艾泰3310NB高速宽带路由网关使用报告

　　优点

　　l 功能丰富实用，配置简单

　　l 有效防止ARP欺骗

　　l 优异的流量控制功能

　　l 强大的管理和监控功能

　　价格

　　l HiPER 3310NB报价:3800元

　　概述

　　上海艾泰科技有限公司是一家专业为中小型网络用户提供互联网接入、安全及管理解决方案的高科技企业。成立于2000年4月，由中国最早一批从事互联建设事业的年轻人创立，其核心团队参与建设中国近一半省份的互联网接入工程，并于2003年6月通过ISO9001:2000版质量体系认证。是国家重点扶持的高新技术企业和软件企业，中国宽带路由网关的领导厂商。

　　目前，艾泰科技主要研发生产HiPER系列宽带路由网关和VPN网关两大类产品。值得一提的是，为兼顾初学者和专业工程师的使用，HiPER系列产品都支持WEB和命令行两种管理界面，将简单与专业完美地结合在一起。

　　HiPER 3000系列智能高速宽带路由网关专为大中型网吧、运营商、企业等商业机构设计，早期包括HiPER 3300NB、HiPER 3300NBs两款产品，在使用中得到了用户的广泛认可和好评，口碑极佳。随着应用的不断增多，用户对吞吐量、稳定性等性能的要求不断提高，艾泰科技近期又隆重推出了HiPER 3320NB、HiPER 3310NB这两款新品。HiPER 3310NB作为HiPER 3300NBs的升级产品，在价格相当的前提下，吞吐量更高、处理能力大为加强，功能更丰富，性价比无疑提高了不少。HiPER 3320NB与HiPER 3300NB的关系类似。

图1 HiPER 3310NB智能高速宽带路由网关

　　我们本次测试的是HiPER 3310NB智能高速宽带路由网关，它专为大中型网吧、运营商、企业等商业机构设计。它使用业界领先的网络操作系统ReOS，结合高性能的处理器，软硬结合，成就了高吞吐量的特色。

　　HiPER 3310NB集智能NAT、流量控制、内置防火墙、包过滤、应用层过滤、网络监控等功能为一体，是高负载网络的理想选择。在下述章节我们将详细介绍它们。

　　主要功能

　　l 为高负载网络设计

　　HiPER 3310NB的吞吐量最高可达200M，可以满足大型网吧等企业的绝大部分应用，也可为运营商的以太网接入提供高负载的支持。高转发低时延为增加用户数量提供了强有力的保障。

　　l 多样化的线路接入方式

　　支持DSL、FTTX+LAN、Cable Modem等多种宽带接入方式，特别适合直接连接光纤线路。

　　采用PPPoE拨号上网方式下，支持按需拨号、自动拨号和手动拨号三种PPPoE连接方式;支持LQM链路质量监控功能;而且，还允许管理员控制拨号连接的开始时间和结束时间，从而防止忘记断线而浪费上网时间。

　　在运营商对MAC地址有要求的情况下，支持MAC地址修改与克隆功能。

　　线路配置页面如图2所示。

图2 线路配置界面

　　l 智能NAT

　　HiPER 3310NB能实现PAT、NAT及路由的多种组合，完全满足各种复杂的网络地址规划。具备NAT Re-routing功能，支持反向NAT，可设置多个局域网内部服务器及DMZ主机，从而向外提供WWW、Telnet、FTP、Mail等服务。此外，系统还提供NAT ALG功能，支持多种应用协议，如ICMP、FTP、GRE、PPTP以及ESP等。

　　HiPER 3310NB中，还可以限制每个用户能够建立的最大NAT会话数，从而避免某台主机占用过资源，影响其他用户应用，同时还可以有效防止TCP扫描等病毒攻击。

　　NAT全局配置和NAT规则配置相关界面如图3所示。

图3 NAT全局配置和NAT规则配置界面

　　l 流量控制

　　HiPER 3310NB提供基于CBQ(Class-Based Queuing)算法的IP QoS功能，另外还提供基于CBT(Credit-Based Traffic)算法的流量控制功能。这两种流量控制功能都能有效控制内网用户的实际使用带宽，有助于提高带宽利用率、控制网络拥塞，避免少数用户上下载大型文件时可能会导致的网络速度急剧下降。不过，它们的工作机制完全不同，作用也有一定差异，用户可以根据实际情况灵活配置。

