| 轉載:PConline�,網址:http://network.pconline.com.cn/pingce/0906/1690082.html
UTT 3640是艾泰科技面向中小型企業(yè)���,中小型社區(qū)等環(huán)境而設計的多WAN口VPN寬帶路由器����,配備4個10/100Mbps廣域網接口���,4個10/100Mbps局域網接口����,帶機量100-300臺(官方標稱值,視具體網絡環(huán)境而定)����。
UTT 3640采用4 WAN口設計,不僅可以實現線路冗余����,還為用戶提供了低成本擴容上網帶寬的途徑;網絡管理方面����,UTT 3640對帶寬分配、內網用戶分組���、日志統計、時段訪問�����、上網監(jiān)控等提供了完善的支持���;上網行為管理方面���,UTT 3640可以封堵QQ�����、MSN和BT�,對迅雷也提供了限制功能����;在VPN接入方面,UTT 3640支持IPSec���、L2TP以及PPTP三種VPN協議��,最多可配置50條VPN隧道�����,并發(fā)30條��。
艾泰 UTT 3640 圖 庫 評 測 論 壇 報 價 網上購買 UTT 3640所有的網絡接口被設計在了前面板上���,包括4個10/100Mbps自適應局域網接口,4個10/100Mbps自適應廣域網接口�����,面板中間部分為RESET按鍵,用于將設備恢復至出廠狀態(tài)����,面板最左側為指示燈區(qū)域,除了可以反映所有8個端口的工作狀態(tài)�����,UTT 3640還設計有PWR����、SYS、TRF�、FLT四個顯示設備工作狀態(tài)的指示燈,它們分別代表:電源�、系統狀態(tài)、數據流量�����、系統故障�。
艾泰UTT 3640 圖 庫 評 測 論 壇 報 價 網上購買
UTT 3640外觀尺寸為440mm×224mm×44mm���,標準1U規(guī)格�����,使用隨機附送的支架����,可安裝于標準機柜中,前置網絡接口設計方便用戶更改跳線和進行一般網絡維護�。
本次評測我們將從三個大的方面進行,涉及UTT 3640的基礎網絡管理功能����,策略管理,上網行為管理����。作為一款寬帶路由器,這些功能對保障企業(yè)用戶的業(yè)務應用穩(wěn)定起著主要支撐作用����。
基礎網絡管理功能
UTT 3640管理頁面
UTT 3640的管理主頁,布局非常像一般網站的主頁�����。UTT 3640將管理功能分為9部分,分別是:基本配置�����、高級配置���、系統管理�����、系統狀態(tài)��、上網監(jiān)控���、VPN配置、用戶管理��、防火墻����、安全配置。
快捷配置菜單
考慮到易用性�����,UTT 3640在管理首頁設計了一個“開始”菜單��,在這一菜單中�,用戶可以快速訪問一些重要功能的配置頁面,例如配置WAN口地址����、內網地址,啟用內網安全防御功能等����。
多WAN口設置 作為一款多WAN口路由器,UTT 3640的負載分配機制支持基于IP規(guī)則和基于NAT會話規(guī)則����。同時在本頁面下端,各端口使用狀況會以圖表方式列出���,便于用戶了解各WAN口工作狀態(tài)����。
啟用身份綁定�����,這一功能主要用來保障某些特殊應用。我們打個比方�����,用戶在瀏覽網頁時��,流量從哪個WAN口被發(fā)送和接收都可以�,因為此時的HTTP流量對“連續(xù)性”沒有要求,但對于某些應用����,像網銀、QQ�����,它們如果與服務器建立起連接���,那這個連接將是持續(xù)的����,也就是說對“連續(xù)性”是有要求的�。UTT 3640的這一功能可以將這類應用的連接�,從連接建立開始�,到連接被釋放掉,整個過程中將“連接會話”固定在某一WAN口上��。
NAT規(guī)則 UTT 3640的NAT規(guī)則的類型有三種:EasyIP����,即網絡地址端口轉換�,多個內部 IP 地址映射到同一個外部 IP 地址。通過設置“權重”�,可實現按權重比分配流量;One2One :即靜態(tài)地址轉換�,內部 IP 地址與外部 IP 地址進行一對一的映射;Passthrough�����,對指定的 IP 地址不做 NAT ��,使用其實際地址連接到 Internet ����。
IP/MAC綁定 IP/MAC綁定功能,在UTT 3640中可以當作內網管理工具來使用��,在一個比較固定的網絡中,由于PC比較固定�,所以IP/MAC的對應條目應該也是固定的����;诖耍琔TT將內網用戶分為合法用戶�、非法用戶、身份未知用戶�����。
合法用戶指的是其IP及MAC地址與某個IP/MAC綁定條目完全匹配���,且該條目被“允許”��;非法用戶指的是其IP及MAC地址與某個IP/MAC綁定條目完全匹配�����,且該條目的“允許”未被選中����,或者���,其IP和MAC地址中有且只有一個某個綁定條目的對應信息匹配�����;身份未知用戶指的是除合法用戶與非法用戶之外的所有用戶�����,即非IP/MAC綁定用戶����。UTT 3640允許合法用戶上網����,禁止非法用戶上網。對于身份未知用戶��,若選中“允許未被IP/MAC綁定的主機通過”���,則允許上網���;反之,則禁止上網��。
