—5款雙WAN路由器揭密
用戶現在可以使用多種WAN連接方式(DSL、有線電視網、衛星等)。由于小企業希望Internet訪問帶寬有冗余,以提高訪問速度,所以一些公司生產了雙WAN路由器,以把兩種寬帶連接方式組合在一起使用。既然這么多家庭和企業現在都有數兆比特相當便宜的帶寬可用,那么雙WAN路由器市場看來已經具備了發展的條件。
最近,美國《網絡世界》評測實驗室測試了5款雙WAN路由器,分別是Zyxel通信公司的ZyWall 70、SonicWall公司的TZ 170、Xincom公司的XC-DPG602、Hawking技術公司的H2WR54G和Fortinet公司的FortiGate-60,測試的重點是這些產品控制WAN連接的能力以及其他一些功能。
在這個測試中,SonicWall公司的TZ 170被選為最受歡迎的產品,因為它有良好的安全性、配置選項和附加功能(有些需要額外付費)。Hawking公司的產品會滿足需要低價產品的用戶的需求,其產品支持無線功能。Zyxel公司的ZyWall 70以微弱差距名列SonicWall之后,位居第二。
很多路由器都支持:
● 出網負載均衡;
● 入網負載均衡(低端產品僅支持出網負載均衡);
● QoS;
● VPN;
● 非軍事區(DMZ);
● 對內容(入網和出網)和電子郵件(至少對入網的電子郵件)進行病毒過濾;
● 入侵檢測;
● Web內容過濾。
不同的路由器,CPU速度和RAM容量是不同的,通常同時支持的VPN連接數反映了這種差異。因為所有這些系統的連接數最少都達到了數千條,所以中等規模的網絡不應該感到性能受限。不過,所支持的VPN會話數常常受到服務器的限制,因此仍然要仔細檢查網絡是否需要支持很多VPN客戶。
在需要把兩個相同的高速WAN連接組合在一起(如把兩個有線電視調制解調器鏈路組合在一起)時,這些路由器所具有的入網負載均衡功能很有用。因為有線電視網的下行速率為1.5M~3Mbps,DSL鏈路則低于512Kbps,所以混合這樣兩種連接對速率不會有什么明顯的改善,而且如果配置錯誤,還可能降低訪問速率。不過,仍然可以借助這樣的混合連接實現Internet訪問的帶寬冗余。
使用每個雙WAN系統都要注意的是:必須能夠把發出去的所有SMTP信息流路由到合適的WAN鏈路上。大多數ISP拒絕所有不是從自己的網絡起始的郵件,所以把發出的電子郵件路由到錯誤的WAN鏈路會引起差錯。使用連接到DMZ的內部電子郵件服務器,或者通過Web托管服務而不是ISP發送電子郵件,可以消除這一問題。
1 SonicWall TZ 170
在測試期間,SonicWall TZ 170的一些開發人員用新版固件給該產品增加了對進入信息流負載均衡的支持,填補了TZ 170在功能上的主要空白。但是用戶必須購買功能增強的操作系統,才能使TZ 170支持雙WAN連接。同樣的小型塑料外殼支持TZ 170的所有排列方式,因此從外觀上看不出TZ 170所支持的功能。
安裝和配置花了一些時間。與我們測試的其他產品不同,TZ 170在默認狀態下不啟用動態主機配置協議(DHCP)服務器。用戶必須改變計算機地址,以與TZ 170的默認IP網絡設置值相匹配,然后用其簡單易用的向導配置DHCP地址范圍和其他初始化設置值。但是重新啟動并經過一番苦思冥想后,我們發現,設置DHCP范圍時DHCP服務器并未同時啟用,我們必須手動開啟該服務器。9頁長的快速啟用指南印滿了密密麻麻的文字,有點與“快速”背道而馳。該公司的技術支持聯系人也承認,DHCP配置的設計方案不好,但未做進一步解釋。
因為只有所測試的增強版TZ 170支持雙WAN,所以該產品上沒有WAN2插頭(用軟件增加這項功能)。采用可選以太網連接器WAN2不成問題,因為該產品上的所有5個10/100Base-T以太網端口都能為使用DMZ而進行配置。SonicWall基于Web的實用管理程序在顯示屏左邊提供層疊式菜單,但是右邊沒有選項卡。取而代之的是,多個命令圖標彈出新的更小的窗口,用于選擇配置值或提供說明。這個敘述過程有點羅嗦,而實際菜單看起來要簡單些,因為很容易就能深入到更詳細的菜單層次。在多個向導的引導下,可以完成VPN設置、公共服務器(DMZ)訪問和初始設置這些繁雜的工作。
SonicWall產品好的方面是:在防火墻配置上具有極大的靈活性。而不好的方面則是: 對大多數小企業用戶而言,內容太多,學不過來,也處理不過來,這些用戶會需要轉賣商的幫助。TZ 170在下拉菜單中配置的服務有140項。SonicWall使用網絡分區,其中包括幾屏描述各分區關系(例如WAN至LAN)的內容以及適用特定連接的路由或網絡地址變換規則。你甚至可能有5個不同的用戶類別,代表從每個人到權力受限的管理員等各種類型的用戶,而在一個規則中可能包含任一類別。如果沒有外界幫助,中小型企業幾乎無法完成配置。