　　CBQ算法的特点是首先根据IP地址、协议、端口等信息对数据流进行分类，然后针对不同类别的数据流进行带宽控制。CBQ流量控制功能可实现为指定主机或服务预留带宽、限制最高带宽，也能实现平均分配带宽，特别适合语音视频和数据混合的网络。

　　CBQ配置界面如下图4所示。

图4 CBQ配置界面

　　CBT(Credit-Based Traffic)算法可有效提高带宽利用率和限制P2P等海量下载软件的使用:对于正常上网的内网主机，HiPER将允许它偶然突破最大限速;相反，对于长期使用P2P等软件的内网主机，HiPER将会减小它的带宽，使其对其他主机的影响降到最低。

　　CBT配置界面如下图5所示。

图5 CBT配置界面

　　l 防火墙功能

　　HiPER 3310NB提供内网和外网的防火墙功能，防火墙策略可以实施到任何一个接口上。可防止入侵，防止DoS和DDoS攻击;可判别蠕虫病毒攻击，防止端口扫描、SYN攻击、ICMP Flooding等。

　　HiPER 3310NB中，可以灵活地对内网用户进行分组，根据不同的用户组设定上网权限。它实现了基于IP地址、协议、端口和MAC地址的包过滤，基于站点、URL和关键字的应用层过滤，还可按时间段进行过滤。基于上述过滤技术实现的业务管理功能，允许设置多种类型的业务策略，不仅可以实现对工作组用户上网权限、上网时段的控制和管理，还能够保护内部网络免遭外来攻击。

　　业务策略配置界面如图6所示。

图6 业务管理配置界面

　　l 用户管理功能

　　HiPER 3310NB支持IP/MAC地址绑定，实现过滤非法IP地址或MAC地址、防止IP地址盗用，是避免IP地址假冒攻击的一种方式。同时，允许设置上网黑名单和白名单，可以大大提高过滤数据包的效率，从而有效地屏蔽非法用户发送来的数据包。

　　通过在内网主机和HiPER 3310NB上进行双向IP/MAC地址绑定，可以有效防御ARP欺骗攻击。方法很简单:

　　首先，将局域网每台主机的IP/MAC地址对都添加到“IP/MAC绑定信息列表”中。可以手工输入各主机相关信息;也可通过ARP表自动添加。

　　然后，在局域网每台主机中都添加HiPER的IP/MAC地址对:单击“导出ARP绑定脚本文件”超链接，即可下载到本地主机。运行该文件并重启主机，可将HiPER的LAN口ARP信息添加到主机中。

　　值得一提的是，系统最多允许设置的IP/MAC绑定用户的数量远远超过同类产品，并且，该功能的启用不会影响转发能力。相关配置界面如图7、图8所示。

图7 IP/MAC配置界面

图8 IP/MAC绑定列表

　　l DHCP功能

　　HiPER 3310NB提供完善强大的DHCP功能，所有端口都可支持DHCP服务器、DHCP 客户端或DHCP 中继。DHCP 服务器支持DHCP手工地址绑定、允许设置多个不同地址段的地址池，并提供灵活、充分的地址分配策略，可作为分配依据的参数包括:远程标识、DHCP中继标识、DHCP中继地址、客户端标识以及MAC地址等。DHCP服务器与DHCP中继结合起来使用，完全能够满足用户的各种需要。

　　DHCP手工绑定配置界面如图9所示，DHCP中继配置界面如图10所示。

图9 DHCP手工绑定配置界面

图10 DHCP中继配置界面

　　l 端口镜像

　　HiPER 3310NB提供端口镜像功能，为网吧110等监控软件提供接口，供监管部门或者网管人员进行流量监控、性能分析和故障诊断。由于端口镜像功能完全由硬件提供，因此不会影响系统的性能、速度以及各个应用功能。如果选择HiPER 3310NB作为宽带接入设备，用户将不再需要通过额外购买并使用HUB或带端口镜像功能的网管交换机就可进行实时监控，这样，不仅使用方便，同时也为用户节约了资金。

