网络通信 频道

“管”字当先——侠诺FVR420V零距离接触

  【IT168 专稿】路由交换产品对于大型企业乃至中小企业的意义都是巨大的,作为企业内部网络的核心枢纽设备,路由交换设备肩负着数据传输,数据控制与管理的重任,内网病毒,黑客入侵,恶意扫描,广播数据包种种麻烦侵袭着企业和网吧内部网络,而与这些侵袭相对抗的话都要靠我们的路由交换设备。根据权威机构调查显示企业内网性能百分之七十取决于核心路由交换设备的表现。正巧笔者手头拿到了一款路由交换产品中的新军——侠诺FVR420V,今天就请各位跟随笔者一起“管”字当先零距离接触侠诺FVR420V,看看他在我们企业内网与网吧中的表现。

  一,外观及硬件配置零接触:

  侠诺FVR420V是由侠诺公司推出的一款多端口多WAN口路由器,他主要为大中型企业,网吧,小区以及学校服务,该产品为我们提供了12个自适应10/100Mbps以太网端口以及四个WAN接口来连接外部网络,当然我们可以通过设置将第四个WAN口设置为DMZ区来放置企业服务器。(如图1)

  在产品规格方面硬件配置还是非常不错的,产品定位是优异四WAN网络安全路由器,提供语音告警,硬件端口镜像,多WAN口的应用服务等功能。(如图2)

  在网络应用位置上侠诺FVR420V主要位于网络三层结构中的汇聚层,在实际使用中笔者将该产品放到一所学校进行应用,各个班级各个办公室的计算机通过低端交换机连接后统一汇聚到侠诺FVR420V设备各个端口,然后侠诺FVR420V的WAN口连接学校上游网络(区信息中心的核心层设备)。(如图3)

  在侠诺FVR420V产品前面板我们可以看到与其他传统交换机相同的电源灯,速度显示灯,广域端口连接状态灯,RESET按键等,不同的是添加了一个“DIAG-自我测试”指示灯,橘灯亮表示系统尚未完成开机自我检测功能,灯灭才说明系统正常完成开机自我检测功能。另外该产品还提供了一个语音告警音频输出接口,这也是他的特色功能之一,在下文中我们会详细介绍。

  二,软件配置与常规功能零接触:

  开机加电测试运行给笔者的第一感觉就是侠诺FVR420V产品运行很安静,没有“轰轰”的风扇转动声音,比以前接触过的实达,Cisco,华为同级别的产品要安静得多,基本上听不出任何声音。

  连接网络后我们可以看到默认情况侠诺FVR420V产品开启了DHCP自动分配IP地址等网络参数的服务并且管理地址为192.168.1.1。(如图4)

  我们访问此管理地址并通过缺省管理员帐户admin,缺省登录密码admin进入管理界面。(如图5)

  当然任务产品在尝试和使用其特色功能之前一定要看看他的常规功能方面的表现,毕竟作为汇聚层的路由交换设备来说,转发数据提供相关网络服务是其主要任务,让企业网络能够正常使用是基本,而更好的使用是建立在这个基础之上的。下面我们来看看侠诺FVR420V的相关常规功能,当然这些功能在其他交换机上都有,所以由于篇幅关系我们不展开讨论。

  (1)DHCP自动分配地址功能:

  在管理界面IP/DHCP配置选项中我们可以设置侠诺FVR420V路由器DHCP服务方面的参数,包括IP地址端,租约时间以及查看DHCP服务状态,设置IP与MAC地址绑定关系来防止非法IP接入,当然还可以针对IP分群组进行管理。通过群组分配后我们就可以在其他高级管理中直接使用这些群组了。(如图6)

  (2)WAN接口配置管理:

  侠诺FVR420V为我们提供了四个WAN接口,我们可以通过这些WAN接口实现负载均衡,流量管理,双线备份等功能,在“网络连线配置”->“网络设置”处可以通过相对应的“编辑”链接对指定WAN端口进行设置。(如图7)

  WAN接口的连线类型包括自动获得IP,指定IP,PPPOE拨号,PPTP拨号以及透明桥接模式,我们可以根据实际情况选择设置。当然侠诺FVR420V在WAN接口添加了一个“启用广域网掉线排程”功能,我们可以设置广域网掉线时间,这样在掉线前其他WAN口会接替这个WAN口进行工作避免突然掉线带来的问题,这个应用主要在WAN口ISP定时中断的情况。(如图8)

  (3)DMZ区的配置与管理:

  前面我们也介绍了侠诺FVR420V为我们提供了四个WAN接口,而其中一个WAN接口可以通过设置成为DMZ区域,放置服务器,这点是其他路由交换设备所没有的,我们在“网络连线配置”->“网络设置”处将“激活此选项会将WAN4设定为DMZ端口”前打上对勾。(如图9)

  之后我们就可以针对DMZ接口进行配置和参数编辑了,设置DMZ服务器区IP地址,子网掩码等信息,从而让DMZ区的服务器可以有效得到外部访问。(如图10)

  (4)日志与流量管理与配置:

