宽带路由器作为小型多机共享上网的非常好的解决方案,正在日益盛行。此次我们测评了由国内专业网络解决方案提供商和服务商艾泰科技提供的HiPER 811智能宽带网关/路由器,该产品是HiPER科技“明星产品”——HiPER 810的升级产品,采用Intel IXP 533MHz CPU硬件核心,全面提升硬件平台性能,具有更高的处理能力和更快的转发速率,满足了高速网络的需求。同时,HiPER 811结合其特有的ReOS网络操作系统,将智能NAT、内置防火墙、流量控制、IP/MAC绑定等常见路由器功能进行了有机整合。目前,HiPER 811凭借其精致的外观、简单的配置、卓越的性能和高性价比受到SOHO、中小企业和宽带社区等机构的青睐。
外观精致
HiPER 811采用九英寸桌面型机壳设计,外观尺寸仅为230mm×140mm×44mm,这一小巧的身材更是符合中小型企业、网吧、酒店、小区以及出租屋等业务单位的需求,便于安装。同时,HiPER 811主要部位采用全金属壳设计,不仅可使得产品坚固耐用,更利于散热。
HiPER 811支持DSL,FTTX+LAN和Cable Modem连接,支持固定IP和动态IP接入,特别适合光纤接入。图1从左到由的网络接口分别为:4个接内部主机的LAN口、1个接宽带的WAN口,LAN/WAN支持正、反线自适应,支持10/100M自适应。艾泰科技已有多款产品支持双WAN口,出于产品定位的考虑HiPER811只支持单WAN口。
配置简单
HiPER 811提供了直观的全中文Web管理界面,并且提供了向导功能可指导入门用户或者初次使用HiPER产品的用户在短时间内完成初始配置。其将各大功能按用户入门级别和需求不同分为10大类(如图2),使用户能很快定位,同时每大类的子类不会过多,操作也相对容易,不会嵌套过多的网页层。
初级用户可在配置页面首页或菜单栏中选择快速向导,跟着向导逐步的进行设置。艾泰科技的产品设备出厂时的管理员(Default)密码为空。因此,我们建议用户在首次登陆管理界面后修改管理员密码并妥善保管,以提高设备的安全性。值得一提的是在艾泰科技网关产品配置页面的首页有一个与Windows操作系统类似的开始菜单,用户可以在“开始”菜单上对产品进行一些常见的功能配置,十分方便,也体现了厂家在做市场调研的时候充分考虑到了操作系统的易用性,具体见图3:
当管理员修改密码后,以Default身份登录设备,必须使用新的密码。通过快速向导配置以后,可以到基本配置中查看默认线路的连接状态和配置情况,也可以根据需要修改默认线路配置;而高级用户可不经过快速向导直接进入本页面配置线路。在快速向导—>上网接入线路配置中修改默认线路配置后,这里会自动修改相应参数;同时,在这里修改默认线路配置后,在快速向导—>上网接入线路配置中也会自动修改相应参数。
HiPER 811设备支持图4中显示的PPPoE 拨号上网、固定IP接入和动态IP接入三种上网方式,请用户根据实际情况进行选择。我们选择固定IP接入,ISP 提供静态的IP地址,如图5显示IP地址为10.10.24.11。最后,点击“完成”即完成了基本的网络配置,操作简易,非常适合SOHO企业和宽带社区中非专业人员的使用。见图5:
值得注意的是在完成网络配置后,系统会提示进行必要安全防护设置(如图6),非常人性化,防止因防护意识淡薄而不进行必要的安全防护。
性能特点
HiPER811使用HiPER科技自主研发的ReOS网络操作系统,融合上网行为管理、网络安全管理、网络维护管理于一身,除具备智能NAT、防火墙、带宽管理、IP/MAC绑定、业务管理等宽带路由器常见的功能之外,还具备安全性强、易用性好、性价比高等突出特点。同时,HiPER 811支持IPSec、L2TP以及PPTP等多种形式的VPN功能,可以通过Site-to-Site或远程拨号的多种方式建立互联互通的VPN网络。
- 安全配置:
HiPER 811在安全方面考虑非常周全,安全配置模块主要包含基本选项、策略库、ARP欺骗防御和设备访问限制等内容。初级用户可通过打勾的形式在基本选项中进行设置,选择是否允许响应外部Ping,启用ARP欺骗防御、冲击波和DoS/DDoS防御等。