　　端口镜像功能的配置非常简单，只需一条命令(CLI中)或一个操作(WEB UI中)即可启用该功能。WEB UI中，配置界面如图11所示。

图11 端口镜像配置界面

　　l 基于端口的VLAN功能

　　HiPER 3310NB支持基于端口的虚拟局域网(VLAN)功能，不同的VLAN之间实现物理隔离，一个VLAN内部的单播、广播和多播包都不会转发到其他VLAN中，从而有助于控制流量、简化网络管理、加强网络安全性。例如，当公司使用同一条线路上网，但要求财务部门需要和其他各部门隔离时，就可以使用VLAN功能。

　　VLAN的配置非常简单，如下图12所示，通过将LAN口的各个端口设置不同的组号，相同组号的端口即构成一个VLAN。

图12 VLAN配置界面

　　l 策略库导入功能

　　HiPER 3310NB支持策略库的导入功能，实现一次性配置一组路由或业务策略，不仅可以大大简化配置步骤，还可以避免配置错误。

　　l 管理功能

　　HiPER 3310NB提供友好的全中文WEB界面，直观易用、功能丰富，快速向导可帮助用户在短时间内完成初始配置;同时还提供传统的CLI界面，功能更丰富，支持Console、Telnet等多种管理方式;并且，两种方式下均支持通过Internet进行简便、安全的远程管理。

　　HiPER 3310NB提供标准的SNMP接口，可供远程SNMP服务器管理;提供系统日志功能，可通过远程SYSLOG服务器记录。

　　这些功能可以为系统维护工程师在远程维护用户的网络提供极大的便利，减少从办公室到用户现场的时间，提高效率和节约成本。

　　l 网络监控

　　在HiPER 3310NB中，提供用户统计、NAT统计、DHCP统计、接口统计、路由状态信息、系统资源状态、系统告警信息、系统异常信息、上网监控等各种系统状态及统计信息页面。

　　基于上述页面，HiPER 3310NB实现了很强的网络监控功能，网络管理员可以动态监控和管理局域网内的流量和用户，可查看单个用户和整个网络使用的带宽，便于查找故障，特别是能够实时发现网络异常及异常主机，如感染病毒或发起攻击的主机。

　　在接口统计页面，如图13所示，实时统计了各个网络接口的收发的数据，包括数据包的数量及字节数、平均速率等信息。根据相关结果，网络管理员可以分析网络带宽的使用情况，例如WAN口的上行和下行的带宽利用率。

图13 接口统计界面

　　在用户统计页面，如图14所示，管理员可以实时地查看各个用户的上网状况。例如:

　　ü 发现下载量最大的用户:查询“接收数据包”，该值越大，就表示下载数据包数量越多，该数值最大的用户就是局域网中通过Internet下载量最大的用户;

　　ü 发现上传量最大的用户:查询“发送数据包”，该值越大，就表示上传数据包数量越多，该数值最大的用户就是局域网中通过Internet上传量最大的用户;

　　ü 发现可能感染病毒的主机:查询“广播包/发送包”，如果某主机运行一段时间后(运行20分钟或上网10分钟后)，该值远大于10%，那么它可能感染病毒。

图14 用户统计界面

　　在NAT统计页面，如图15所示，可以查询以下信息:

　　ü 发现下载量最大的用户:查询“下载数据包/总数”，该百分比值越大，就表示下载数据包数量越多，该数值最大的用户就是局域网中通过Internet下载量最大的用户;

　　ü 发现上传数据量最大的用户:查询“上传数据包/总数”，该百分比值越大，就表示上传数据包数量越多，该数值最大的用户就是局域网中通过Internet上传量最大的用户;

　　ü 发现当前上网最活跃的用户:查询“当前连接数/总数”，该百分比值越大，就表示用户上网越活跃，该数值最大的用户就是局域网中当前上网最活跃的用户;

　　ü 发现可能使用端口扫描软件的用户:查询“超限次数”，该值大于100时，该用户很可能正在使用端口扫描软件。或者查询“上传数据包”与“下载数据包”，当“上传数据包”远远大于“下载数据包”时，该用户也很可能正在使用端口扫描软件;

