帶寬加倍樂趣加倍雙WAN路由器

2019-11-05 00:31:18

字體：大中小

供稿：網(wǎng)友

　　5款雙WAN路由器揭密
　　用戶現(xiàn)在可以使用多種WAN連接方式（DSL、有線電視網(wǎng)、衛(wèi)星等）。由于小企業(yè)希望Internet訪問帶寬有冗余，以提高訪問速度，所以一些公司生產(chǎn)了雙WAN路由器，以把兩種寬帶連接方式組合在一起使用。既然這么多家庭和企業(yè)現(xiàn)在都有數(shù)兆比特相當(dāng)便宜的帶寬可用，那么雙WAN路由器市場看來已經(jīng)具備了發(fā)展的條件。
　　
　　最近，美國《網(wǎng)絡(luò)世界》評測實驗室測試了5款雙WAN路由器，分別是Zyxel通信公司的ZyWall 70、SonicWall公司的TZ 170、Xincom公司的XC-DPG602、Hawking技術(shù)公司的H2WR54G和Fortinet公司的FortiGate-60，測試的重點(diǎn)是這些產(chǎn)品控制WAN連接的能力以及其他一些功能。
　　
　　在這個測試中，SonicWall公司的TZ 170被選為最受歡迎的產(chǎn)品，因為它有良好的安全性、配置選項和附加功能（有些需要額外付費(fèi)）。Hawking公司的產(chǎn)品會滿足需要低價產(chǎn)品的用戶的需求，其產(chǎn)品支持無線功能。Zyxel公司的ZyWall 70以微弱差距名列SonicWall之后，位居第二。
　　
　　很多路由器都支持：
　　
　　● 出網(wǎng)負(fù)載均衡；
　　
　　● 入網(wǎng)負(fù)載均衡（低端產(chǎn)品僅支持出網(wǎng)負(fù)載均衡）；
　　
　　● QoS；
　　
　　● VPN；
　　
　　● 非軍事區(qū)（DMZ）；
　　
　　● 對內(nèi)容（入網(wǎng)和出網(wǎng)）和電子郵件（至少對入網(wǎng)的電子郵件）進(jìn)行病毒過濾；
　　
　　● 入侵檢測；
　　
　　● Web內(nèi)容過濾。
　　
　　不同的路由器，CPU速度和RAM容量是不同的，通常同時支持的VPN連接數(shù)反映了這種差異。因為所有這些系統(tǒng)的連接數(shù)最少都達(dá)到了數(shù)千條，所以中等規(guī)模的網(wǎng)絡(luò)不應(yīng)該感到性能受限。不過，所支持的VPN會話數(shù)經(jīng)常受到服務(wù)器的限制，因此仍然要仔細(xì)檢查網(wǎng)絡(luò)是否需要支持很多VPN客戶。
　　
　　在需要把兩個相同的高速WAN連接組合在一起(如把兩個有線電視調(diào)制解調(diào)器鏈路組合在一起)時，這些路由器所具有的入網(wǎng)負(fù)載均衡功能很有用。因為有線電視網(wǎng)的下行速率為1.5M～3Mbps，DSL鏈路則低于512Kbps，所以混合這樣兩種連接對速率不會有什么明顯的改善，而且假如配置錯誤，還可能降低訪問速率。不過，仍然可以借助這樣的混合連接實現(xiàn)Internet訪問的帶寬冗余。
　　
　　使用每個雙WAN系統(tǒng)都要注重的是：必須能夠把發(fā)出去的所有SMTP信息流路由到合適的WAN鏈路上。大多數(shù)ISP拒絕所有不是從自己的網(wǎng)絡(luò)起始的郵件，所以把發(fā)出的電子郵件路由到錯誤的WAN鏈路會引起差錯。使用連接到DMZ的內(nèi)部電子郵件服務(wù)器，或者通過Web托管服務(wù)而不是ISP發(fā)送電子郵件，可以消除這一問題。
　　
　　1 SonicWall TZ 170