用戶點擊“導出ARP綁定腳本文件”,可以從UTT 3640中下載一個批處理文件�,在每臺PC上運行一次這個文件,PC端將建立一條靜態(tài)的ARP記錄�����,這對ARP欺騙可以起到防御作用���。
IPSec VPN配置 UTT 3640支持IPSec�、L2TP以及PPTP三種VPN協議����,可實現網關到網關、遠程撥號等多種形式的VPN��,最多可配置50條VPN隧道��,并發(fā)30條�。IPSec VPN支持自動IKE和手動密鑰,支持ESP/AH協議����、3DES/DES/AES加密算法、SHA1/MD5認證算法��。
日志信息統計
NAT統計信息 在系統狀態(tài)信息統計方面,UTT 3640所提供的統計功能可以說十分完善���,包括用戶統計�����、NAT統計�����、DHCP統計�、接口統計��、路由和端口信息等�����。每個列表中的信息條目均支持排序功能�����,例如上表中IP地址���、活動記錄���、下載數據包/總數等等,用戶只要點擊相應條目就可實現A—>Z或Z—>A的排序��。
系統信息
UTT 3640上網監(jiān)控統計支持預置分類查尋及自定義端口號查尋
策略管理
帶寬管理 UTT 3640可配置三個帶寬限速策略��,實現分時段對內網用戶進行帶寬限速�,對于郵件應用可選擇不受當前策略的限制。上傳及下載速率范圍從Block���、64K直到40M���、NoLimit,共50個級別�����。
“時間段”一項需要在“時間段配置”頁面中預先進行設置���,一個時間段最多可由8個時間單元組成����,一組起始時間和結束時間的組合為一個時間單元。借助這一機制����,用戶可以配置靈活的時段策略。
時間段配置
時段策略 在“時段策略”中��,用戶可以引用在“時間段配置”中設定的時間段�����。這一頁面中的選項主要是對用戶的上網行為進行管理�,稍后我們會測試這些策略的管理效果。
組管理 UTT 3640支持將多個用戶(一個地址段內的連續(xù)IP地址)定義為用戶組����,可以對整個組進行策略管理。
在“組管理”中也可以對用戶的上網行為進行管理�����,與在“時段策略”中進行的配置不同�����,在“組管理”中設置的策略可以理解為是當前用戶組的默認策略�,但往往僅有默認策略還是不夠的,一天中的某一時段�,我可能需要適當修改默認策略,以使管理更加靈活����。時段策略就可以幫助用戶做到這點,在設定的時間���,時段策略將替代默認策略����。
個性化管理 如果某人需要被特殊照顧���,在“個性化管理”中可以單獨為其配置上網帶寬��、上網行管理管理等參數��。
訪問控制策略 訪問控制策略���,其中源地址組,目的地址組�����,服務組,有單獨的頁面可以進行設置�����,然后在該頁面中進行引用��,這種先“設定”后“引用”的方式在管理上會顯得相當靈活�。
上網行為管理
上網行為管理 對于DNS過濾,FileType過濾��,UTT 3640內置了部分條目���,其工作機制與URL過濾相同�,如果用戶想過濾更多的網址����,可以在URL過濾中進行設置。下面我們將僅對IM過濾�����,P2P過濾進行測試���。
 
MSN2009 攔截成功;QQ2008II Beta1 攔截成功
 
BitSpirit v3.3.3.167 攔截成功;迅雷5 5.9.2.927限制成功 在這里說一下迅雷�����,UTT 3640提供的限制功能被描述為“禁止Thunder搜索資源”�����,而并不是禁止迅雷下載���。我們都知道�,迅雷下載時會連接大量的“源”��,這也是為什么迅雷下載速度比較快的原因���。UTT 3640可以限制迅雷連接其它的源��,如上圖所示����,“資源”處顯現的是1/1����,如果不進行限制�,那此處將會是一個非常高的值�����。將下載“源”限制為1�,即不會影響到員工正常下載操作,同時也能避免P2P下載軟件濫用網絡資源���。
路由器通過什么方式禁止BT下載��、禁止QQ聊天��?在這里我們再多說一下���,請看下面的截圖。
QQ數據包
BitSpirit數據包 不同的應用����,使用的通信協議是不同的,QQ所使用的協議在WIRESHARK中被識別為OICQ�,BitSpirit所使用的協議被識別為BitTorrent。上網行為管理路由器可以識別這些通信協議���,根據用戶設定的策略�����,允許或禁止這些類型的數據包通過路由器����,從而實現對某些具體應用的管理�����。
ARP欺騙防御
ARP欺騙防御 啟用ARP更新限制后�����,UTT 3640將丟棄收到的免費ARP包����,從而防止設備遭受ARP欺騙;啟用ARP廣播后�����,設備將會向局域網定期廣播自己正確的ARP信息����,從而防止局域網PC遭受ARP欺騙�����。
