论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 2349阅读
  • 0回复

[求助-安全问题]正确选择多WAN路由器的六大关键问题 [复制链接]

上一主题 下一主题
离线惊鸿一剑
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-05-25 12:06:02
目前,很多企业网络选择了多WAN应用,市面上多WAN路由器品种也越来越多。但作为一个新兴产品,用户在技术上的了解程度并不深,以至于存在很多的误区。可以说,大部分用户都存在或多或少的选购错误。


  一般来说,面对多WAN路由器的选购,很多企业朋友只是关注在多WAN的“多”字上,殊不知多WAN路由有很多种类,有些甚至完全是不一样的东西。而且多WAN路由的功能配置也有很多关节。仅仅看包装上罗列的一大堆功能,而不清楚这里面的含义,吃亏在其次,重要的是起不到应有的作用,会误大事。


  正确选择一款多WAN路由器,应该着重关注以下几个关键问题:


  一、明确多WAN路由种类,知道买什么性质的产品:

  多WAN路由根据应用可分为几个大类,市场上常见的主要有3类:一是“一吧多网”型,二是“带宽汇聚”型,三是“IP均衡”型。


   “一吧多网”型多WAN路由器主要用于不同运营商的宽带接入,如一条网通、一条电信或一条教育网。它是根据目的IP进行WAN口选择的多WAN应用类型,它主要是解决国内网通、电信等接入商线路互访瓶颈的问题。一般注明“网吧专用”的多WAN都属于这类产品,在教育网和一些特定场合也有应用。


   “带宽汇聚” 型多WAN路由器主要用于希望网络接入带宽增加的目的。多一条宽带,多一倍带宽,快一倍速度,这就是“带宽汇聚”的功能。它是以每台PC的会话数为单位,把它们自动分配到更空闲一些的线路上,

  “IP均衡”型多WAN路由器的作用就相当于2个单WAN路由,除了使用同一个网关、同一套管理策略外,在多WAN连接效果上基本没有太大的使用效益。这种路由器被称为“假多WAN”。目前这种路由已经很少单独存在,但这项功能还存在某些路由的配置中,只要用户不当心选择了“IP均衡”这项功能,就相当于买了“IP均衡”型路由器。下面还要专门阐述这个问题。


  除了第三种“假多WAN”外,前两种路由都有其特定的用途,使用效果也迥然不同,是不能通用的。但也有例外,有一种欣向路由器采用第四代多WAN技术,通过自动识别宽带类型,就能将二者有机的结合在一起。这更适合既需要“一吧多网”也需要“带宽汇聚”的场合,比如2条电信、一条教育网的接入环境。


  总之,用户要了解多WAN路由是不同的,选购时首先必须要根据自身使用环境和目的,保证买对了产品。


  二、选择合适的带机量指标,一般为2倍,需要管理功能还要更大:

  所有路由器选购都会涉及到具体的带机量,以保证路由器能承载特定规模的网络处理负荷。一般来讲,厂家宣传的带机量都是理论带机量,实际使用中都会打折扣。为了保证使用,一般情况下我们需要购买带机量为实际电脑数量2倍左右的路由器。否则,常出现因处理能力不够造成的网络问题。


  现在路由器管理功能越来越多,某些协议和行为管理大幅消耗路由器处理资源。例如使用路由器的封BT、封msn,封QQ等功能会使路由器的硬件资源损耗1-1.5倍,这也就告诉我们如果开启路由器的行为管理功能,那么选购路由器时的理论带机量要为实际电脑数量的3-4倍,否则使用路由器的行为管理功能会以网速大幅降低为代价,没有速度的管理“得不偿失”。


  三、一定要问清硬件配置,拒绝信息不透明:

  企业路由器的选购一定要注意查看路由器的硬件配置,特别是路由器的CPU,就像PC一样,没有高性能的CPU不可能有高速的处理能力。目前,专业路由器大都采用Intel IXP系列网络专用处理器,满足企业使用起码主频要达到266MHZ以上。


  作为早期的MIPS,ARM处理芯片,一般使用在SOHO等家用路由上。MIPS,ARM的企业路由器承载网络负荷能力有限,一般用在20台以内超小型网络环境。这些路由器整机价格一般在1000元以内,1000元以上绝对属于暴利。


  对于拒绝公开路由器的处理器类型和主频,价格又高于1000元的,就是这类典型的升级型SOHO路由,性价比存在严重问题,一定要特别注意。

  所以,做一个精明的用户,不要被JS欺骗,路由器的CPU一定要查。


  四、注意区分真假多WAN,警惕出现二条线不如一条线快的现象:

  如前所述,“带宽汇聚”的多WAN应用是目前多WAN的主要应用方式,多接一条宽带,多增一倍带宽,这就是大多数企业选择多WAN路由的目的,这就是“带宽汇聚”。


  “带宽汇聚”是由Session负载均衡功能提供的。除此而外,欣向路由器中出现的“Weight Round robin”、“ Traffic”也是类似的效果。这些方式都保证了真正的多WAN汇聚。


