同CPU的产品4510NB是它的 210K/27K = 7.7倍。下面给出HiPER和几款其他厂商产品的包转发能力的比较。因为比较产品只能使用NAT模式，不能用路由模式，所以和宽带路由器的比较是以单向转发例子，而Cisco 2611、Linux代理服务器等可以实现双向转发的测试，而且双向转发更能体现路由器的转发能力，因此，比较选择的模式时双向转发。

图一：HiPER 3300NB和TP-Link488T/490T/R4000+/NBR100/Qno9416的单向转发比较

    图一给出了HiPER 3300NB的比较。尽管HiPER 3300NB使用的CPU不如TL-R4000+和QNO9416,但是实际的转发能力3300NB都超过了这些产品。

二：HiPER 4510NB和TP-Link488T/490T/R4000+/NBR100/Qno9416的单向转发比较

    由图二很明显地看出，使用相同的CPU的产品，如R4000+/QNO9416的转发能力大大落后于4510NB。

    HiPER和代理服务器以及著名的Cisco路由器2611的比较如下：

图三：HiPER 3300NB和Linux/Cisco 2611的双向转发比较

    而对于使用Intel的IXP 425的CPU，HiPER 4510NB和代理服务器/Cisco2611的比较图如下：

图四：HiPER 4510NB和Linux/Cisco 2611的双向转发比较

    由以上四个比较图可以很明显地看出，HiPER宽带安全网关的转发能力是非常突出的。

    区别二：长期运行的稳定性

    稳定性依赖在硬件上，除了CPU外，还有其他芯片选材和测试上；在软件上，需要能经得起考验得软件。HiPER的设计要求是按照7 X 24 X 365 不间断工作。因此，除了选择合适的CPU外，还需要反复比较各种外围部件的芯片，如发热比较大的交换芯片。HiPER选择的是低功耗的芯片，在《微型计算机世界》做过的十几种产品的评测中，在运行数小时之后，HiPER的温度是最低的。电子产品因为温度升高而不稳定，我们在测试台湾省的侠诺产品FVR9416的时候，开了一个小时，不小心摸到铁盒，发现很烫手。更多的实际应用结果，如在上海电信小区接入，广东通信，广西通信和其他场合中长期连续的使用表面了HiPER的稳定。这里可以看一台作为IDC机房的防火墙的HiPER的例子，连续开机404天11小时多。

    一般的宽带路由器如果软件实现不是很好，过几天就要开关一次，这对家庭和小企业或许可以接受，而对运营商就比较痛苦了。

    区别三：NAT功能的智能

    HiPER实现了智能NAT。在一些企业和ICP应用中，由于需要提供比较多的对外服务，往往会向运营商申请多个IP地址，一方面满足自己内部上网的需要，另一个方面为服务器的对外服务提供地址。ReOS设计的智能NAT可以将多个用户的IP地址映射到一个公网地址，也可以将用户分成多个组，在有多个地址的情况下，每个组的用户对应一个公网地址，同时，还支持内部地址到公网地址的一对一映射，内部服务器配置内部的地址，而从公网访问则通过公网地址，而且，智能NAT还可以将NAT和路由混合在一起，部分对外服务器可以配置公网地址。当然，使用智能NAT功能还可以配置NAT的静态映射，将内部服务器的服务端口映射到公网地址的一个端口，因此，HiPER系列能完全满足各种复杂的网络规划。ADSL的接入方式限于技术，带宽有限，因此很多网吧和企业申请多个ADSL以扩展内部网的带宽，或者申请光纤接入作为主线路，ADSL作为备份；学校一般通过教育科研网接入，然而，限于教育科研网和电信的互联互通的带宽，从学校访问电信的网络很慢，反之亦然，因此，学校往往再申请电信的接入线路，等等。HiPER 多线路的产品可以轻松实现提供多线路接入以扩展接入带宽。接入方式可以是ADSL，光纤，Cable Modem，FTTx+LAN的自由组合。而且，HiPER的ReOS还提供了一套完整的线路监测技术，在某个线路失效的时候自动将流量切换到好用的线路，检测方式从链路层到应用层都有。多个线路的负载均衡技术可以根据带宽的比例分配出口的流量，也可以根据数据包的目的地址和源地址指定线路。举个例子，HiPER 3300NB虽然提供了1个WAN口和1个WAN2口，但是，通过WAN口连接交换机的方式，HiPER 3300NB最多可以支持16个ADSL线路的同时接入。而对于学校的应用，经过设置，HiPER3300NB可以将往教育科研网的流量送到教育科研网的出口，其他的流量送到电信的出口。

