—5款双WAN路由器揭密
用户现在可以使用多种WAN连接方式(DSL、有线电视网、卫星等)。由于小企业希望Internet访问带宽有冗余,以提高访问速度,所以一些公司生产了双WAN路由器,以把两种宽带连接方式组合在一起使用。既然这么多家庭和企业现在都有数兆比特相当便宜的带宽可用,那么双WAN路由器市场看来已经具备了发展的条件。
最近,美国《网络世界》评测实验室测试了5款双WAN路由器,分别是Zyxel通信公司的ZyWall 70、SonicWall公司的TZ 170、Xincom公司的XC-DPG602、Hawking技术公司的H2WR54G和Fortinet公司的FortiGate-60,测试的重点是这些产品控制WAN连接的能力以及其他一些功能。
在这个测试中,SonicWall公司的TZ 170被选为最受欢迎的产品,因为它有良好的安全性、配置选项和附加功能(有些需要额外付费)。Hawking公司的产品会满足需要低价产品的用户的需求,其产品支持无线功能。Zyxel公司的ZyWall 70以微弱差距名列SonicWall之后,位居第二。
很多路由器都支持:
● 出网负载均衡;
● 入网负载均衡(低端产品仅支持出网负载均衡);
● QoS;
● VPN;
● 非军事区(DMZ);
● 对内容(入网和出网)和电子邮件(至少对入网的电子邮件)进行病毒过滤;
● 入侵检测;
● Web内容过滤。
不同的路由器,CPU速度和RAM容量是不同的,通常同时支持的VPN连接数反映了这种差异。因为所有这些系统的连接数最少都达到了数千条,所以中等规模的网络不应该感到性能受限。不过,所支持的VPN会话数常常受到服务器的限制,因此仍然要仔细检查网络是否需要支持很多VPN客户。
在需要把两个相同的高速WAN连接组合在一起(如把两个有线电视调制解调器链路组合在一起)时,这些路由器所具有的入网负载均衡功能很有用。因为有线电视网的下行速率为1.5M~3Mbps,DSL链路则低于512Kbps,所以混合这样两种连接对速率不会有什么明显的改善,而且如果配置错误,还可能降低访问速率。不过,仍然可以借助这样的混合连接实现Internet访问的带宽冗余。
使用每个双WAN系统都要注意的是:必须能够把发出去的所有SMTP信息流路由到合适的WAN链路上。大多数ISP拒绝所有不是从自己的网络起始的邮件,所以把发出的电子邮件路由到错误的WAN链路会引起差错。使用连接到DMZ的内部电子邮件服务器,或者通过Web托管服务而不是ISP发送电子邮件,可以消除这一问题。
1 SonicWall TZ 170
在测试期间,SonicWall TZ 170的一些开发人员用新版固件给该产品增加了对进入信息流负载均衡的支持,填补了TZ 170在功能上的主要空白。但是用户必须购买功能增强的操作系统,才能使TZ 170支持双WAN连接。同样的小型塑料外壳支持TZ 170的所有排列方式,因此从外观上看不出TZ 170所支持的功能。
安装和配置花了一些时间。与我们测试的其他产品不同,TZ 170在默认状态下不启用动态主机配置协议(DHCP)服务器。用户必须改变计算机地址,以与TZ 170的默认IP网络设置值相匹配,然后用其简单易用的向导配置DHCP地址范围和其他初始化设置值。但是重新启动并经过一番苦思冥想后,我们发现,设置DHCP范围时DHCP服务器并未同时启用,我们必须手动开启该服务器。9页长的快速启用指南印满了密密麻麻的文字,有点与“快速”背道而驰。该公司的技术支持联系人也承认,DHCP配置的设计方案不好,但未做进一步解释。
因为只有所测试的增强版TZ 170支持双WAN,所以该产品上没有WAN2插头(用软件增加这项功能)。采用可选以太网连接器WAN2不成问题,因为该产品上的所有5个10/100Base-T以太网端口都能为使用DMZ而进行配置。SonicWall基于Web的实用管理程序在显示屏左边提供层叠式菜单,但是右边没有选项卡。取而代之的是,多个命令图标弹出新的更小的窗口,用于选择配置值或提供说明。这个叙述过程有点罗嗦,而实际菜单看起来要简单些,因为很容易就能深入到更详细的菜单层次。在多个向导的引导下,可以完成VPN设置、公共服务器(DMZ)访问和初始设置这些繁杂的工作。
SonicWall产品好的方面是:在防火墙配置上具有极大的灵活性。而不好的方面则是: 对大多数小企业用户而言,内容太多,学不过来,也处理不过来,这些用户会需要转卖商的帮助。TZ 170在下拉菜单中配置的服务有140项。SonicWall使用网络分区,其中包括几屏描述各分区关系(例如WAN至LAN)的内容以及适用特定连接的路由或网络地址变换规则。你甚至可能有5个不同的用户类别,代表从每个人到权力受限的管理员等各种类型的用户,而在一个规则中可能包含任一类别。如果没有外界帮助,中小型企业几乎无法完成配置。
