淺析HiPER寬帶安全網(wǎng)關(guān)的七大差異(圖)

2019-11-04 23:50:42

字體：大中小

供稿：網(wǎng)友

　　寬帶用戶的高速增長(zhǎng)引發(fā)了寬帶接入產(chǎn)品的發(fā)展，市面上出現(xiàn)了很多供中小企業(yè)使用寬帶接入設(shè)備，如寬帶路由器，安全網(wǎng)關(guān)等，有些很貴到幾萬(wàn)元，有些很便宜，甚至到100多元，那么這些接入設(shè)備有什么區(qū)別呢？比如我們?nèi)ベI(mǎi)冰淇淋，我們可以去吃一根幾塊錢(qián)的蒙牛，也可以去吃上百元的哈根達(dá)斯，都是冰淇淋，區(qū)別在哪兒？寬帶接入設(shè)備也是一樣，多種多樣，HipER的寬帶安全網(wǎng)關(guān)和其他寬帶路由器有什么區(qū)別呢？
　　
　　在解釋這些區(qū)別之前，我們要提一下ReOS。ReOS是上海艾泰科技實(shí)現(xiàn)的適合接入設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)。ReOS對(duì)于HiPER系列寬帶安全網(wǎng)關(guān)，就如Cisco的IOS對(duì)于Cisco的路由器，ReOS是一個(gè)運(yùn)行在HiPER系列硬件設(shè)備上的網(wǎng)絡(luò)操作系統(tǒng)。是HiPER系列寬帶安全網(wǎng)關(guān)的核心。HiPER安全網(wǎng)關(guān)和普通寬帶路由器的具體區(qū)別表現(xiàn)在以下7個(gè)方面。
　　
　　區(qū)別一：相同CPU時(shí)的性能
　　
　　一般而言，市面上的寬帶路由器都是用有限的幾家ARM/MIPS系列CPU外加以太網(wǎng)控制芯片的方案，硬件一旦固定，轉(zhuǎn)發(fā)能力就體現(xiàn)在軟件上了。而轉(zhuǎn)發(fā)能力作為接入設(shè)備的一個(gè)重要特征，低轉(zhuǎn)發(fā)能力會(huì)使寬帶接入設(shè)備成為網(wǎng)絡(luò)瓶頸，影響網(wǎng)絡(luò)的使用。HiPER寬帶安全網(wǎng)關(guān)使用了高效率的包快速轉(zhuǎn)發(fā)算法，并申請(qǐng)多項(xiàng)專(zhuān)利，在相同的平臺(tái)上，如ARM9 166的CPU，轉(zhuǎn)發(fā)能力可以達(dá)到65K PPS。在Intel 的IXP 425硬件平臺(tái)上可以達(dá)到210K PPS。與之相比較的是，其他廠商相同的硬件ARM9芯片，如TP-Link或者Linksys，只能做到9 K 到10 K PPS，是HiPER的ReOS實(shí)現(xiàn)的1/6。對(duì)于Intel IXP 425的硬件平臺(tái)，臺(tái)灣省的QNO 9416只能做到27 K PPS，HiPER相同CPU的產(chǎn)品4510NB是它的 210K/27K = 7.7倍。下面給出HiPER和幾款其他廠商產(chǎn)品的包轉(zhuǎn)發(fā)能力的比較。因?yàn)楸容^產(chǎn)品只能使用NAT模式，不能用路由模式，所以和寬帶路由器的比較是以單向轉(zhuǎn)發(fā)例子，而Cisco 2611、linux代理服務(wù)器等可以實(shí)現(xiàn)雙向轉(zhuǎn)發(fā)的測(cè)試，而且雙向轉(zhuǎn)發(fā)更能體現(xiàn)路由器的轉(zhuǎn)發(fā)能力，因此，比較選擇的模式時(shí)雙向轉(zhuǎn)發(fā)。
　　　淺析HiPER寬帶安全網(wǎng)關(guān)的七大差異(圖)（圖一）

　　圖一：HiPER 3300NB和TP-Link488T/490T/R4000+/NBR100/Qno9416的單向轉(zhuǎn)發(fā)比較
　　
　　圖一給出了HiPER 3300NB的比較。盡管HiPER 3300NB使用的CPU不如TL-R4000+和QNO9416,但是實(shí)際的轉(zhuǎn)發(fā)能力3300NB都超過(guò)了這些產(chǎn)品。
　　　淺析HiPER寬帶安全網(wǎng)關(guān)的七大差異(圖)（圖二）