    而一般的宽带路由器只能实现PAT，最普通的上网情况，最多加几个一对一的NAT，无法满足越来越多的应用要求。

    区别四：多样的安全功能

    ReOS的安全功能实现多种多样。

    首先是采用了多接入端口的设计，对于不能中断的网络，允许用户接入2个以上的线路，以保证网络的畅通。在同时接入多个线路的情况下，可以采用备份或者均衡的方式。均衡的选择方式有多种，基于主机或者NAT会话。NAT会话是最小的单元，因此，能做到最精细的均衡。同时，ReOS还提供了基于目的地址，源地址的均衡，可以根据线路的实际带宽设定流量均衡比例。为了实现在不同情况下的检测方式，ReOS提供了以下检测方式：

    l 网关ICMP请求的线路检测——路由器连续ping接入线路的下一跳，如果丢包达到预设值则认为线路中断，此时将此线路用户切换到好的线路上去；线路中断后设备会继续ping接入线路的下一跳，直到线路恢复，再将用户切换回来。

    l 指定地址ICMP请求的线路检测——当接入线路的下一跳禁ping时，可以将ICMP检测的目标地址指定为第三方的IP地址。

    l ARP请求的线路检测——当接入线路全部禁ping时，可以使用向接入线路的下一跳发ARP请求的检测方式。

    l DNS请求的线路检测——当接入线路只是IP路由中断（例如很多地方网吧12点后ISP断线的情况），可以使用向指定服务器发DNS请求的检测方式。

    一般的宽带路由器的线路均衡方式和检测方式比ReOS的简单，如国内的某家著名品牌的宽带路由器，只能实现基于目的地址和源地址的均衡；如果宽带路由器用很含糊的字眼表达线路均衡和线路检测，那就有理由怀疑它的实际的实现方式。

    其次是防火墙地功能保障业务安全。ReOS系统的业务管理功能基于Filter机制和IP/MAC绑定来实现。通过IP/MAC绑定不仅可以做到内部机器的IP地址和MAC地址绑定在一起，使得普通用户不能随便修改自己的IP，而且，IP/MAC绑定可以实现上网黑白名单。具体地说，如果内部有些机器不允许上网，那么可以使用IP/MAC绑定的黑名单功能，在IP/MAC绑定的配置中，给不能上网的机器的MAC地址对应的IP地址中输入不是本路由器网络的IP地址。HiPER 3300NB可以实现200个IP/MAC绑定。如果对内网机器的控制不仅仅限制在上网，要对他们的某些行为进行控制，如禁止访问限制网站，禁止使用MSN和QQ，那么可以使用Filter过滤机制。

    ReOS有三种Filter。

    l IP Filter只是对IP包进行判断和处理。它可以根据IP包的特点，如IP源地址，目的地址，协议和源端口，目的端口等对包进行处理，如转发或者丢弃。IP Filter的这些参数非常容易从实际环境得到。

    l IPSSG Filter是扩展的Filter，是HiPER转有的Filter。IPSSG Filter判断的条件除了IP Filter中说的IP源地址，目的地址，协议和源端口，目的端口这些IP基本信息以外，还可以根据MAC地址，时间段等来判断。判断的灵活度加大了，IPSSG Filter可以列出一段地址和一段端口。

    l Generic Filter 是按照字节( bytes)或者比特(bits)检查任何包。使用Generic Filter，管理员需要可以根据包的内容来查找。

    对Generic Filter进行扩展以后，在ReOS版本5.4以上，3100系列以上地机器已经实现了URL过滤和关键词过滤。URL过滤能阻止网络的使用者只访问允许的网站（白名单），或者不能访问控制的网站（黑名单），为学校、网吧、企业等提供一个良好的上网环境，实现绿色上网。

    一般的宽带路由器的Filter的特点是条目比较少，只有基于IP的Filter，启用规则以后转发效率很低。HiPER 3300NB实现了200条的过滤规则，而且，经过多种算法的反复比较，ReOS采用了高效率的算法，在HiPER 3300NB测试用1000条规则的情况下，转发效率只降低30%，对于同样的规则数，HiPER 4500系列转发效率只降低15%！

    对于防止攻击DoS/DDoS方面，艾泰科技有自己实现的算法，并且申请专利200310122858.7，对内部网络的攻击和外部网络的攻击实现控制。

    一般的宽带路由器不具备防止DoS/DDoS控制。

    对于有些企业采用计时ADSL上网的，ReOS通过时间段的控制，可以实现指定时间ADSL拨号，指定时间断线，一般地，在早上上班时拨通，下午下班时挂断，周末不拨号，为企业控制成本。

    而一般的宽带路由器不具备根据时间段拨号上网和下网的功能。

    由于网络管理员可能存在多个，如经常出差等，ReOS设计了三个不同权限的管理帐号，分为管理员、执行、浏览三种类型。如一些关键配置分配给管理员，他是全功能的，平时维护的时候由另外的人员执行，他只需要查看网络的状态，或者做一些业务管理的配置等。