　　ü 发现可能使用DoS/DDoS攻击HiPER的用户:查询“上传数据包”与“下载数据包”，当“上传数据包”很大、“下载数据包”很小或者为0时，该用户很可能在进行DoS/DDoS攻击。

图15 NAT统计界面

　　在上网监控页面，如图16所示，可以根据需要，选择不同的查询条件，查询内网用户当前上网情况，即当前NAT会话信息。

　　ü 如果要查询内网用户的全部上网信息，则选择“全部记录”;

　　ü 如果要查询使用某条线路上网的相关信息，则选择该线路的“线路名称”;

　　ü 如果要查询某个用户的上网信息，则选择“内网地址”，并填写该用户的IP地址;

　　ü 如果要查询内网用户访问某个网站的上网信息，则选择“外网地址/域名”，并填写该网站的IP地址或者域名;

　　ü 如果要查询内网用户使用某种Internet服务的上网信息，则选择“外网端口”，并填写该服务的端口号;

　　ü 在使用多地址接入线路时，如果需查询使用某个NAT地址上网的相关信息，则选择“NAT地址/域名”，并填写该IP地址。

图16 上网监控查询界面

　　在查询结果列表中，如图17所示，记录了与各NAT会话对应的内网地址/端口、协议、外网地址/端口、上传包/下载包数量、NAT地址/端口等信息。

图17 上网监控查询结果列表

　　限于篇幅，其他功能就不再一一详细描述了。

　　典型应用

　　通常情况下，HiPER 3310NB可以应用于以下场合:

　　ü 大中型网吧接入

　　ü 小区以太网接入

　　ü 语音视频和数据混合网络的接入

　　如图18所示，给出了网吧使用单线路接入的典型应用方案。

图18 网吧单线路接入方案

　　性能测试

　　我们使用业内测试标准工具思博伦通信公司smartbits 200对HiPER 3310NB进行了纯路由转发能力和NAT转发能力测试。

　　在单纯路由环境下，我们测试了LAN接口与WAN接口之间的100M单向转发以及双向转发能力，测试结果如图19、如图20所示。在NAT环境下，我们测试了从LAN接口到WAN接口的100M单向转发能力，测试结果如图21所示。

图19 HiPER 3310NB吞吐量与理论值比较——路由单向转发

　　对如图19所示提供的测试结果分析如下:在单纯路由环境中，HiPER 3310NB在处理128字节包长的数据包时即可实现100M单向线速转发，而在处理64字节小包时吞吐量也高达85KPPS，相当于57Mbps的吞吐量，这个性能远远超过业内使用同类型CPU的路由器。

图20 HiPER 3310NB吞吐量与理论值比较——路由双向转发

　　对如图20所示提供的测试结果分析如下:在单纯路由环境中，HiPER 3310NB在处理256字节包长的数据包时已经接近100M双向线速转发，而在处理512字节包长的数据包时即可实现100M双向线速转发。

图21 HiPER 3310NB吞吐量与理论值比较——NAT单向转发

　　对如图21所示提供的测试结果分析如下:在启用NAT之后，HiPER 3310NB在处理128字节包长的数据包时即可实现100M单向线速转发;而在处理64字节小包时，吞吐量甚至要比纯路由单向转发时更高。

　　值得一提的是，对于国内的众多宽带接入用户来说，NAT功能是缺一不可的，路由器在启用NAT功能后的转发性能也就至关重要。为此，艾泰科技研发人员专门对NAT模块进行了特别的优化设计，使得HiPER 3310NB的NAT转发比单纯路由转发效率更高。而对于传统路由器来说，启用NAT功能之后，转发效率比单纯路由转发效率下降很多，例如Cisco系列25/26或者第二代路由器18/28/38，在启用NAT以后，转发能力要比单纯路由转发下降25%以上。

　　综合评述

　　HiPER 3310NB是一款功能强大的宽带接入设备，与其它品牌同档次产品相比，它无疑具有优异的性价比。相对于目前的宽带应用，它无疑具备了领先的吞吐能力和丰富的应用功能。HiPER 3310NB不仅能适应现在的网络，而且，它的超前的设计使得用户在未来带宽扩展的情况下不用更换硬件，很好地保护了用户的投资。