　　圖二：HiPER 4510NB和TP-Link488T/490T/R4000+/NBR100/Qno9416的單向轉(zhuǎn)發(fā)比較
　　
　　
　　由圖二很明顯地看出，使用相同的CPU的產(chǎn)品，如R4000+/QNO9416的轉(zhuǎn)發(fā)能力大大落后于4510NB。
　　
　　HiPER和代理服務(wù)器以及聞名的Cisco路由器2611的比較如下：
　　　淺析HiPER寬帶安全網(wǎng)關(guān)的七大差異(圖)（圖三）

　　圖三：HiPER 3300NB和Linux/Cisco 2611的雙向轉(zhuǎn)發(fā)比較
　　
　　而對(duì)于使用Intel的IXP 425的CPU，HiPER 4510NB和代理服務(wù)器/Cisco2611的比較圖如下：
　　淺析HiPER寬帶安全網(wǎng)關(guān)的七大差異(圖)（圖四）

　　圖四：HiPER 4510NB和Linux/Cisco 2611的雙向轉(zhuǎn)發(fā)比較
　　
　　由以上四個(gè)比較圖可以很明顯地看出，HiPER寬帶安全網(wǎng)關(guān)的轉(zhuǎn)發(fā)能力是非常突出的。
　　
　　區(qū)別二：長(zhǎng)期運(yùn)行的穩(wěn)定性
　　
　　穩(wěn)定性依靠在硬件上，除了CPU外，還有其他芯片選材和測(cè)試上；在軟件上，需要能經(jīng)得起考驗(yàn)得軟件。HiPER的設(shè)計(jì)要求是按照7 X 24 X 365 不間斷工作。因此，除了選擇合適的CPU外，還需要反復(fù)比較各種外圍部件的芯片，如發(fā)熱比較大的交換芯片。HiPER選擇的是低功耗的芯片，在《微型計(jì)算機(jī)世界》做過(guò)的十幾種產(chǎn)品的評(píng)測(cè)中，在運(yùn)行數(shù)小時(shí)之后，HiPER的溫度是最低的。電子產(chǎn)品因?yàn)闇囟壬叨环€(wěn)定，我們?cè)跍y(cè)試臺(tái)灣省的俠諾產(chǎn)品FVR9416的時(shí)候，開(kāi)了一個(gè)小時(shí)，不小心摸到鐵盒，發(fā)現(xiàn)很燙手。更多的實(shí)際應(yīng)用結(jié)果，如在上海電信小區(qū)接入，廣東通信，廣西通信和其他場(chǎng)合中長(zhǎng)期連續(xù)的使用表面了HiPER的穩(wěn)定。這里可以看一臺(tái)作為IDC機(jī)房的防火墻的HiPER的例子，連續(xù)開(kāi)機(jī)404天11小時(shí)多。
　　
　　一般的寬帶路由器假如軟件實(shí)現(xiàn)不是很好，過(guò)幾天就要開(kāi)關(guān)一次，這對(duì)家庭和小企業(yè)或許可以接受，而對(duì)運(yùn)營(yíng)商就比較痛苦了。
　　
　　區(qū)別三：NAT功能的智能
　　
　　HiPER實(shí)現(xiàn)了智能NAT。在一些企業(yè)和ICP應(yīng)用中，由于需要提供比較多的對(duì)外服務(wù)，往往會(huì)向運(yùn)營(yíng)商申請(qǐng)多個(gè)IP地址，一方面滿足自己內(nèi)部上網(wǎng)的需要，另一個(gè)方面為服務(wù)器的對(duì)外服務(wù)提供地址。ReOS設(shè)計(jì)的智能NAT可以將多個(gè)用戶的IP地址映射到一個(gè)公網(wǎng)地址，也可以將用戶分成多個(gè)組，在有多個(gè)地址的情況下，每個(gè)組的用戶對(duì)應(yīng)一個(gè)公網(wǎng)地址，同時(shí)，還支持內(nèi)部地址到公網(wǎng)地址的一對(duì)一映射，內(nèi)部服務(wù)器配置內(nèi)部的地址，而從公網(wǎng)訪問(wèn)則通過(guò)公網(wǎng)地址，而且，智能NAT還可以將NAT和路由混合在一起，部分對(duì)外服務(wù)器可以配置公網(wǎng)地址。