　　在測試期間，SonicWall TZ 170的一些開發(fā)人員用新版固件給該產(chǎn)品增加了對進(jìn)入信息流負(fù)載均衡的支持，填補(bǔ)了TZ 170在功能上的主要空白。但是用戶必須購買功能增強(qiáng)的操作系統(tǒng)，才能使TZ 170支持雙WAN連接。同樣的小型塑料外殼支持TZ 170的所有排列方式，因此從外觀上看不出TZ 170所支持的功能。
　　
　　安裝和配置花了一些時間。與我們測試的其他產(chǎn)品不同，TZ 170在默認(rèn)狀態(tài)下不啟用動態(tài)主機(jī)配置協(xié)議（DHCP）服務(wù)器。用戶必須改變計算機(jī)地址，以與TZ 170的默認(rèn)ip網(wǎng)絡(luò)設(shè)置值相匹配，然后用其簡單易用的向?qū)渲肈HCP地址范圍和其他初始化設(shè)置值。但是重新啟動并經(jīng)過一番苦思冥想后，我們發(fā)現(xiàn)，設(shè)置DHCP范圍時DHCP服務(wù)器并未同時啟用，我們必須手動開啟該服務(wù)器。9頁長的快速啟用指南印滿了密密麻麻的文字，有點(diǎn)與“快速”背道而馳。該公司的技術(shù)支持聯(lián)系人也承認(rèn)，DHCP配置的設(shè)計方案不好，但未做進(jìn)一步解釋。
　　
　　因為只有所測試的增強(qiáng)版TZ 170支持雙WAN，所以該產(chǎn)品上沒有WAN2插頭（用軟件增加這項功能）。采用可選以太網(wǎng)連接器WAN2不成問題，因為該產(chǎn)品上的所有5個10/100Base-T以太網(wǎng)端口都能為使用DMZ而進(jìn)行配置。SonicWall基于Web的實用治理程序在顯示屏左邊提供層疊式菜單，但是右邊沒有選項卡。取而代之的是，多個命令圖標(biāo)彈出新的更小的窗口，用于選擇配置值或提供說明。這個敘述過程有點(diǎn)羅嗦，而實際菜單看起來要簡單些，因為很輕易就能深入到更具體的菜單層次。在多個向?qū)У囊龑?dǎo)下，可以完成VPN設(shè)置、公共服務(wù)器（DMZ）訪問和初始設(shè)置這些繁雜的工作。
　　
　　SonicWall產(chǎn)品好的方面是：在防火墻配置上具有極大的靈活性。而不好的方面則是: 對大多數(shù)小企業(yè)用戶而言，內(nèi)容太多，學(xué)不過來，也處理不過來，這些用戶會需要轉(zhuǎn)賣商的幫助。TZ 170在下拉菜單中配置的服務(wù)有140項。SonicWall使用網(wǎng)絡(luò)分區(qū)，其中包括幾屏描述各分區(qū)關(guān)系（例如WAN至LAN）的內(nèi)容以及適用特定連接的路由或網(wǎng)絡(luò)地址變換規(guī)則。你甚至可能有5個不同的用戶類別，代表從每個人到權(quán)力受限的治理員等各種類型的用戶，而在一個規(guī)則中可能包含任一類別。假如沒有外界幫助，中小型企業(yè)幾乎無法完成配置。
　　
　　TZ 170對雙WAN連接處理得很好。與我們測試的所有其他產(chǎn)品都不同，當(dāng)我們斷開有線電視調(diào)制解調(diào)器并迫使TZ 170切換到DSL連接時，該設(shè)備仍能接著傳輸流式音頻文件。而當(dāng)我們重新連接到有線電視調(diào)制解調(diào)器時，它還能切換到更快的服務(wù)上，而且仍然不存在中斷。
　　
　　安全性選項很多，但是要仔細(xì)訂購。例如，你可以購買網(wǎng)絡(luò)防病毒軟件和服務(wù)器防病毒軟件，但是你不能用電子郵件防病毒過濾。節(jié)點(diǎn)/用戶數(shù)是根據(jù)網(wǎng)絡(luò)上有效的IP地址數(shù)而不是路由器上共存的用戶數(shù)來計算的，因此你需要的許可證數(shù)也許比你想像的多。