TZ 170對雙WAN連接處理得很好。與我們測試的所有其他產品都不同,當我們斷開有線電視調制解調器并迫使TZ 170切換到DSL連接時,該設備仍能接著傳輸流式音頻文件。而當我們重新連接到有線電視調制解調器時,它還能切換到更快的服務上,而且仍然不存在中斷。
安全性選項很多,但是要仔細訂購。例如,你可以購買網絡防病毒軟件和服務器防病毒軟件,但是你不能用電子郵件防病毒過濾。節點/用戶數是根據網絡上有效的IP地址數而不是路由器上共存的用戶數來計算的,因此你需要的許可證數也許比你想像的多。
盡管購買合適的選項以及弄清楚DHCP有點煩人,但是SonicWall提供大量預定義的防火墻設置參數和選項,其失效轉移可保持流式音頻的連續性。
2 Zyxel ZyWall 70
ZyWall 70被Zyxel稱為保證安全的專用設備,以強調其具有路由之外的一些功能,Zyxel有11個這樣的路由器,都被稱為專用設備或網關。安裝過程涉及啟動客戶程序以接受ZyWall 70設備發出的IP地址信息,從而開始配置工作。屏幕顯示條理清晰,布局合理,在左下角有一個菜單,選項卡清晰地顯示在有效頁上。電子版手冊長達713頁,但是其中有數百頁內容講述的是控制臺連接和老式終端的命令接口以及命令語法。
你可以建立一個DMZ,但是沒有獨立的以太網端口供這個DMZ使用。IP地址分隔每個DMZ系統的信息流。建立DMZ并分隔了DMZ系統的信息流后,要一直特別重視某個特定的端口,以避免混淆并限制一些煩瑣的、針對端口的配置工作。默認信息流規則允許DMZ和WAN之間的信息流雙向流動,但是僅允許從LAN送出的信息流進入DMZ。從DMZ到LAN的信息流會被阻塞,除非增加了允許信息流在這個方向上流動的規則,而這是我們意料之中的安全性配置。
管理ZyWall 70很簡單,因為它的Web管理應用程序接口非常清晰明了。只要點擊一下鼠標,其主頁就顯示出所有類型連接(LAN、WAN、WLAN和DMZ)的狀態、統計數字、DHCP表或VPN狀態。
安全控制包括防火墻、證書控制(信任的證書機構和信任的遠程主機)、Radius支持和完整的內容過濾選項。這個防火墻采用免受拒絕服務式攻擊的信息包檢測方法,該方法具有豐富的狀態參數。防火墻規則很容易建立,頁面上有一些復選框,還有為方便控制而預定義的44種服務,也有面向防火墻規則的日歷控制功能,提供相當完整和可用的安全性控制。
ZyWall 70容許規定WAN1端口用于所有發出的SMTP信息流,但是需要使用常規管理接口之外的控制臺命令。
帶寬管理包括定義類別和為某些類別提供額外帶寬,如VoIP或視頻。讓基于優先權的調度程序為已配置的服務分配額外的帶寬,如VoIP,而基于公平原則的調度程序則盡力保持各服務類別之間的負載均衡,而且可以通過鼠標點擊輕易進行調整。用這種方法也很容易配置對稱或非對稱WAN鏈路。
ZyWall 70容易安裝,端口具有極大的靈活性,有4個DMZ端口,還有大量防火墻細節信息,支持可選無線PC卡。但是讓SMTP等信息流進入特定的WAN端口需要Telnet協議之上的控制臺命令。
3 Xincom XC-DPG602
XC-DPG602所屬的雙WAN路由器系列共有5款產品,XC-DPG602是其中的第4款,它缺乏VPN支持,但是具有入網負載均衡功能(與603一樣,但是沒有603的其他功能)。Xincom雙WAN系列從其低端的402擴展而來,其中還包括502、503和603。
快速啟用指南涵蓋了所有必需的細節信息,該產品的用戶手冊條理清晰,對一個復雜的路由器來說算是很短的(50頁)。該路由器僅支持微軟的IE瀏覽器(指南中并未提及),但是DHCP服務器工作正常,而且它快速準確地從有線電視調制解調器那里獲得了詳細的網絡設置信息。實際上,該設備的復位和重新啟動速度比我們測試過的任何產品都快。
兩個WAN端口的配置說明都出現在實用管理程序的同一頁上(兩個配置說明挨著),這是一種很好的做法。這些WAN端口可以配置成備份端口或具有負載均衡功能的端口,而負載均衡則有自己的配置頁。你可以按照字節、信息包或所建立的會話設定負載均衡數值,然后在WAN1上設定所承載負載量的百分數。我們把有線電視調制解調器放在WAN1上,設定它承載90%的負載量。當我們拔下有線電視調制解調器時,流式音樂幾乎總是持續地傳輸,在DSL鏈路上音樂一拍也沒丟。不幸的是,當斷開DSL鏈路時,Xincom的產品不是總能復位DSL連接,因此我們必須以手動方式重新建立連接。