TZ 170对双WAN连接处理得很好。与我们测试的所有其他产品都不同,当我们断开有线电视调制解调器并迫使TZ 170切换到DSL连接时,该设备仍能接着传输流式音频文件。而当我们重新连接到有线电视调制解调器时,它还能切换到更快的服务上,而且仍然不存在中断。
安全性选项很多,但是要仔细订购。例如,你可以购买网络防病毒软件和服务器防病毒软件,但是你不能用电子邮件防病毒过滤。节点/用户数是根据网络上有效的IP地址数而不是路由器上共存的用户数来计算的,因此你需要的许可证数也许比你想像的多。
尽管购买合适的选项以及弄清楚DHCP有点烦人,但是SonicWall提供大量预定义的防火墙设置参数和选项,其失效转移可保持流式音频的连续性。
2 Zyxel ZyWall 70
ZyWall 70被Zyxel称为保证安全的专用设备,以强调其具有路由之外的一些功能,Zyxel有11个这样的路由器,都被称为专用设备或网关。安装过程涉及启动客户程序以接受ZyWall 70设备发出的IP地址信息,从而开始配置工作。屏幕显示条理清晰,布局合理,在左下角有一个菜单,选项卡清晰地显示在有效页上。电子版手册长达713页,但是其中有数百页内容讲述的是控制台连接和老式终端的命令接口以及命令语法。
你可以建立一个DMZ,但是没有独立的以太网端口供这个DMZ使用。IP地址分隔每个DMZ系统的信息流。建立DMZ并分隔了DMZ系统的信息流后,要一直特别重视某个特定的端口,以避免混淆并限制一些烦琐的、针对端口的配置工作。默认信息流规则允许DMZ和WAN之间的信息流双向流动,但是仅允许从LAN送出的信息流进入DMZ。从DMZ到LAN的信息流会被阻塞,除非增加了允许信息流在这个方向上流动的规则,而这是我们意料之中的安全性配置。
管理ZyWall 70很简单,因为它的Web管理应用程序接口非常清晰明了。只要点击一下鼠标,其主页就显示出所有类型连接(LAN、WAN、WLAN和DMZ)的状态、统计数字、DHCP表或VPN状态。
安全控制包括防火墙、证书控制(信任的证书机构和信任的远程主机)、Radius支持和完整的内容过滤选项。这个防火墙采用免受拒绝服务式攻击的信息包检测方法,该方法具有丰富的状态参数。防火墙规则很容易建立,页面上有一些复选框,还有为方便控制而预定义的44种服务,也有面向防火墙规则的日历控制功能,提供相当完整和可用的安全性控制。
ZyWall 70容许规定WAN1端口用于所有发出的SMTP信息流,但是需要使用常规管理接口之外的控制台命令。
带宽管理包括定义类别和为某些类别提供额外带宽,如VoIP或视频。让基于优先权的调度程序为已配置的服务分配额外的带宽,如VoIP,而基于公平原则的调度程序则尽力保持各服务类别之间的负载均衡,而且可以通过鼠标点击轻易进行调整。用这种方法也很容易配置对称或非对称WAN链路。
ZyWall 70容易安装,端口具有极大的灵活性,有4个DMZ端口,还有大量防火墙细节信息,支持可选无线PC卡。但是让SMTP等信息流进入特定的WAN端口需要Telnet协议之上的控制台命令。
3 Xincom XC-DPG602
XC-DPG602所属的双WAN路由器系列共有5款产品,XC-DPG602是其中的第4款,它缺乏VPN支持,但是具有入网负载均衡功能(与603一样,但是没有603的其他功能)。Xincom双WAN系列从其低端的402扩展而来,其中还包括502、503和603。
快速启用指南涵盖了所有必需的细节信息,该产品的用户手册条理清晰,对一个复杂的路由器来说算是很短的(50页)。该路由器仅支持微软的IE浏览器(指南中并未提及),但是DHCP服务器工作正常,而且它快速准确地从有线电视调制解调器那里获得了详细的网络设置信息。实际上,该设备的复位和重新启动速度比我们测试过的任何产品都快。
两个WAN端口的配置说明都出现在实用管理程序的同一页上(两个配置说明挨着),这是一种很好的做法。这些WAN端口可以配置成备份端口或具有负载均衡功能的端口,而负载均衡则有自己的配置页。你可以按照字节、信息包或所建立的会话设定负载均衡数值,然后在WAN1上设定所承载负载量的百分数。我们把有线电视调制解调器放在WAN1上,设定它承载90%的负载量。当我们拔下有线电视调制解调器时,流式音乐几乎总是持续地传输,在DSL链路上音乐一拍也没丢。不幸的是,当断开DSL链路时,Xincom的产品不是总能复位DSL连接,因此我们必须以手动方式重新建立连接。