  在侠诺FVR420V产品中我们可以针对设备的各种访问与运行情况通过日志的形式记录下来,也可以设置触发条件来通过电子邮件发送告警。在“日志”->“系统日志”处针对日志记录信息进行设置。(如图11)

  另外我们还可以在“日志”->“流量统计”处看到下连各个设备的IP地址信息以及发送接收的数据量,这样就可以判断出哪个IP流量异常,从而定位BT使用者与病毒感染者。(如图12)

  (5)SNMP让产品兼容性更强大:

  和低端路由交换设备不同的是侠诺FVR420V为我们提供了SNMP管理功能,我们可以在“系统工具”->“SNMP网络管理”选项处对其SNMP信息进行设置,再结合企业内部的网络管理软件就可以实现统一管理和监控的功能。(如图13)

  三,侠诺FVR420V特色功能零接触:

  笔者将侠诺FVR420V放置到一所中学使用了几个月,对侠诺FVR420V的特色功能有了一定的了解,这些功能是其他路由交换设备所不具备的,下面我们就对他们进行一一了解。

  (1)语音警告通告功能:

  侠诺FVR420V具备语音警告通知的功能,这个功能在其他同类产品中是没有的。我们可以通过简单设置让侠诺FVR420V成为一台会说话的路由防火墙产品,操作上通过管理界面的“语音告警”选项,然后激活并配置相关需要语音警告的参数即可。(如图14)

  笔者测试了一段时间的语音警告通告功能,发现该功能表现褒贬不一,将主面板发生插口连接音箱后,当该设备广域网端口断线或联机时响应的语音提示都会出现,而内网攻击也有提示,总体说这个功能是可以使用的,笔者测试了下延迟在三秒左右。但是当遇到网络不稳定WAN口频繁断开并连接又断开后,语音提示没有再次播报,也就是说第二次出现同样症状没有语音提示了,不知道是自己设置上有问题还是该功能的缺陷,重新启动设备到是可以解决,但是在实际使用过程中是不能够频繁重新启动路由交换设备的。

  (2)多WAN口相关功能:

  侠诺FVR420V提供了四个WAN接口(如果不设置DMZ区的话),因此我们可以利用这些WAN接口实现负载均衡,线路备份,策略路由等功能。所有设置和操作都是在之前提到的“网络连线配置”->“网络设置”中进行。

  在笔者实际使用过程中测试了负载均衡与线路备份,性能表现比较不错,在某线路中断后可以马上让备份线路接替任务继续工作。负载均衡是在中小企业中使用广泛的一个功能,他的使用可以降低单WAN口负载压力。在侠诺FVR420V中我们可以针对其智能型负载均衡模式以两类方式进行管理,一类是以联机数为基础,并依据广域网线路的带宽来自动分配联机,达到对外联机的负载均衡;另一类则是以IP联机数为基础进行分配完成负载均衡目的的。个人倾向于使用联机数为基础进行分配,这样你的带宽利用率会更高,但是这样设置一旦遇到ARP病毒或者BT疯狂下载情况,单个客户端会拖慢其他用户,这时就应该通过IP联机数来完成负载均衡。(如图15)

  (3)安全高级设置功能:

  随着网络技术的飞速发展各企业已经不满足于网络的畅通,如果打造一个安全的内网越来越值得深思,FVR420V中针对安全方面提供了很多功能,在实际使用过程中这些功能发挥了强大的威力,帮助学校网络管理员解决了很多入侵难题。

  首先我们可以通过管理界面的“防火墙配置”->“基本设置”来针对设备自身防火墙参数进行激活操作,FVR420V提供了包括SIP封包主动探测,DOS探测,关闭对外封包回应,自身缺省防火墙,容许组播封包穿透,防止ARP病毒攻击等多个功能给用户,笔者把这些功能都尝试了下效果不错,特别是防止ARP病毒攻击这个功能,由于设备提供了设置防ARP攻击每秒发送的广播数据包数量的参数,所以通过此功能能够有效的减少虚假MAC发送的伪造网关数据包带来的损失。但是这种防范毕竟是被动的,只是和ARP病毒广播数据包争夺网络带宽而已,因此在实际使用过程中必须要和客户端查杀病毒相结合才能够彻底解决ARP欺骗问题。(如图16)

  另外FVR420V还提供了针对网页内容的管制功能,我们可以针对JAVA,Cookies,ActiveX等控件进行过滤,当然通过“防火墙配置”->“网页内容管制”功能可以针对域名地址与页面上的具体内容进行安全过滤,减少客户端浏览暴力和色情等非法内容的可能。(如图17)

  (4)管理与QOS让内网事半功倍:

  在FVR420V管理界面中为我们提供了带宽管理与QOS服务质量的功能,利用这两个功能我们可以让内网各个网络服务与应用良好的运行,可以通过优先级的调整来提高有用服务速度,减少无用网络服务的开销。