ARP欺骗类病毒在各行业网内屡有发现,当某台电脑感染了这类 ARP 欺骗病毒后,会不定期发送伪造的 ARP 响应数据报文和广播报文,导致网络内其它电脑因学习到错误的网关信息而无法上网。HiPER 811针对ARP欺骗问题提供了很好的防护措施,首先可以对MAC地址进行绑定,HiPER 811非常人性化的设置了“全部绑定”的功能,可一次性绑定全部条目,同时提供扫描网络功能,可以扫描局域网中所有开启的PC,学习并显示最新的动态ARP信息;其次可以向局域网定期广播正确的网关ARP信息,防止局域网的PC遭受ARP欺骗,并且广播的间隔可以自由设定,防止广播包占用过多带宽。通过模拟ARP攻击测试,发现设置ARP绑定及网关ARP广播功能后HiPER 811能有效防止ARP的攻击。配置页面见图7:
图7 ARP欺骗防御配置
HiPER 811还提供了DDoS攻击防护和冲击波等病毒防御。另外,为了防御来自内部网络的DDoS攻击,HiPER 811提供了是否“启用设备访问限制”的功能,限制局域网内主机从LAN口访问设备;按网络性能和用户需求,可设置每秒允许通过设备的数据包的数量,并给出了建议值,防止由于瞬时流量过大而导致设备运行异常。
HiPER 811还能够设置局域网中每台主机能占用的最大并发NAT会话数,甚至可以根据不同的协议设置不同NAT会话数(如图8)。
HiPER 811提供的上述几项安全功能,基本覆盖了常用的防护措施,能有效的减少相应的安全威胁。
- 用户管理
HiPER 811在用户管理方面有很出色的表现。在带宽管理方面,该产品实行三个可供选择的带宽限速策略,实现分时段对内网用户进行带宽限速,并限制其上传和下载的传输速度。这一功能能够有效的降低少数用户通过电驴、迅雷等P2P软件占用大量的带宽而导致内网用户正常工作受到的影响。
企业和单位可通过设置工作时间和工作外时间,对上传和下载速度做不同的处理,满足不同时期用户的需求。HiPER 811更为人性化的地方在于可选择“解除邮件限速”,使得邮件业务不受带宽限速的影响,可以正常收发,保障部分用户正常的工作(如图9)。
同时,HiPER 811按不同需求提供了组管理和个性化管理。如果某些用户有特别需求,则可进行个性化配置,通过在个性化配置中时段策略来实现对个人用户的分时段策略管理。另外在个性化管理中,也可以对某个指定用户的NAT会话进行设置。
HiPER 811还支持PPPoE Server功能,其独特的PPPoE功能摆脱了ARP协议的弊端,彻底解决内网ARP欺骗问题。PPPoE Server功能对于小区网络经营者来说,无疑为网络管理提供了新的解决方案。通过账号管理,有效的控制用户上网行为、上网时间、带宽占用,既可以针对不同收费用户进行带宽管理,也可以在用户网络费用到期时禁用帐号,轻松实现用户管理(如图10)。
- 系统管理
HiPER 811从低到高提供三种级别的管理权限:浏览、执行和系统管理。用户可以根据实际需求划分管理员的权限,以达到最小权限的安全目的,防止因管理员权限过大而造成的安全风险。另外,HiPER811还向管理员提供了Telnet的管理方式,这在同档次的产品中是不多见的。
HiPER811支持配置文件备份与导入,可将HiPER当前配置文件保存到管理计算机,也可将备份的配置文件导入到HiPER中,节省重复配置的时间;支持WEB升级方式,方便功能扩展。
HiPER811提供标准的SNMP接口,可供远程SNMP服务器管理;并且,提供系统日志功能,可通过远程SYSLOG服务器记录。
- NAT
HiPER 811支持NAT静态映射(如图9),用户可以自定义映射名,选择设置协议、IP和内、外部起始端口号,设置完成后所有对该端口的服务请求将被重新定位给指定的局域网中的服务器,从而广域网中的计算机就可实现对局域网服务器的访问。支持DMZ主机,向外提供WWW、Telnet、FTP等服务;支持NAT Re-routing和反向NAT;提供NAT ALG功能,并支持FTP、PPTP、IPSec ESP等特殊应用协议(如图11)。
HIPER 811提供了三种NAT规则,管理员或用户根据自己的需求实现内部IP和外部IP的多对一或一对一的映射关系。在一对一的映射中,用户可设置一个虚拟服务器(DMZ),完全暴露给 Internet ,实现双向通讯。系统允许配置一个全局 DMZ 主机,多个局部 DMZ 主机。同时,用户若设置NAT规则为Passthrough类型,那么指定的内部IP地址直接与Internet连接,而不做NAT转化,从而为不同用户提供不同的功能。
综合看HiPER811 在NAT功能上做的非常全面,从基本的NAT映射功能到端口映射、正反向地址映射都能实现。
- 系统监控
利用HiPER 811监控功能,网管人员可实时监测CPU利用率、内存利用率、NAT表等关键系统资源,可以及时发现潜在的各种攻击;通过实时查看各个接口的带宽,查看各个用户的上传/下载带宽以及NAT会话数,查看上传/下载带宽排行榜和NAT会话数排行榜,能够快速定位网速慢、卡等网络异常。