　　
　　盡管購買合適的選項以及弄清楚DHCP有點(diǎn)煩人，但是SonicWall提供大量預(yù)定義的防火墻設(shè)置參數(shù)和選項，其失效轉(zhuǎn)移可保持流式音頻的連續(xù)性。
　　
　　2 Zyxel ZyWall 70
　　ZyWall 70被Zyxel稱為保證安全的專用設(shè)備，以強(qiáng)調(diào)其具有路由之外的一些功能，Zyxel有11個這樣的路由器，都被稱為專用設(shè)備或網(wǎng)關(guān)。安裝過程涉及啟動客戶程序以接受ZyWall 70設(shè)備發(fā)出的IP地址信息，從而開始配置工作。屏幕顯示條理清楚，布局合理，在左下角有一個菜單，選項卡清楚地顯示在有效頁上。電子版手冊長達(dá)713頁，但是其中有數(shù)百頁內(nèi)容講述的是控制臺連接和老式終端的命令接口以及命令語法。
　　
　　你可以建立一個DMZ，但是沒有獨(dú)立的以太網(wǎng)端口供這個DMZ使用。IP地址分隔每個DMZ系統(tǒng)的信息流。建立DMZ并分隔了DMZ系統(tǒng)的信息流后，要一直非凡重視某個特定的端口，以避免混淆并限制一些煩瑣的、針對端口的配置工作。默認(rèn)信息流規(guī)則答應(yīng)DMZ和WAN之間的信息流雙向流動，但是僅答應(yīng)從LAN送出的信息流進(jìn)入DMZ。從DMZ到LAN的信息流會被阻塞，除非增加了答應(yīng)信息流在這個方向上流動的規(guī)則，而這是我們意料之中的安全性配置。
　　
　　治理ZyWall 70很簡單，因為它的Web治理應(yīng)用程序接口非常清楚明了。只要點(diǎn)擊一下鼠標(biāo)，其主頁就顯示出所有類型連接（LAN、WAN、WLAN和DMZ）的狀態(tài)、統(tǒng)計數(shù)字、DHCP表或VPN狀態(tài)。
　　
　　安全控制包括防火墻、證書控制（信任的證書機(jī)構(gòu)和信任的遠(yuǎn)程主機(jī)）、Radius支持和完整的內(nèi)容過濾選項。這個防火墻采用免受拒絕服務(wù)式攻擊的信息包檢測方法，該方法具有豐富的狀態(tài)參數(shù)。防火墻規(guī)則很輕易建立，頁面上有一些復(fù)選框，還有為方便控制而預(yù)定義的44種服務(wù)，也有面向防火墻規(guī)則的日歷控制功能，提供相當(dāng)完整和可用的安全性控制。
　　
　　ZyWall 70容許規(guī)定WAN1端口用于所有發(fā)出的SMTP信息流，但是需要使用常規(guī)治理接口之外的控制臺命令。
　　
　　帶寬治理包括定義類別和為某些類別提供額外帶寬，如VoIP或視頻。讓基于優(yōu)先權(quán)的調(diào)度程序為已配置的服務(wù)分配額外的帶寬，如VoIP，而基于公平原則的調(diào)度程序則盡力保持各服務(wù)類別之間的負(fù)載均衡，而且可以通過鼠標(biāo)點(diǎn)擊輕易進(jìn)行調(diào)整。用這種方法也很輕易配置對稱或非對稱WAN鏈路。
　　
　　ZyWall 70輕易安裝，端口具有極大的靈活性，有4個DMZ端口，還有大量防火墻細(xì)節(jié)信息，支持可選無線PC卡。但是讓SMTP等信息流進(jìn)入特定的WAN端口需要Telnet協(xié)議之上的控制臺命令。
　　
　　3 Xincom XC-DPG602