用该设备上4个10/100Base-T以太网端口中的一个或几个端口,可以建立多个DMZ(没有专用的DMZ端口)。没有一种简单方便的方法来过滤从LAN到DMZ或反过来流动的信息流,但是单个DMZ会话链路可以通过“高级设置(Advanced Setup)”页来控制。“高级设置”菜单中还包括一些“高级功能(Advanced Features)”,其中有一个有用的复选框,可以把SMTP信息流与两个WAN端口之一捆绑在一起,确保发出去的电子邮件流经合适的网络。
该产品还包含一个具有SPI的防火墙,可以轻易阻塞不同的服务端口,但是下拉菜单仅提供6种类型的服务,相比之下,SonicWall设备的服务类型要多得多。要阻塞或打开防火墙中的端口,需要手工填写一些表格。
QoS支持在管理上没有很大的灵活性,但是除了Hawking的产品,其他所有产品都包含这一功能。你可以在线观看数据转储系统日志,但是Xincom路由器有配置3个不同系统日志服务器的余地,可为用户完成语法分析任务。
可在一些显示页上看到WAN状态和信息流总量,但是信息更新需要点击按钮来实现。
由于这个设备具有易于安装的特点和条理清晰的管理接口以及良好的WAN失效转移功能,因此几乎抵消了安全性和防火墙设置项有限以及设置过程不具有直觉性的缺点。奇怪的是,这是惟一要求用IE而回避使用Mozilla的设备。
4 Hawking H2WR54G
Hawking公司的H2WR54G体积不大。这个路由器不仅支持双WAN链路,还具有一个802.11g WLAN模块以及基本的防火墙安全性。H2WR54G是Hawking公司销售的3款双WAN路由器中价格最高的一个,但是在我们这次测试的产品中是最便宜的。
这款路由器缺点不少:快速安装指南(25页,像口袋书那么大,字体很小)上说,“在安装期间我们必须提供时间服务器的IP地址”,然后该指南建议我们在Web上查找时间服务器。但是直到在设置显示页上填入时间服务器IP地址以后,我们才有了到Internet的路由器。在我们见过的设置指南中,这是最进退两难的情况了。我们插入了另一个路由器,并针对一个有效的IP地址核对了它的时间服务器设置,但是我们不知道一般的小公司能否处理这种混乱局面。通过让该设备的IP地址在Internet上可见,4个10/100Base-T以太网端口的任一端口都可以用于DMZ。它没有QoS支持。
该设备通过选择PC的IP地址和选择所显示的16个标准服务中的一个或多个服务,都能建立防火墙规则; 无法阻塞所有用户使用MSN Messenger等应用程序,仅能阻塞单个设备。这种级别的保护适合家庭用户或很小型的企业用户,但不适合对安全性非常重视的用户。不过至少该防火墙是默认启动的。它不支持企业身份验证,如Radius,甚或LDAP。
可通过浏览器进行最低限度的管理,屏幕左边的菜单上有模板,但是所有菜单页都不够详细。只有两个选项卡,一个是系统选项卡,另一个是安全性选项卡,但是未提供语法分析或说明,也无法像我们测试的其他设备那样通过电子邮件发送日志或向系统日志服务器发送日志。一个有很多插图的电子版手册只有不到100页。
当我们试图把发出的电子邮件转到使用有线电视调制解调器的WAN1链路时,发现了第二个缺点。我们弄不清在管理显示页的什么地方配置SMTP路由,所以我们给该公司的技术支持人员发送了一封电子邮件。虽然他们在第二天早上回复了我们的邮件,但是却告诉我们,无法向WAN链路路由SMTP信息流。这看起来很奇怪,因为目标用户似乎是入门级的家庭用户、家庭办公室和小企业,他们最有可能依靠服务提供商的电子邮件来解决问题。这个路由器的用户必须有自己的电子邮件服务器,或者能够通过托管服务发出邮件,因为如果两个WAN端口都处于使用状态时,就不能可靠地发送电子邮件。
尽管流式音频会话需要重新启动,但是WAN失效转移和重新连接都可以实现。在设置为备份而不是负载均衡状态时,从有线电视调制解调器切换到DSL链路的时间大约为20秒。可以开启负载均衡功能,但是惟一的控制选项是一个基于数据传送会话的百分数。
该产品功能丰富但却缺少详细说明,价格较低,应该受到小企业的欢迎,但是最低限度的安全性设置和管理控制会限制它的用途。
5 Fortinet FortiGate-60
FortiGate-60有4个用于局域网的标准10/100Base-T端口、两个WAN端口和一个DMZ端口,其优缺点之间形成了鲜明的对照。在我们测试的设备中,虽然ZyWall含有用于拨号备份的串行端口,但是FortiGate-60是惟一带有USB端口的产品,这个端口为USB调制解调器备份而设。