HiPER 811为了便于管理员管理,还在“系统状态”中给出了用户统计信息(如图12),对每个IP的发送数据包和发送广播包进行统计,并利用广播包/发送包作为判断主机是否感染病毒的参考量,方便了网络管理人员对故障的排查。
- VPN功能
HiPER 811支持IPSec、L2TP以及PPTP等多种形式的VPN功能,提供网关对网关、客户端(HiPER 811)对网关、网关(HiPER 811)对客户端模式,可以通过Site-to-Site或远程拨号的多种方式建立互联互通的VPN网络,方便小型分支机构与总部或其他分支机构构建安全的局域网办公环境。
HiPER 811在IPSec支持方面提供多种算法包括3DES、MD5、AES等,有很好的兼容性,并能满足不同安全级别的需求。
- 访问控制
HiPER 811提供了专门的防火墙设置界面可实现基于源/目的IP地址、协议、端口、源/目的MAC地址的包过滤,还可按时间段、地址组进行过滤。
HiPER 811还支持域名过滤(如图13),可以实现禁止内网用户对某些指定域名的访问,将一些常见的恶意网站加入过滤列表能有效的防止内部主机遭受攻击。支持“*”通配符的过滤方式,大大简化了网管人员的工作。
关键特性
- 支持DSL,FTTX+LAN和Cable Modem连接,特别适合光纤接入
- LAN口(4个内置的交换式以太网口),1个WAN口
- LAN/WAN支持正反线自适应,支持10/100M自适应
- 支持快速转发,吞吐量最高可达200Mbps,最多140K PPS
- 基于地址、协议和端口的包过滤
- 基于站点、URL和关键字的应用层过滤
- 支持NAT会话数限制,可限制单机会话数
- 支持带宽管理,可限制单机带宽
- 支持DHCP服务器和客户端,支持DHCP手工绑定
- 支持IP/MAC绑定
- 支持PPPoE Server功能,最多配置50个帐号
- 支持DDNS
- 支持DNS代理
- 支持端口镜像
- 支持时间段管理
- 支持网络时间同步
- 基于端口的VLAN
- 支持UPnP
- 支持多个L2TP/PPTP/IPSec的VPN穿透
性能测试
在我们对HiPER 811的测试过程中,主要针对了其由LAN口到WAN口单方向的数据传输性能,这些性能指标包括吞吐量、延迟、丟包率和背对背缓冲能力四项。测试帧长选择RFC 2544建议的7种,分别为64、128、256、512、1024、1280和1518Byte。LAN和WAN端口均设为百兆全双工,针对7种不同的以太网帧长,分别测试HIPER 811的单向转发性能。
测试平台采用IXIA公司的400T性能测试仪表以及IxAutomate自动化测试套件,IxAutomate自动化测试套件可基于RFC2544和2889测试网络设备的性能。
本次测试使用的网络环境如图14所示。
- 吞吐量
吞吐量一般作为考察网络设备性能的首要指标。吞吐量越大,说明被测设备处理数据包的能力越强。为了满足各种应用环境,特别是像图文发送和视频会议系统等高吞吐量场合对网络带宽的较高要求,宽带路由器应该具备较高的吞吐能力。
本次测试中,我们的测试时间采用20s,HiPER 811在整个测试过程中表现情况良好,并且吞吐量表现较好,对于短帧如64Byte,吞吐量达到线速的96.6%,其余帧长均基本达到线速。具体测试结果数据如表1所示。
表1 吞吐量测试结果数据
Frame Size | Tx Port | Rx Port | No Drop Rate (% Line Rate) | Throughput (fps) | Throughput (Mbps) |
64 | LAN | WAN | 96.6 | 143778.2 | 73.6 |
128 | LAN | WAN | 100 | 84459 | 86.5 |
256 | LAN | WAN | 100 | 45290 | 92.8 |
512 | LAN | WAN | 100 | 23496 | 96.2 |
1024 | LAN | WAN | 100 | 11973 | 98.1 |
1280 | LAN | WAN | 100 | 9615 | 98.5 |
1518 | LAN | WAN | 100 | 8127 | 98.7 |
- 延迟