ARP欺騙攻擊利用的是IP協議本身所固有的缺陷實現的����,就目前來講��,還無法從根本上解決這一缺陷���,所以各廠商都使用自己的技術來試圖解決這一問題��。UTT 3640使用了兩種機制��,忽略收到的免費ARP包��、進行ARP廣播��。第一種機制可以讓路由器的ARP表不被惡意修改��,使路由器可以找到內網中的PC機�,第二種機制的效果是��,路由器會主動的更新內網PC上的ARP表�����,讓PC可以找到路由器。
此處的ARP廣播間隔不宜過低��,太低的話對網絡資源會產生一定的消耗�����,但也不宜太高���,太高的話保護效果就不顯著了。ARP病毒會將其它PC上的IP/MAC記錄修改成錯條的對應關系�����,路由器定期發(fā)送的ARP廣播包又會將PC上的IP/MAC記錄修正���,這是一個“拉鋸式”的過程�,能否獲勝要看誰“手快”�。當然,比較有效的方法還是在每臺PC上進行IP/MAC綁定����,用戶可以在UTT 3640中下載一個批處理程序�,在每臺PC上執(zhí)行一下��,這樣基本可以做到一勞永逸��。
性能測試
吞吐性能測試我們使用IxChariot�����,這也是網絡媒體普遍所采用的評測工具�����,測試內容是UTT 3640工作在NAT(共享上網方式)模式下的吞吐性能�����,對于IxChariot測試腳本的選擇����,我們使用的是High_Performance_Throughput.scr ,所有參數均為默認設置��。
10Pairs 上網行為管理關閉 93.723Mbps
10Pairs 上網行為管理啟用 93.783Mbps 由于Ixchariot本身是有損耗的����,使用Ixchariot測得的Throughput結果是有效數據負載��,不包括TCP協議損耗��、幀間隔��、應答和Ixchariot本身系統損耗���,此部分典型損耗根據理論計算約6M,就是說即使你測試的是一臺能線速轉發(fā)的100Mbps交換機��,測出來的Throughput也只可能是94M左右�,這是理論極限值��。從上面的測試結果來看����,在上網行為管理開啟或關閉的狀態(tài)下,UTT 3640的吞吐性能均表現強勁����。
測試完吞吐性能,接下來要測試的是在真實應用環(huán)境下的性能�。使用IxChariot作為測試工具。使用IxChariot中不同應用類型的腳本組成一個腳本集,共120Pairs��,盡量模擬產生真實數據流量�,腳本組成如下圖。根據以往的測試結果���,此腳本集的極限成績在24Mbps左右��,我們將整個腳本集進行復制�,使其達到600Pairs�,為的是增加路由器的負載。
IxChariot腳本集
600Pairs當前測試環(huán)境性能表現 117.619Mbps
600Pairs LAN To WAN性能上網行為管理關閉 75.815Mbps
600Pairs LAN To WAN性能上網行為管理開啟 69.049Mbps
UTT 3640的混合數據包測試成績達到了一個不錯的水平���。為了體現出啟用上網行為管理功能前后UTT 3640的性能差別�,我們除了啟用內置的各種上網行為管理功能���,還開啟了域名過濾功能�����,并設置了100條關鍵字����,從測試結果來看,性能衰減并不明顯����。
PConline評測室總結
艾泰UTT 3640 圖 庫 評 測 論 壇 報 價 網上購買 作為一款面向中型網絡環(huán)境(官方標稱帶機量100-300臺)的多WAN口路由器,UTT 3640在基礎網絡管理和吞吐性能方面均有著出色的表現�。基礎內網管理方面�����,包括帶寬分配���、上網行為管理���,內網用戶分組��,日志統計���,時段訪問�����,上網監(jiān)控等�����,UTT 3640在這些方面都提供了良好的支持�����。性能方面��,從測試結果來看��,無論是吞吐測試還是混合數據包測試�����,性能表現均令人滿意��。
VPN功能對于一些企業(yè)來講往往也是不可或缺的�,UTT 3640支持IPSec、L2TP以及PPTP三種VPN協議�,最多可配置50條VPN隧道,并發(fā)30條����,可用于連接遠端總部或分支機構網絡,也可用于移動辦公用戶通過路由器遠程接入公司網絡�����。另外,UTT提供了標準的SNMP接口����,可供遠程SNMP服務器管理,支持系統日志功能�����,可通過遠程SYSLOG服務器進行日志采集��。
說到不足��,UTT 3640雖然可以設置精細的帶寬分配策略���,但對于高級QoS功能支持并不完善���。就這一問題我們詢問了艾泰公司的產品經理�����,得知在艾泰即將發(fā)布的ReOS 2009新版中�����,將全面支持高級QoS功能,包括根據IP地址���、協議�����、服務端口等元素來進行帶寬資源管理��。另外�����,對于電驢下載�����,UTT 3640沒有提供攔截功能����,這方面�,用戶可以使用UTT 3640靈活的自定義策略功能,手動對電驢服務器和通信端口進行封堵��。
| 