當(dāng)然，使用智能NAT功能還可以配置NAT的靜態(tài)映射，將內(nèi)部服務(wù)器的服務(wù)端口映射到公網(wǎng)地址的一個(gè)端口，因此，HiPER系列能完全滿足各種復(fù)雜的網(wǎng)絡(luò)規(guī)劃。ADSL的接入方式限于技術(shù)，帶寬有限，因此很多網(wǎng)吧和企業(yè)申請(qǐng)多個(gè)ADSL以擴(kuò)展內(nèi)部網(wǎng)的帶寬，或者申請(qǐng)光纖接入作為主線路，ADSL作為備份；學(xué)校一般通過(guò)教育科研網(wǎng)接入，然而，限于教育科研網(wǎng)和電信的互聯(lián)互通的帶寬，從學(xué)校訪問(wèn)電信的網(wǎng)絡(luò)很慢，反之亦然，因此，學(xué)校往往再申請(qǐng)電信的接入線路，等等。HiPER 多線路的產(chǎn)品可以輕松實(shí)現(xiàn)提供多線路接入以擴(kuò)展接入帶寬。接入方式可以是ADSL，光纖，Cable Modem，F(xiàn)TTx+LAN的自由組合。而且，HiPER的ReOS還提供了一套完整的線路監(jiān)測(cè)技術(shù)，在某個(gè)線路失效的時(shí)候自動(dòng)將流量切換到好用的線路，檢測(cè)方式從鏈路層到應(yīng)用層都有。多個(gè)線路的負(fù)載均衡技術(shù)可以根據(jù)帶寬的比例分配出口的流量，也可以根據(jù)數(shù)據(jù)包的目的地址和源地址指定線路。舉個(gè)例子，HiPER 3300NB雖然提供了1個(gè)WAN口和1個(gè)WAN2口，但是，通過(guò)WAN口連接交換機(jī)的方式，HiPER 3300NB最多可以支持16個(gè)ADSL線路的同時(shí)接入。而對(duì)于學(xué)校的應(yīng)用，經(jīng)過(guò)設(shè)置，HiPER3300NB可以將往教育科研網(wǎng)的流量送到教育科研網(wǎng)的出口，其他的流量送到電信的出口。
　　
　　而一般的寬帶路由器只能實(shí)現(xiàn)PAT，最普通的上網(wǎng)情況，最多加幾個(gè)一對(duì)一的NAT，無(wú)法滿足越來(lái)越多的應(yīng)用要求。
　　
　　區(qū)別四：多樣的安全功能
　　
　　ReOS的安全功能實(shí)現(xiàn)多種多樣。
　　
　　首先是采用了多接入端口的設(shè)計(jì)，對(duì)于不能中斷的網(wǎng)絡(luò)，答應(yīng)用戶接入2個(gè)以上的線路，以保證網(wǎng)絡(luò)的暢通。在同時(shí)接入多個(gè)線路的情況下，可以采用備份或者均衡的方式。均衡的選擇方式有多種，基于主機(jī)或者NAT會(huì)話。NAT會(huì)話是最小的單元，因此，能做到最精細(xì)的均衡。同時(shí)，ReOS還提供了基于目的地址，源地址的均衡，可以根據(jù)線路的實(shí)際帶寬設(shè)定流量均衡比例。為了實(shí)現(xiàn)在不同情況下的檢測(cè)方式，ReOS提供了以下檢測(cè)方式：
　　
　　·網(wǎng)關(guān)ICMP請(qǐng)求的線路檢測(cè)——路由器連續(xù)ping接入線路的下一跳，假如丟包達(dá)到預(yù)設(shè)值則認(rèn)為線路中斷，此時(shí)將此線路用戶切換到好的線路上去；線路中斷后設(shè)備會(huì)繼續(xù)ping接入線路的下一跳，直到線路恢復(fù)，再將用戶切換回來(lái)。
　　
　　·指定地址ICMP請(qǐng)求的線路檢測(cè)——當(dāng)接入線路的下一跳禁ping時(shí)，可以將ICMP檢測(cè)的目標(biāo)地址指定為第三方的IP地址。
　　