  在QoS带宽管理选项中我们可以找到带宽管理与Qos等参数的设置,我们可以限定各个WAN接口的带宽,另外可以针对各个服务设置他们的优先级,最小占用带宽,容许使用该服务的IP地址等等,总之利用QoS服务质量可以让我们更加合理的使用内网与外网带宽资源,FVR420V为我们提供了很多的缺省服务进行选择,我们根据实际情况设置即可。(如图18)

  另外在QoS带宽管理选项下还有一个联机数设置的参数,通过他我们可以指定每个客户端的最大联机数量,这个功能对于限制ARP病毒的发包数量以及BT下载的会话数都能够起到很好的效果。笔者在实际使用过程中将这个对外联机数限制降低到了100以下,从而保证了每个客户端用户网络冲浪的速度。(如图19)

  小提示:

  病毒与BT下载会带来客户端对外联机数的增多,因此利用“当单一个IP联机到达XXX时组到该IP所有联机功能X分钟”功能可以实现封杀病毒与疯狂下载客户端IP的目的,这在实际网络管理过程中很有效。

  (5)端口高级设置功能:

  和其他产品不同的是FVR420V不光为我们提供了图形化管理端口的功能,还可以通过软设置让1端口成为镜像端口,这个功能非常好,要知道很多网络管理和网络监控都需要镜像端口,一般产品要嘛无法设置镜像端口要嘛设置起来很麻烦,需要输入一条条命令。而在FVR420V中我们直接在管理界面的“端口管理”->“端口设置”里面的“激活端口1为端口镜像”前打上对勾即可实现此功能。有了端口镜像后当网络内有病毒或者非法攻击者时就可以通过端口镜像连接sniffer等工具查询问题根源了。(如图20)

  同样FVR420V支持为多个端口划分VLAN虚拟LAN,我们可以将这些端口划分为12个VLAN,最多可以让每个端口在一个VLAN里,从而分隔了广播数据包也提高了端口的安全性,当然整个过程操作很简单,在图形化界面下通过下拉菜单选择端口对应的VLAN信息即可。(如图21)

  在端口管理方面FVR420V也很人性化,我们在“端口管理”->“端口状态即时显示”处可以针对每个端口的基本状态进行查询,显示信息很详细。(如图22)

  四,实际使用感受:

  笔者使用FVR420V有一段时间,具体的网络环境是在一所中学中使用,该中学客户端有100多台,连接多个低端交换机后汇聚到FVR420V,而几台服务器直接连接到FVR420V的对应以太接口上,在实际使用过程中由于服务器都是内部使用所以没有开启DMZ功能。外部网络连接是通过光纤与上层区级设备连接,所以我们将FVR420V的一个WAN接口连接光猫,当然为了测试多WAN接口的应用情况,我们将一条ADSL线路作为备份和负载均衡。在实际使用过程中备份效果很好,主线路掉线后基本上备份ADSL线路马上接替工作,不过负载均衡方面的测试由于条件不容许只是做了简单的数据分流,没有深入测试。当然给笔者感觉最深也是FVR420V特色功能主要有三个,其一是语音告警功能,不过正如上文所说有点欠缺,如果可以完美解决的话这个功能未来很有发展;另外一个功能就是防ARP攻击功能,笔者在客户端上使用工具模拟了ARP发包并开启了这个防攻击功能,测试后网络其他客户端并没有受到非法数据包的影响;而印象最深的功能则要属“联机数设置”了,通过他很好的解决了学校内部BT下载以及病毒广播数据包的难题,结合“当单一个IP联机到达XXX时组到该IP所有联机功能X分钟”功能让网络管理员快速找到了罪魁祸首。

  总体来说FVR420V的功能还是可圈可点的,笔者将主要精力放到了其特色功能上,总体比较满意,在学校几个月的测试过程中也没有出现任何问题。

  附,侠诺解释:

  在询问用户试用情况之后,侠诺工程师对用户在实际应用中遇到的问题进行了详细解答,具体内容如下:

  FVR420v校园试用文章中提到:

  笔者测试了一段时间的语音警告通告功能,发现该菜单现褒贬不一,将主面板发生插口连接音箱后,当该设备广域网端口断线或联机时响应的语音提示都会出现,而内网攻击也有提示,总体说这个功能是可以使用的,笔者测试了下延迟在三秒左右。但是当遇到网络不稳定WAN口频繁断开并连接又断开后,语音提示没有再次播报,也就是说第二次出现同样症状没有语音提示了,不知道是自己设置上有问题还是该功能的缺陷,重新启动设备到是可以解决,但是在实际使用过程中是不能够频繁重新启动路由交换设备的。

  侠诺工程师回复:

  侠诺工程师表示,为了避免WAN口频繁掉线,导致语音告警不停重复播报相同问题,造成系统负荷繁重以及网管人员工作上产生烦乱的感觉。FVR420v语音告警系统在设计时,特别预设在5分钟内,遇到相同的问题将不再另行播报,但倘若五分钟后再出现相同问题,还是会再发出语音提示的。用户也可依据需求,自行设定语音告警播放的间隔时间。因此FVR420v并非功能上有缺陷,而是侠诺特别考虑网管人员工作上的贴心设计。

0
相关文章