VR7200是飞鱼星科技面向中型企业、网吧和社区等对带机量需求较大,网络环境相对复杂的用户群而设计的防火墙宽带路由器,采用2 WAN(百兆) + 3 LAN(百兆)的组合模式,满足客户多线接入需求,典型带机量在300-400左右(官方标称值,视具体网络环境而定)。
VR7200采用2 WAN口设计,不仅可以实现线路冗余,还为用户提供了低成本扩容上网带宽的途径,内置64位网络处理器,配备256MB DDRII 内存,在飞鱼星防火墙路由器产品线中,它是百兆系列的顶级产品。
VR7200所有的网络接口被设计在了前面板上,包括3个10/100Mbps自适应局域网接口,2个10/100Mbps自适应广域网接口,面板右侧部分为指示灯区,RESET恢复按键也在这里。VR7200机身尺寸为440mm×224mm×44mm,标准1U规格,使用随机附送的支架,可安装于标准机柜中,前置网络接口设计方便用户更改跳线和进行一般网络维护。
配置首页
登录VR7200的管理页面,在这里用户可以使用“配置向导”设置路由器,还可以快速查寻路由器的工作(负荷)状况,易用性和便捷性方面考虑得很周到。配置向导可以帮助用户完成一些基本的设置,如接入线路,内网DHCP等,当然,高级功能还需要另外设置。
系统运行状况
系统信息
连接数排行
系统日志
在“系统信息”页面可以了解到路由器当前的工作状状,比较重要的信息像“路由器负荷”, 系统负荷在5%-30%之间属于正常,在40%-100%之间属于繁忙;“当前网络连接数”,这是全局的会话数量,至于每客户端的连接数可以在“连接数排行”中看到。
“网络攻击报警”需要用户手动启用“系统日志”功能后才会生效,如果VR7200检测到攻击行为,会在此处发出警报。“系统信息”这个页面对于网管来讲还是很重要的,在首页只需一步点击就可以访问该页面。>>
带宽连接数管理
内网分析
管控效果
默认情况下,“内网分折”功能是关闭的。在这里可以了解到客户端的流量及连接数,如果管理员认为某客户端对网络资源的占用异常,只需点击“管控”一列相应客户端的 "√” 符号,就可方便的阻止客户端访问INTERNET。如上图所示,我们对192.168.0.105进行管控后,连接数和流量都得到了有效抑制。
连接数限制
VR7200除了提供有基本的连接数限制功能,还提供了“高级连接数限制”功能。所谓高级连接数限制功能是一种弹性的连接数管理策略,可以在启用连接数限制的情况下对特殊应用不进行限制,如ICMP,CS刷新服务器的瞬间大量连接,建议启用该功能。本页面设置的数值为全局默认的最大连接数,您可以通过规则列表来针对特殊IP主机设置不同的连接限制数量。
流量控制,VR7200支持优先处理游戏和网页流量
游戏优先
可对内网每个IP或IP段进行带宽限制,支持WAN口选择,支持时段策略>>
网络安全
网络攻击防御
ARP欺骗问题,根源其实是TCP/IP协议设计上的缺陷所致,坦白说并没有一个严格意义上的解决方法,在这方面各厂家也都拥有自己的技术,VR7200使用的ARP防欺骗机制是通过发送广播包来实现的,VR7200持续的向局域网内发送ARP包,通过这种方式不停刷新客户机上ARP缓存中的IP MAC对应表来达到抵制ARP欺骗的目的。
ICMP-FLOOD攻击防御测试
ICMP-FLOOD攻击防御测试时,饭盒将ICMP-FLOOD域值设置为每秒50包,随后使用测试工具向VR7200发送ICMP包,Angry-Ping这个工具有一个“特性”,就是当被攻击目标成功拦截过量的ICMP数据包时,Angry-Ping会报错,这证明ICMP-FLOOD防御是有效的,相应的事件记录在日志中也可以看到。
UDP-FLOOD攻击测试
UDP-FLOOD攻击测试时,饭盒将ICMP-FLOOD域值设置为每秒200包,测试时饭盒将UDP测试工具设置为每秒发送250个UDP包,其实单一客户端这一发包频率是远达不到DoS效果的,我们为的只是看出VR7200对UDP-FLOOD的拦截效果,如上图日志所示,拦截是有效的。
SYN-FLOOD攻击测试
SYN-FLOOD攻击防御功能可以通过IxChariot来验证,方法是在IxChariot中同时启动大量脚本,同时在VR7200中将SYN-FLOOD域值设为一个较低的值,在安全策略中只启用SYN-FLOOD防御功能。此时IxChariot测试是无法进行的,将安全策略禁用后,IxChariot可顺利完成。如上图是功能验证过程中产生的日志记录。>>
策略防火墙
防火墙设置,支持WAN口选择、端口策略、时段策略等功能
一键添加防火墙规则
饭盒觉得这项功能非常实用,在一些企业环境中,浏览网页和收发邮件也许是他们的唯一需求,如果没有网络维护经验,要如何设置路由器呢?说来也挺麻烦的。VR7200提供了非常简单的设置方式,如上图,可以仅允许浏览网页,仅收发邮件,或两者兼具,支持时间策略。
IP/MAC绑定
在VR7200中执行IP/MAC绑定非常简单,内网所有主机都会被列在动态列表中,只要点击“绑定”就可以对一台主机进行IP/MAC绑定,也可以扫描内网中的所有主机,然后一键绑定。
PConline评测室总结
飞鱼星VR7200是一款针对中型及大中型网络而设计的宽带接入设备,官方标称带机量300-400台,除了具备宽带路由器的基本功能外,像多WAN口接入、内网用户分类管理、自动负载平衡、防火墙等,其在策略灵活性上的表现亦十分突出,完全可以满足大型网络环境对复杂性和可管理性的要求,不仅可以对企业目前应用提供良好支撑,即使日后网络扩容也不会出现瓶颈。[返回频道首页]