用該設備上4個10/100Base-T以太網端口中的一個或幾個端口,可以建立多個DMZ(沒有專用的DMZ端口)。沒有一種簡單方便的方法來過濾從LAN到DMZ或反過來流動的信息流,但是單個DMZ會話鏈路可以通過“高級設置(Advanced Setup)”頁來控制。“高級設置”菜單中還包括一些“高級功能(Advanced Features)”,其中有一個有用的復選框,可以把SMTP信息流與兩個WAN端口之一捆綁在一起,確保發出去的電子郵件流經合適的網絡。
該產品還包含一個具有SPI的防火墻,可以輕易阻塞不同的服務端口,但是下拉菜單僅提供6種類型的服務,相比之下,SonicWall設備的服務類型要多得多。要阻塞或打開防火墻中的端口,需要手工填寫一些表格。
QoS支持在管理上沒有很大的靈活性,但是除了Hawking的產品,其他所有產品都包含這一功能。你可以在線觀看數據轉儲系統日志,但是Xincom路由器有配置3個不同系統日志服務器的余地,可為用戶完成語法分析任務。
可在一些顯示頁上看到WAN狀態和信息流總量,但是信息更新需要點擊按鈕來實現。
由于這個設備具有易于安裝的特點和條理清晰的管理接口以及良好的WAN失效轉移功能,因此幾乎抵消了安全性和防火墻設置項有限以及設置過程不具有直覺性的缺點。奇怪的是,這是惟一要求用IE而回避使用Mozilla的設備。
4 Hawking H2WR54G
Hawking公司的H2WR54G體積不大。這個路由器不僅支持雙WAN鏈路,還具有一個802.11g WLAN模塊以及基本的防火墻安全性。H2WR54G是Hawking公司銷售的3款雙WAN路由器中價格最高的一個,但是在我們這次測試的產品中是最便宜的。
這款路由器缺點不少:快速安裝指南(25頁,像口袋書那么大,字體很小)上說,“在安裝期間我們必須提供時間服務器的IP地址”,然后該指南建議我們在Web上查找時間服務器。但是直到在設置顯示頁上填入時間服務器IP地址以后,我們才有了到Internet的路由器。在我們見過的設置指南中,這是最進退兩難的情況了。我們插入了另一個路由器,并針對一個有效的IP地址核對了它的時間服務器設置,但是我們不知道一般的小公司能否處理這種混亂局面。通過讓該設備的IP地址在Internet上可見,4個10/100Base-T以太網端口的任一端口都可以用于DMZ。它沒有QoS支持。
該設備通過選擇PC的IP地址和選擇所顯示的16個標準服務中的一個或多個服務,都能建立防火墻規則; 無法阻塞所有用戶使用MSN Messenger等應用程序,僅能阻塞單個設備。這種級別的保護適合家庭用戶或很小型的企業用戶,但不適合對安全性非常重視的用戶。不過至少該防火墻是默認啟動的。它不支持企業身份驗證,如Radius,甚或LDAP。
可通過瀏覽器進行最低限度的管理,屏幕左邊的菜單上有模板,但是所有菜單頁都不夠詳細。只有兩個選項卡,一個是系統選項卡,另一個是安全性選項卡,但是未提供語法分析或說明,也無法像我們測試的其他設備那樣通過電子郵件發送日志或向系統日志服務器發送日志。一個有很多插圖的電子版手冊只有不到100頁。
當我們試圖把發出的電子郵件轉到使用有線電視調制解調器的WAN1鏈路時,發現了第二個缺點。我們弄不清在管理顯示頁的什么地方配置SMTP路由,所以我們給該公司的技術支持人員發送了一封電子郵件。雖然他們在第二天早上回復了我們的郵件,但是卻告訴我們,無法向WAN鏈路路由SMTP信息流。這看起來很奇怪,因為目標用戶似乎是入門級的家庭用戶、家庭辦公室和小企業,他們最有可能依靠服務提供商的電子郵件來解決問題。這個路由器的用戶必須有自己的電子郵件服務器,或者能夠通過托管服務發出郵件,因為如果兩個WAN端口都處于使用狀態時,就不能可靠地發送電子郵件。
盡管流式音頻會話需要重新啟動,但是WAN失效轉移和重新連接都可以實現。在設置為備份而不是負載均衡狀態時,從有線電視調制解調器切換到DSL鏈路的時間大約為20秒。可以開啟負載均衡功能,但是惟一的控制選項是一個基于數據傳送會話的百分數。
該產品功能豐富但卻缺少詳細說明,價格較低,應該受到小企業的歡迎,但是最低限度的安全性設置和管理控制會限制它的用途。
5 Fortinet FortiGate-60
FortiGate-60有4個用于局域網的標準10/100Base-T端口、兩個WAN端口和一個DMZ端口,其優缺點之間形成了鮮明的對照。在我們測試的設備中,雖然ZyWall含有用于撥號備份的串行端口,但是FortiGate-60是惟一帶有USB端口的產品,這個端口為USB調制解調器備份而設。