　　·ARP請(qǐng)求的線路檢測(cè)——當(dāng)接入線路全部禁ping時(shí)，可以使用向接入線路的下一跳發(fā)ARP請(qǐng)求的檢測(cè)方式。
　　
　　·DNS請(qǐng)求的線路檢測(cè)——當(dāng)接入線路只是IP路由中斷（例如很多地方網(wǎng)吧12點(diǎn)后ISP斷線的情況），可以使用向指定服務(wù)器發(fā)DNS請(qǐng)求的檢測(cè)方式。
　　
　　一般的寬帶路由器的線路均衡方式和檢測(cè)方式比ReOS的簡(jiǎn)單，如國(guó)內(nèi)的某家聞名品牌的寬帶路由器，只能實(shí)現(xiàn)基于目的地址和源地址的均衡；假如寬帶路由器用很含糊的字眼表達(dá)線路均衡和線路檢測(cè)，那就有理由懷疑它的實(shí)際的實(shí)現(xiàn)方式。
　　
　　其次是防火墻地功能保障業(yè)務(wù)安全。ReOS系統(tǒng)的業(yè)務(wù)治理功能基于Filter機(jī)制和IP/MAC綁定來(lái)實(shí)現(xiàn)。通過(guò)IP/MAC綁定不僅可以做到內(nèi)部機(jī)器的IP地址和MAC地址綁定在一起，使得普通用戶不能隨便修改自己的IP，而且，IP/MAC綁定可以實(shí)現(xiàn)上網(wǎng)黑白名單。具體地說(shuō)，假如內(nèi)部有些機(jī)器不答應(yīng)上網(wǎng)，那么可以使用IP/MAC綁定的黑名單功能，在IP/MAC綁定的配置中，給不能上網(wǎng)的機(jī)器的MAC地址對(duì)應(yīng)的IP地址中輸入不是本路由器網(wǎng)絡(luò)的IP地址。HiPER 3300NB可以實(shí)現(xiàn)200個(gè)IP/MAC綁定。假如對(duì)內(nèi)網(wǎng)機(jī)器的控制不僅僅限制在上網(wǎng)，要對(duì)他們的某些行為進(jìn)行控制，如禁止訪問(wèn)限制網(wǎng)站，禁止使用MSN和QQ，那么可以使用Filter過(guò)濾機(jī)制。
　　
　　ReOS有三種Filter。
　　
　　·IP Filter只是對(duì)IP包進(jìn)行判定和處理。它可以根據(jù)IP包的特點(diǎn)，如IP源地址，目的地址，協(xié)議和源端口，目的端口等對(duì)包進(jìn)行處理，如轉(zhuǎn)發(fā)或者丟棄。IP Filter的這些參數(shù)非常輕易從實(shí)際環(huán)境得到。
　　
　　·IPSSG Filter是擴(kuò)展的Filter，是HiPER轉(zhuǎn)有的Filter。IPSSG Filter判定的條件除了IP Filter中說(shuō)的IP源地址，目的地址，協(xié)議和源端口，目的端口這些IP基本信息以外，還可以根據(jù)MAC地址，時(shí)間段等來(lái)判定。判定的靈活度加大了，IPSSG Filter可以列出一段地址和一段端口。
　　
　　·Generic Filter 是按照字節(jié)( bytes)或者比特(bits)檢查任何包。使用Generic Filter，治理員需要可以根據(jù)包的內(nèi)容來(lái)查找。
　　
　　對(duì)Generic Filter進(jìn)行擴(kuò)展以后，在ReOS版本5.4以上，3100系列以上地機(jī)器已經(jīng)實(shí)現(xiàn)了URL過(guò)濾和要害詞過(guò)濾。URL過(guò)濾能阻止網(wǎng)絡(luò)的使用者只訪問(wèn)答應(yīng)的網(wǎng)站（白名單），或者不能訪問(wèn)控制的網(wǎng)站（黑名單），為學(xué)校、網(wǎng)吧、企業(yè)等提供一個(gè)良好的上網(wǎng)環(huán)

上一篇：網(wǎng)絡(luò)多層交換:讓路由器實(shí)現(xiàn)智能化作業(yè)

下一篇：5000的具體初始配置