　　XC-DPG602所屬的雙WAN路由器系列共有5款產(chǎn)品，XC-DPG602是其中的第4款，它缺乏VPN支持，但是具有入網(wǎng)負(fù)載均衡功能（與603一樣，但是沒有603的其他功能）。Xincom雙WAN系列從其低端的402擴(kuò)展而來，其中還包括502、503和603。
　　
　　快速啟用指南涵蓋了所有必需的細(xì)節(jié)信息，該產(chǎn)品的用戶手冊條理清楚，對一個復(fù)雜的路由器來說算是很短的（50頁）。該路由器僅支持微軟的IE瀏覽器（指南中并未提及），但是DHCP服務(wù)器工作正常，而且它快速準(zhǔn)確地從有線電視調(diào)制解調(diào)器那里獲得了具體的網(wǎng)絡(luò)設(shè)置信息。實際上，該設(shè)備的復(fù)位和重新啟動速度比我們測試過的任何產(chǎn)品都快。
　　
　　兩個WAN端口的配置說明都出現(xiàn)在實用治理程序的同一頁上（兩個配置說明挨著），這是一種很好的做法。這些WAN端口可以配置成備份端口或具有負(fù)載均衡功能的端口，而負(fù)載均衡則有自己的配置頁。你可以按照字節(jié)、信息包或所建立的會話設(shè)定負(fù)載均衡數(shù)值，然后在WAN1上設(shè)定所承載負(fù)載量的百分?jǐn)?shù)。我們把有線電視調(diào)制解調(diào)器放在WAN1上，設(shè)定它承載90%的負(fù)載量。當(dāng)我們拔下有線電視調(diào)制解調(diào)器時，流式音樂幾乎總是持續(xù)地傳輸，在DSL鏈路上音樂一拍也沒丟。不幸的是，當(dāng)斷開DSL鏈路時，Xincom的產(chǎn)品不是總能復(fù)位DSL連接，因此我們必須以手動方式重新建立連接。
　　
　　用該設(shè)備上4個10/100Base-T以太網(wǎng)端口中的一個或幾個端口，可以建立多個DMZ（沒有專用的DMZ端口）。沒有一種簡單方便的方法來過濾從LAN到DMZ或反過來流動的信息流，但是單個DMZ會話鏈路可以通過“高級設(shè)置（Advanced Setup）”頁來控制。“高級設(shè)置”菜單中還包括一些“高級功能（Advanced Features）”，其中有一個有用的復(fù)選框，可以把SMTP信息流與兩個WAN端口之一捆綁在一起，確保發(fā)出去的電子郵件流經(jīng)合適的網(wǎng)絡(luò)。
　　
　　該產(chǎn)品還包含一個具有SPI的防火墻，可以輕易阻塞不同的服務(wù)端口，但是下拉菜單僅提供6種類型的服務(wù)，相比之下，SonicWall設(shè)備的服務(wù)類型要多得多。要阻塞或打開防火墻中的端口，需要手工填寫一些表格。
　　
　　QoS支持在治理上沒有很大的靈活性，但是除了Hawking的產(chǎn)品，其他所有產(chǎn)品都包含這一功能。你可以在線觀看數(shù)據(jù)轉(zhuǎn)儲系統(tǒng)日志，但是Xincom路由器有配置3個不同系統(tǒng)日志服務(wù)器的余地，可為用戶完成語法分析任務(wù)。
　　
　　可在一些顯示頁上看到WAN狀態(tài)和信息流總量，但是信息更新需要點(diǎn)擊按鈕來實現(xiàn)。
　　
　　由于這個設(shè)備具有易于安裝的特點(diǎn)和條理清楚的治理接口以及良好的WAN失效轉(zhuǎn)移功能，因此幾乎抵消了安全性和防火墻設(shè)置項有限以及設(shè)置過程不具有直覺性的缺點(diǎn)。希奇的是，這是惟一要求用IE而回避使用Mozilla的設(shè)備。
　　
　　4 Hawking H2WR54G