  而“IP均衡”功能就不能起到“带宽汇聚”的作用,在PC上网时,开启了这个功能就会出现二条线不如一条线快的现象,所以被称作“假多WAN”。


  为什么有些路由器已经有负载均衡功能了,但还需要“IP均衡”呢?这是由于在网上银行、QQ、MSN、某些游戏等应用需要安全检查,这时,由于多WAN路由用几条线同时上网,安全检查就不能通过,这些应用就会拒绝你访问,造成掉线。


  但并不是这种情况就不能用多WAN路由了,极个别路由还是能解决这个问题的。如欣向路由解决这个问题的方法是采用“身份绑定”技术,它通过自动识别,发现这类应用后马上把它绑定在第一次请求的线路上,保证对方安全检查的要求。同时,其他的应用依然还是“带宽汇聚”,不牺牲整体应用效果。


  提供“IP均衡”,其实是一台路由弥补自身技术缺陷的无奈之举。所以采购时,用户需要格外注意路由器中“负载均衡”配置页面是否有“IP均衡”的选项,如果有,就需要警惕了。


  五、过多的管理功能影响路由性能,要考虑适当提升硬件档次:

  目前很多路由器具有上网行为管理,比如“一键封BT”、“封QQ、MSN”等功能。这是很有用的,满足了一些企业的管理要求。但这种功能的实现却存在很大猫腻。


  路由器中实现上网行为管理有两种方式:一种是封锁目的服务器IP方式,另一种是协议封锁方式。


  第一种方式技术简单,但效果不可靠。采用封锁服务器IP技术,不能彻底有效实现管理功能,常有遗漏,造成管理无效。这很容易通过检查进行鉴别,以封锁QQ为例:启用路由器的QQ封锁后不能登陆QQ,此时可以通过QQ代理的方式登录,选择QQ代理服务器。如果这样可以登录了,就说明这个路由器的行为管理形同虚设,它一定是采用了封锁目的服务器IP的简单处理技术。


  第二种采用高层的协议封锁方式,这种方式最可靠,但硬件开销大。路由器通过指定特征确认访问应用类别,这样的封锁很彻底。但是由于采用了多种协议检查方式,这对路由器的硬件平台要求较高,一般低档的CPU基本无法胜任,至少要INTEL IXP系列以上,同时需要路由器有很高的算法设计。


  如果用户需要上网行为管理功能,就要搞清路由器的技术实现方式,第一种方式效果不可靠,不建议选用。同时要适当提高对硬件能力的要求,购买资金付出也要多一些。选购这样的产品,一般在带机负担不重时,对转发效能影响不大。


  六、路由中的防火墙和VPN配置都是极低性能的,要根据应用和钱袋仔细斟酌:


  有些企业希望购买的多WAN路由器能同时保证有强大的防火墙和高速VPN功能,属于“少花钱、多办事”的心理,这时无可厚非的。但世上会有这么便宜的事吗?


  首先,做为多WAN VPN路由器,由于路由器已经作了大量的多WAN汇聚处理、上网行为管理,部分防火墙处理,如果在加上VPN功能,那么这样的VPN效率就低得可怜了。一般这样的多WAN VPN路由器两个主要问题:1、VPN处理效能极低,一般为正常值的10%;2、VPN隧道条目极低,并不能支持与带机数量相一致的VPN隧道数量。可以这样说,多WAN路由器集成VPN功能比200元左右的低档VPN还要差。


  其次,目前市面的多WAN路由,其防火墙功能均为软件防火墙,所以,不要对多WAN路由器的防火墙报有太大希望。否则,动辄几万、几十万的专业防火墙厂商都要关门下岗了。据测试,目前在技术上领先的欣向多WAN路由,采用了滤窗级防火墙专门技术,也仅达到了专业防火墙10%的效果。而其余的多WAN路由软件防火墙能力甚至都不及专业防火墙的1%。


  集成VPN和防火墙的路由器称作“安全路由器”,这是为极小规模、囊中羞涩的企业准备的产品。比如大型企业的小型分支机构、联机销售网点等,所以,选择这种产品要看是不是这类应用环境。


  对于大多数企业网络,建议不要选择这种“安全路由器”。比较正确地处理办法是,在路由器中开启VPN穿透功能,提供对VPN协议的支援,之后选择专业的VPN设备,这样处理效率能大幅提高,同时总体费用并没有增加。而防火墙,如果你遇到的攻击是零星的、偶发的、小能量的,路由器可以勉强应付。但在你经常被大量攻击的时候,就只能选择专业的防火墙才能有效果,大大破费一把是免不了的。
1条评分
寒江雪 电魂 +5 优秀文章 2009-05-25