延迟也是考察路由器的重要性能指标之一。延迟越小,说明路由器处理数据包的速度越快。在实际网络中,存在一些对延迟敏感的多媒体应用如语音、视频、图像等,这些应用要求路由器转发数据时具备较低和稳定的延迟,以保证这些应用的正常、实时运行。
测试结果表明, HiPER 811转发延迟较小,最大延迟261μs,可以满足那些要求高负荷、低延迟的应用场合的需求。
表2 延迟测试结果数据
Frame Size | Tx Port | Rx Port | Tx Count | Rx Count | Frame Loss (%) | Latency |
64 | LAN | WAN | 2976200 | 2883058 | 3.13 | 159440 |
128 | LAN | WAN | 1689180 | 1689180 | 0 | 38000 |
256 | LAN | WAN | 905800 | 905800 | 0 | 60140 |
512 | LAN | WAN | 469920 | 469920 | 0 | 100440 |
1024 | LAN | WAN | 239460 | 239460 | 0 | 182320 |
1280 | LAN | WAN | 192300 | 192300 | 0 | 223660 |
1518 | LAN | WAN | 162540 | 162540 | 0 | 261380 |
- 丢包率
丢包率是指路由器在稳定的负载下由于缺少资源应转发而没有转发的包占全部包的百分比。该项指标可以用来考察路由器在过载情况下的承受能力。实际测试表明,HiPER 811在64字节的测试帧长中有一定的丢包,在其它帧长情况下基本上没有丢包。对于HiPER 811这样为小型企业和社区设计的产品,这样的结果还是令人满意的。具体测试结果见表3。
表3 丢包率测试结果数据
Frame Size | Tx Port | Rx Port | No Drop Rate (fps) | No Drop Rate (%) |
64 | LAN | WAN | 133929 | 10 |
128 | LAN | WAN | 84459 | 0 |
256 | LAN | WAN | 45290 | 0 |
512 | LAN | WAN | 23496 | 0 |
1024 | LAN | WAN | 11973 | 0 |
1280 | LAN | WAN | 9615 | 0 |
1518 | LAN | WAN | 8127 | 0 |
- 背对背帧
背对背(Back-to-back)帧指的是固定长度的数据帧以合法的最小帧间隔在传输媒介上突发一段较短的时间(以太网标准规定最小帧间隔为96bits),一般以帧数多少来表示。 HiPER 811背对背帧测试结果如表4所示。
表4 背对背帧测试结果数据
帧长(Byte) | Tx Port | Rx Port | Back to Back Frames |
64 | LAN | WAN | 380 |
128 | LAN | WAN | 1689180 |
256 | LAN | WAN | 905800 |
512 | LAN | WAN | 469920 |
1024 | LAN | WAN | 239460 |
1280 | LAN | WAN | 192300 |
1518 | LAN | WAN | 162540 |
- 稳定性
HiPER 811连续运行一周时间,设备运行状态良好,CPU使用率稳定在1%-5%。加大路由器负载,使用率也基本保持不变。这也直接说明HiPER811稳定性还是很不错的。
HiPER 811作为一款专为小型/SOHO企业、宽带社区等机构设计的智能宽带网关/路由器,在这次测试中的性能表现较好,测试数据显示其可以满足日常业务应用的需求,适合于小型企业及社区使用。
存在问题
测试过程发现HiPER811在WEB管理时,有时反映速度稍慢,望厂家作一下改进。
总结评价
HiPER811智能宽带网关/路由器作为艾泰科技推出的一款新产品,定位于小型、SOHO企业、宽带社区,继承了艾泰小型路由器功能强、易操作的特点。功能方面融合上网行为管理、网络安全管理、网络维护管理于一身,除具备智能NAT、防火墙、带宽管理、IP/MAC绑定、业务管理等宽带路由器常见的功能之外,还具备安全性强、易用性好、性价比高的特点。性能方面运行稳定,几项关键指标均表现良好,特别是比较重要的吞吐量一项基本达到理论数值。综合来看HiPER 811定位明确,功能、性能表现出色,是一款非常适合小型企业或宽带社区使用的优秀产品。