　　Hawking公司的H2WR54G體積不大。這個路由器不僅支持雙WAN鏈路，還具有一個802.11g WLAN模塊以及基本的防火墻安全性。H2WR54G是Hawking公司銷售的3款雙WAN路由器中價格最高的一個，但是在我們這次測試的產(chǎn)品中是最便宜的。
　　
　　這款路由器缺點(diǎn)不少：快速安裝指南（25頁，像口袋書那么大，字體很小）上說，“在安裝期間我們必須提供時間服務(wù)器的IP地址”，然后該指南建議我們在Web上查找時間服務(wù)器。但是直到在設(shè)置顯示頁上填入時間服務(wù)器IP地址以后，我們才有了到Internet的路由器。在我們見過的設(shè)置指南中，這是最進(jìn)退兩難的情況了。我們插入了另一個路由器，并針對一個有效的IP地址核對了它的時間服務(wù)器設(shè)置，但是我們不知道一般的小公司能否處理這種混亂局面。通過讓該設(shè)備的IP地址在Internet上可見，4個10/100Base-T以太網(wǎng)端口的任一端口都可以用于DMZ。它沒有QoS支持。
　　
　　該設(shè)備通過選擇PC的IP地址和選擇所顯示的16個標(biāo)準(zhǔn)服務(wù)中的一個或多個服務(wù)，都能建立防火墻規(guī)則; 無法阻塞所有用戶使用MSN Messenger等應(yīng)用程序，僅能阻塞單個設(shè)備。這種級別的保護(hù)適合家庭用戶或很小型的企業(yè)用戶，但不適合對安全性非常重視的用戶。不過至少該防火墻是默認(rèn)啟動的。它不支持企業(yè)身份驗證，如Radius，甚或LDAP。
　　
　　可通過瀏覽器進(jìn)行最低限度的治理，屏幕左邊的菜單上有模板，但是所有菜單頁都不夠具體。只有兩個選項卡，一個是系統(tǒng)選項卡，另一個是安全性選項卡，但是未提供語法分析或說明，也無法像我們測試的其他設(shè)備那樣通過電子郵件發(fā)送日志或向系統(tǒng)日志服務(wù)器發(fā)送日志。一個有很多插圖的電子版手冊只有不到100頁。
　　
　　當(dāng)我們試圖把發(fā)出的電子郵件轉(zhuǎn)到使用有線電視調(diào)制解調(diào)器的WAN1鏈路時，發(fā)現(xiàn)了第二個缺點(diǎn)。我們弄不清在治理顯示頁的什么地方配置SMTP路由，所以我們給該公司的技術(shù)支持人員發(fā)送了一封電子郵件。雖然他們在第二天早上回復(fù)了我們的郵件，但是卻告訴我們，無法向WAN鏈路路由SMTP信息流。這看起來很希奇，因為目標(biāo)用戶似乎是入門級的家庭用戶、家庭辦公室和小企業(yè)，他們最有可能依靠服務(wù)提供商的電子郵件來解決問題。這個路由器的用戶必須有自己的電子郵件服務(wù)器，或者能夠通過托管服務(wù)發(fā)出郵件，因為假如兩個WAN端口都處于使用狀態(tài)時，就不能可靠地發(fā)送電子郵件。
　　
　　盡管流式音頻會話需要重新啟動，但是WAN失效轉(zhuǎn)移和重新連接都可以實現(xiàn)。在設(shè)置為備份而不是負(fù)載均衡狀態(tài)時，從有線電視調(diào)制解調(diào)器切換到DSL鏈路的時間大約為20秒。可以開啟負(fù)載均衡功能，但是惟一的控制選項是一個基于數(shù)據(jù)傳送會話的百分?jǐn)?shù)。
　　
　　該產(chǎn)品功能豐富但卻缺少具體說明，價格較低，應(yīng)該受到小企業(yè)的歡迎，但是最低限度的安全性設(shè)置和治理控制會限制它的用途。
　　
　　5 Fortinet FortiGate-60
