【PConline 评测】着眼细节,满足中小型网络的复杂需求,以这样的标准选购一款网络产品绝非易事,因为,小型网络的需求不见得就一定简单。国内网络设备厂商艾泰科技近期推出了他们的全新版网络操作系统ReOS,新版系统融合了网络安全管理、上网行为管理、网络维护管理等诸多特性。
中小企业,小区,酒店等,它们的网络有很多共同点,但又有一定区别,“一刀切”的管理方式可能最具成本优势,然而,除此之外,它还有任何可取之处吗?网络资源管理的本质是强调细节,这就要求网络产品不仅要有相关的功能,更要将相关的功能做细。
技术需要转化为实际的产品,只有这样才能最终向用户传递价值。接下来我们将向大家介绍艾泰U2000这款安全网关,U2000的核心正是新版艾泰ReOS操作系统。U2000具备智能NAT、带宽管理、IP/MAC 绑定、业务管理等功能,支持100 个PPPoE Server账号数,拥有多种形式的VPN 功能,支持PPTP/L2TP/IPSec等协议,16条并发隧道,适用于组建中小型企业网络、小区网络、酒店网络等。
酒店专用功能之即插即用上网
即插即用上网
启用即插即用功能后,PC设置任意IP、网关、DNS都可以上网。系统将默认开启ARP代理、DNS代理,关闭IP欺骗防御,允许未被IP/MAC绑定的主机通过。酒店中客人电脑的配置千奇百怪,服务中心可能会不断地接到求助电话,一家酒店几百个房间这可如何是好?U2000的即插即用特性可以做到无需改变电脑的任何设置就能上网。
左:当前电脑的IP信息 右:内网DHCP地址池
如果用户使用DHCP自动获取IP地址,在多数情况下不会出现无法上网的问题,但是总有万一,如上左图,我们为主机配置了静态IP地址,且与当前内网“合法”地址空间不匹配。
如上图,在开启了U2000的即插即用功能之后,网络依然畅通,PING百度正常,各种网络应用运行同样正常。另外,即插即用功能并不会影响到其它正常电脑上网。>>
-----------------------------------------------------------------------------
相关文章:
路由器购买经验 不花冤枉钱
//itbbs.pconline.com.cn/network/12667245.html
解析上网行为管理原理
//network.pconline.com.cn/netsafe/0911/1939687.html
最便宜上网行为管理路由器推荐
//network.pconline.com.cn/guide/1102/2340669.html
-----------------------------------------------------------------------------
对抗网络尖兵
用非常规手段对抗ISP封锁
艾泰科技官网对阻止共享检测的一些技术性描述
也许你听说过所谓的“网络尖兵”,ISP用其限制用户“私接”路由器共享网络。面对ISP,用户叫天天不应,叫地地不灵,无奈,只得借助非常规手段自给自足。
认证计费防御ARP——内网PPPoE服务
ARP问题是局域网的顽疾,避免此问题的一种低成本方式是在内网架设PPPoE服务器,从而不在内网运行ARP协议,这样所有基于ARP的攻击自然也就失效了,同时,由于拨号主机只能与路由器间进行通信,就算某台电脑中了病毒也不会影响到其它人。
很多情况下,限制用户访问外网是一种硬性要求,通过PPPoE服务可以做到这一点,然而,如果又想对某些用户网开一面,此时,仅有“只允许PPPoE用户上网”就不够了,解决这一问题,U2000支持设置例外地址组。
设置响应拨号请求的时间段
在创建用户时套用时间窗口
多种计费方式
账号到期通知
在企业中,PPPoE服务可以做为一种灵活的上网管理方式,让特定用户在特定时间访问外网资源。在出租屋环境中,可以将PPPoE服务做为主要的上网管理方式,配合多种计费方式和限速功能,运维一个小型具备认证计费功能的网络将是件很轻松的事。>>
策略路由
在多WAN口设备上,WAN口间实现负载均衡是“基本功”,而U2000提供了怎样的精细管理手段呢?
更加精细的网络流量管理
基于时间,选择特定WAN口,绑定内网应用及用户,有了这几个要素,精细化控制就成为了现实。通过配置策略路由,管理员可以实现对特定流量的精细化控制,除了指定流量的出口(WAN1或WAN2),还可以选择生效时间;在第二部分,生效地址可以基于源地址或目的地址,通过设置原地址可以区别对待内网中的用户;第三部分用于区分具体应用,可以基于端口号,也可以基于MAC或URL等,如下图:
服务组配置
服务类型可以基于第四层协议(TCP、UDP或其它协议),也可以基于URL、关键字、DNS或MAC地址。设置好服务组的内容后,直接在策略路由界面调用即可。
多种VPN接入方式
PPTP/L2TP VPN配置界面
IPSEC VPN配置界面
在企业环境中,VPN往往是必不可少的,无论是远程用户安全拨入还是在总部与分支机构之间建立SITE TO SITE的三层安全隧道,U2000都可以做到。
用户管理
U2000可以判断出内网中哪些主机配置了静态IP,哪些是通过DHCP获得的IP,点击一下 用户类型 可以进行排序,很方便。在这个界面中,所有用户的上传和下载速度可以看得一清二楚,如果想对某一用户进行限速或设置上网行为管理,只要点击相应用户就可直接跳转到设置页面。>>
上网行为管理
任何网络应用所产生的流量都有一定的特征,上网行为管理的机制正是对流量进行识别,进而套用策略对特定流量进行管理。上网行为管理功能经过多年的发展已相当成熟,所以我们将不再对这部分功能进行验证性测试。根据以往的测试经验,只要路由器声称支持相应项目,就能做到成功封堵。当然,偶尔也会封堵失败,究其原因基本都是由于软件更新造成的特征库不匹配所致,此时用户不用急,待厂商更新特征库之后问题自然就能得到解决。
例外QQ号筛选
QQ在登录时路由器是可以截获QQ号码的,基于此,区别对待不同的QQ号就成为了可能。
电子通告
电子公告可以方便的将短信息传达给所有或部分用户。U2000的电子通告功能支持调用预先配置的用户组。
网页认证
我用什么办法能做到让员工输入用户名和密码再上网?这一需求看似简单,但不幸的是,多数路由器都没有提供相关的实现方法。它有点像网络准入控制,但又不太相同,老板希望的只是限制员工访问外网,而内网可以正常使用。
除了PPPoE,还有另一种更适合企业网络的选择——网页认证上网,用户上网时,打开的第一个页面将是一个认证界面,只有用户通过了认证才能上网。
内网PPPoE服务不够好吗?事实上,确实不够好。PPPoE是一个点对点协议,工作在共享式的以太网中会出现一些“水土不符”,比如,主机间相互通信会有问题。将内网PPPoE服务用于实现上网认证并非不可以,但仅建议在出租屋这样的环境中使用,因为此时电脑之间不需要互相通信。
PConline评测室总结
试用下来,我们发现,艾泰U2000是一款在功能搭配上非常“均衡”的设备,用户几乎可以将U2000应用在任何场合,比如酒店、小区、出租屋和中小企业等环境。作为一款安全网关,U2000为网络管理人员提供了丰富的管理手段,而且在“全面”的同时,一些进阶特性,更有助于实现对网络资源进行精细化的分配和管理。
受限于篇幅,我们没有对一些常规功能进行介绍,包括端口VLAN、防火墙、内网状况监控等。[返回频道首页]