    而一般的宽带路由器，只有一个帐号，无法实现分级管理。

    区别五：网络的管理和监控功能

    安全网关等接入设备不是HUB，网络的情况随时变化，管理员需要对网络有一个比较清楚的了解，针对HiPER的定位，ReOS设计了有很强的网络监控功能，一旦网络发生故障，他可以帮助网络管理员在最短的时间内找出问题所在。在HiPER 上能查看到网络带宽的使用情况，如WAN口的上行和下行的带宽利用率，包括数据包的数量，每秒转发的包的数量，单播包和广播包的数量等。不仅如此，管理员还能看到内网的主机使用的带宽，这样子，在网速变慢的时候，管理员通过查看带宽使用情况就能轻松了解是哪台机器的流量偏高，影响了整个网络的应用，还是因为申请的WAN口带宽偏小而造成网速变慢等。

    通过HiPER 的上网监控，网络管理员能看到内网用户的上网行为，也能了解到诸如发送冲击波病毒攻击的机器，便于故障诊断。

    除此之外，ReOS提供标准的SNMP接口，供远程SNMP网管管理；提供系统日志功能，可通过远程SYSLOG服务器将日志记录下来。

    而一般的宽带路由器，只提供少数几页的配置页面，一旦网络情况的变动，从这些页面中无法了解问题所在，因为他们能提供的信息太少，网络管理员这个时候只有望机兴叹。

    区别六：配置界面

    对于初学者而言，喜欢使用简单易用的界面，ReOS设计了友好的WEB配置界面，方便使用和管理；而对于网络专家，他们习惯了Cisco等传统路由器的命令行配置界面，能提供更多的路由器的诊断信息，因此，ReOS的设计同时保持传统的命令行方式，可通过TELNET或串口进行配置。ReOS内部提供了telnet的客户端程序，为管理HiPER内部连接的可网管的交换机或者服务器提供了通道。

    而一般的宽带路由器，只提供少数几页的配置页面，如果想了解更深入的配置信息，这几乎不可能。

    区别七：IP上实现的QoS

    IP网络的特点是简单，但是无类别，在应用的带宽超过实际可以使用的带宽情况下，就会产生冲突，某些数据包会被丢弃。如在内网大量P2P下载的情况下，收信和发信，甚至浏览网页等都可能无法实现。为了解决在有限的带宽内实现正常的应用，抑制不正常的巨量流量，同时由于语音视频等应用在IP网络上越来越多，而且，这些应用对时延和带宽非常敏感，如果IP网络不加管理，在有限的带宽内要实现语音和时延非常困难。Internet工程组（Internet协议的制定组织）也是积极在寻找一种有效的方式来实现IP的QoS。

    ReOS通过两种方式实现IP QoS。一种是CBT，另外一种是CBQ，二者可以配合使用。

    CBT算法是Credit Based Traffic的简称。这个算法主要实现内部网络公平带宽的分配，抑制BT、电驴等P2P下载的超常流量。CBT算法采用社会工程学原理，对网络内部的各个主机给予带宽信用，一旦某些主机的流量超过信用太多，采取惩罚措施，降低这些主机的带宽。采用CBT算法实现公平带宽控制，可以在资源不足的情况下，保证公平，能高效, 低延迟地提供流量控制功能，CBT能特别是对突发, 不可预期的流量有效，而目前控制的挑战很大一部分来自突发流量，对WEB浏览，QQ，MSN，telnet等交互式的流量保证比较充足，而且ReOS实现的效率比较高。

    对于需要比较精细的控制带宽，HiPER 通过基于类的排队(CBQ)提供了领先的IP QoS。CBQ是Internet 业内主要成员定义的开放的、非专有的带宽管理技术。通过CBQ，网络管理员可以建立和实施具体的带宽策略，同时获得有效管理成本和QoS所需的可视能力。这种提高的控制水平保证了能够在需要的时间和需要的地方为适当的用户提供需要的带宽。

    HiPER实现的CBQ是处理外出的流量，也就是从LAN口到内网的流量，或者从WAN口到外网的流量。因此，可以实现用户的上行和下行的流量控制。必须注意，经过NAT处理的出入流量，在WAN的外出方向，CBQ看到的源地址都是NAT以后的地址。

    配置方式，因为CBQ涉及的参数比较多，HiPER为了简化配置，基本的思路是先给需要带宽管理的用户进行分组，在组管理中对他们进行配置，以便在配置页面进行引用。可以配置的参数有：

    1、 本组带宽的大小

    2、 本组带宽空闲时可以借给其他组

    3、 本组带宽使用率高时可以借用其他组的带宽

    4、 本组内的组员平均共享带宽

    WEB页面配置最终是将CBQ应用于LAN口。

    目前市面上所有的宽带路由器没有看到有用CBT实现流量控制，CBT流量控制算法来源于核心路由器，采用CBQ流量控制的厂家只有一家，只能实现单个主机或者单个应用的带宽，无法实现按照类来分割带宽，而CBQ的精髓带宽借用更是没有实现。

转载地址:http://www.voipchina.cn/technology/2006-01-25/45833.shtml