　　FortiGate-60有4個用于局域網(wǎng)的標(biāo)準(zhǔn)10/100Base-T端口、兩個WAN端口和一個DMZ端口，其優(yōu)缺點(diǎn)之間形成了鮮明的對照。在我們測試的設(shè)備中，雖然ZyWall含有用于撥號備份的串行端口，但是FortiGate-60是惟一帶有USB端口的產(chǎn)品，這個端口為USB調(diào)制解調(diào)器備份而設(shè)。
　　
　　快速啟用指南印在一頁11英寸×17英寸的紙上，正面和背面都印滿了數(shù)據(jù)，因此“快速”有點(diǎn)名不副實。該指南要求使用IE，但是用Mozilla的Firefox瀏覽器也可以工作（除了有幾屏顯示很希奇），但是要獲得安全連接必須使用HTTPS。
　　
　　用左邊的菜單完成治理任務(wù)，其上有子菜單和選項卡。完成最初的配置后我們發(fā)現(xiàn)，盡管該設(shè)備指示我們收集來自ISP的具體DNS信息并把這些信息傳遞給客戶程序，但是FortiGate-60做這些工作的時候并不十分可靠，客戶程序不能正確地解析Internet地址。只有通過在深層配置中（系統(tǒng)→DHCP→服務(wù)器→范圍→向?qū)А薷模┭b載DNS地址，才能保證每個客戶程序都知道到達(dá)Internet站點(diǎn)所必需的正確DNS地址。
　　
　　屏幕上的治理選項沒有給出任何有關(guān)WAN鏈路性能的線索，因為沒有可用的統(tǒng)計數(shù)字。你可以看到連接是否已經(jīng)建立，但是你只能根據(jù)設(shè)備前面板上指示燈的閃動說出哪個寬帶連接承載了負(fù)載。更不好的是，除非你額外制訂了特定的防火墻策略，否則信息流不能用第二個WAN鏈路從內(nèi)部網(wǎng)絡(luò)進(jìn)入Internet。在你采取這個額外的步驟之前（其他產(chǎn)品沒有這種要求），不支持失效轉(zhuǎn)移。
　　
　　在制訂了防火墻策略、配置了“距離（Distance）”參數(shù)并告訴系統(tǒng)優(yōu)先選擇哪條路徑后，失效轉(zhuǎn)移才開始迅速可靠地工作。
　　
　　失效轉(zhuǎn)移路徑號（在使用WAN2時）必須設(shè)置為比默認(rèn)路徑號1更大的數(shù)值，例如10，但是手冊中并沒有說明這一點(diǎn)。這表明，該系統(tǒng)在WAN1壞掉時可以使用WAN2。假如距離號相同，那么這兩個WAN鏈路會同時使用，但是負(fù)載均衡不能同時使用。配置完成后，F(xiàn)ortiGate-60迅速實現(xiàn)失效轉(zhuǎn)移并迅速重新連接到WAN1上（大約5秒）。對治理程序的惟一指示出現(xiàn)在“路由監(jiān)視器（Routing Monitor）”頁上，該頁顯示W(wǎng)AN2是默認(rèn)的靜態(tài)路徑。“狀態(tài)（Status）”頁仍然顯示W(wǎng)AN1已連接，F(xiàn)ortinet公司稱，它是有意這么做的，是為了體現(xiàn)治理設(shè)置。
　　
　　FortiGate-60的功能列表令人印象深刻，其中包括一些所希望的VPN、一個具有50種在下拉菜單中已經(jīng)預(yù)定義的服務(wù)的防火墻和對文件及電子郵件（具有由Fortinet起動和更新的一些服務(wù)）進(jìn)行病毒檢查的功能。但是你也許需要比菜單上提供的內(nèi)容更多的幫助。
　　
　　首先受到吸引，然后感到沮喪，最后設(shè)備能很好地工作，這是使用FortiGate-60時的真實寫照。一旦突破重重障礙完成了設(shè)置并購買了你想要的可選功能，事情就變得相當(dāng)順利了。

上一篇：修改寬帶路由器的路由表限制用戶訪問

下一篇：給ADSL Modem“軟升級”實現(xiàn)路由功能