| 出版日期:2003-04-14 总期号:1206 本年期号:25 |
|
 |
安全接入宽带网
Cybertrend SSR-8104宽带防火墙路由器测试报告 张建国 提到共享宽带上网,大家首先想到的是代理服务器方式,而Cybertrend SSR-8104宽带防火墙路由器, 内置防火墙主动侦测技术,能防范DoS攻击; 同时具备标准IPSec的网络安全,支持IPSec Server/Client模式, 为中小企业共享宽带上网提供了一种新颖的解决方案。 Cybertrend SSR-8104是汉铨电子通讯(上海)有限公司出品的一款宽带防火墙路由器,是该公司宽带路由器产品家族重要成员之一。Cybertrend SSR-8104外观小巧,配备了4个10M/100Mbps以太网口和1个10M/100Mbps WAN口,前面板上配备了端口状态、电源、诊断等指示灯,方便用户随时掌握路由器工作状况。 和普通宽带路由器有所不同,Cybertrend SSR-8104融合了以太网技术和防火墙引擎,兼备IP路由和交换双重功能,其内置的四口以太网交换机可以级联交换机或Hub以扩展端口,最大支持253个IP地址,即允许253个局域网用户同时上网。WAN接口支持通过ADSL/Cable Modem等宽带方式接入Internet。 操作变易功能变多 Cybertrend SSR-8104支持基于Web的管理方式,通过常用的网络浏览器,如Netscape Communicator 6.0或更新版本及Internet Explorer 5.0或更新版本,可以方便地进入SSR-8104的管理界面,对其进行配置和管理。SSR-8104提供直观友好的中文Web管理界面,使用者无需高深的专业知识,即可轻松设定包括IP地址、防火墙、路由、DNS等选项和参数。 针对当前用户对网络安全、网络管理和维护越来越高的要求,Cybertrend SSR-8104提供了高级防火墙保护、NAT、DHCP、日志记录和状态监控等主要功能,使企业用户在共享网络资源的同时,网络安全也可以得到有效保障。 提供高级防火墙保护 Cybertrend SSR-8104内置硬件防火墙,采用包过滤和状态包检测(SPI)技术,可以抵御来自Internet的DoS攻击,并过滤掉网页上的Cookies、Java、Java Script及ActiveX等恶意代码,以阻断在浏览网页时非法入侵的信息包。SSR-8104的高级防火墙保护功能允许管理员制定网络规则或限定特定行为,包括Web过滤、URL地址阻断、时间过滤等实用功能。 支持DMZ功能 一般防火墙都具有专门的DMZ(非军事区)口,SSR-8104虽没有提供DMZ口,但同样拥有DMZ功能。DMZ主机位于内部,开放DMZ主机意味着允许某个局域网PC和其它的因特网用户或服务器进行无限制的双向沟通。这种功能适合于那些专用客户软件或需双向沟通服务的用户,例如视频会议和网络游戏。 
Cybertrend SSR-8104的典型组网示意图 支持网络存储 Cybertrend SSR-8104提供网络存取控制功能,这一功能类似于防火墙中设置的安全规则,它允许管理员为了限制或允许特定的网络用户访问因特网或特殊申请而建立访问控制策略。此项功能支持基于MAC地址、源IP地址、协议类型、源端口和目的端口的访问控制策略。 支持NAT技术 Cybertrend SSR-8104支持NAT技术。NAT是一种把网络内部IP地址映射成Internet合法IP地址的技术。当网络内部分配了私有IP地址而不能直接访问Internet时,NAT可以把局域网内部的IP地址翻译成外部的合法IP地址以实现Internet共享接入。采用NAT可以屏蔽内部网络拓扑结构,所有内部网主机对于公共网络来说是不可见的,因此提高了内部网络的安全性。 支持DHCP Cybertrend SSR-8104支持DHCP(动态主机配置协议),方便用户配置IP地址。SSR-8104在被配置成DHCP 服务器后,可以为局域网中接入的每台PC自动分配一个 IP 地址,而它本身作为DHCP Client,又可以使广域网端口动态地获得由ISP分配的IP地址。SSR-8104最大可以分配253个IP地址(范围从2到254),这对于用户数量不是很多的中小企业应该说足够了。 支持状态监视 Cybertrend SSR-8104提供了状态即时监控和日志记录功能,并附赠LogViewer软件,可以随时了解路由器工作状况。监视项目包括登录信息、IP地址设置、DNS服务器地址以及DHCP使用状态等。SSR-8104内建日志记录系统,允许管理员跟踪所有的网络连接信息,并可将日志报告发送到指定的局域网内的主机上。测试时,我们在IP地址栏中设定192.168.1.255,由于这是一个广播地址,因此192.168.1.0网段上的所有主机都收到了日志报告。 产品性能具体测试 在性能测试中,我们主要测试了SSR-8104 LAN到WAN方向包转发吞吐量、延迟、包率和背对背缓冲能力4项指标。测试帧长选择RFC 2544建议的7种,分别为64、128、256、512、1024、1280和1518Byte。LAN和WAN端口均设为百兆全双工,针对7种不同的以太网帧长,分别测试SSR-8104的单向转发性能。 测试平台采用思博伦通信(Spirent Communications)公司的SmartBits 6000B以及SmartApplications 2.50测试软件,测试线缆采用IBDN 6类双绞线。SmartBits是业界认可的网络性能测试/分析系统。 吞吐量 吞吐量一般作为考察网络设备性能的首要指标。吞吐量越大,说明被测设备处理数据包的能力越强。为了满足各种应用环境,特别是像图文发送和视频会议系统等高吞吐量场合对网络带宽的较高要求,宽带路由器应该具备较高的吞吐能力。 本次测试中,我们的测试时间采用120秒,这对被测路由器是很大的考验。SSR-8104经受住了考验,测试过程中没有出现死机,并且吞吐量表现较好,对于短帧如64Byte,吞吐量达到线速的3.25%;而1518Byte帧时,吞吐量达到线速的45.60%。具体测试结果见表1。
延迟 延迟也是考察路由器的重要性能指标之一。延迟越小,说明路由器处理数据包的速度越快。 测试结果表明,Cybertrend SSR-8104转发延迟较小,最大延迟低于550μs,可以满足那些要求高负荷、低延迟的应用场合的需求。具体测试结果见表2。
丢包率 丢包率是指路由器在稳定的负载下,应转发而没有转发的包占全部包的百分比。该项指标可以用来考察路由器在过载情况下的承受能力。测试速率采用严格的100%线速。 实际测试表明,Cybertrend SSR-8104在转发较小时,出现了较多丢包,随着包长增大,丢包率逐渐降低。考虑到我们所用的测试条件相当苛刻,这样的结果还是令人满意的。具体测试结果见表3。
背对背帧 背对背(Back-to-back)帧指的是固定长度的数据帧以合法的最小帧间隔在传输媒介上突发一段较短的时间(以太网标准规定最小帧间隔为96bits),一般以帧数多少来表示。具体测试结果见表4。
Cybertrend SSR-8104作为一款宽带防火墙路由器,功能全面,性能表现较好,可以满足日益增长的宽带网络多业务应用的需求;同时,它所提供的高级防火墙保护功能和基于Web的管理,为网络接入端用户提供了良好的安全性和网络管理功能,并且支持免费固件(Firmware)升级,为用户快速建立简单、高效和安全的宽带网络创造了条件,适合于SOHO用户和中小企业接入Internet时使用。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
