理解如何配置USG100的關(guān)鍵之處是，記住它是面向?qū)ο蟮?，也就是說(shuō)，每個(gè)接口(wan1，wan2，lan1，...)都是一個(gè)對(duì)象。為每一個(gè)接口設(shè)定的IP地址和子網(wǎng)也是對(duì)象，通過(guò)一個(gè)VPN隧道和路由器背后的設(shè)備(如服務(wù)器或另一臺(tái)路由器)訪問(wèn)的子網(wǎng)也是對(duì)象。

最初的時(shí)候，配置所有這些不同的對(duì)象似乎有些麻煩，尤其是對(duì)那些不喜歡閱讀手冊(cè)的人來(lái)說(shuō)更是如此，其隨機(jī)配置手冊(cè)竟然長(zhǎng)達(dá)902頁(yè)。不過(guò)，當(dāng)你對(duì)它真正熟悉了之后，通過(guò)對(duì)象來(lái)設(shè)置它是一件非常方便的事情，因?yàn)槟憧梢栽诙鄠€(gè)設(shè)置中重用預(yù)定義好的對(duì)象。

路由、VPN和防火墻規(guī)則全部是使用不同的對(duì)象來(lái)創(chuàng)建的，如圖5所示，前五行是定義不同接口的子網(wǎng)的默認(rèn)對(duì)象。在這五個(gè)默認(rèn)對(duì)象下面，我創(chuàng)建了幾個(gè)不同的對(duì)象，其中WindowsMachine對(duì)象是一個(gè)Windows計(jì)算機(jī)的IP地址對(duì)象;ZLAN對(duì)象是通過(guò)另一臺(tái)路由器訪問(wèn)的子網(wǎng)對(duì)象;DFL對(duì)象是其它路由器接口的IP地址對(duì)象。我最終將使用這些對(duì)象來(lái)實(shí)現(xiàn)端口轉(zhuǎn)發(fā)、一個(gè)VPN隧道和一個(gè)靜態(tài)路由，下面將詳細(xì)解釋。

圖5、對(duì)象

在多數(shù)基礎(chǔ)型路由器中，在同一個(gè)簡(jiǎn)單的VPN配置界面中就可以完成對(duì)VPN隧道另一端子網(wǎng)的定義。但是，USG100要求該子網(wǎng)也定義為一個(gè)對(duì)象，然后增加到VPN配置中，另外，還需要定義一個(gè)策略路由，這樣通信可以通過(guò)該隧道來(lái)路由。由此我們可以看出一點(diǎn)，USG100能完成很多工作，但是你需要對(duì)它進(jìn)行必要的配置。

#p#

網(wǎng)絡(luò)接口設(shè)計(jì)

在USG100的7個(gè)千兆網(wǎng)口中，前兩個(gè)是WAN口，另外5個(gè)是用于內(nèi)部通信的LAN口。盡管WAN口的實(shí)際上聯(lián)線路一般不會(huì)達(dá)到1000Mbps，不過(guò)在一個(gè)路由器上擁有如此多高速端口還是一件令人高興的設(shè)計(jì)。MTU(最大傳輸單元)可以根據(jù)接口來(lái)進(jìn)行調(diào)整，不過(guò)調(diào)整范圍是576到1500字節(jié);它不支持巨型幀。

默認(rèn)配置下，端口1和端口2被設(shè)計(jì)用來(lái)進(jìn)行WAN連接，端口3和端口4屬于LAN1，端口5屬于LAN2，端口6則屬于LAN3，用來(lái)連接一個(gè)無(wú)線AP，而端口7則用于DMZ。但是，端口3到端口7都可以通過(guò)重新配置到以上4個(gè)部分中去，如圖6所示。

圖6、端口劃分

從圖7的狀態(tài)頁(yè)面中你可以看到，LAN1、LAN2、WLAN和DMZ接口被指定了5個(gè)不同的子網(wǎng)。為每個(gè)LAN設(shè)置不同的子網(wǎng)的意義是，通過(guò)使用可以應(yīng)用到接口、IP或子網(wǎng)的防火墻規(guī)則，我們能夠控制網(wǎng)絡(luò)之間的通信。

圖7、接口

除了7個(gè)千兆以太網(wǎng)口外，通過(guò)USG100后面板上的PCMCIA插槽，你還可以插入一個(gè)3G WWAN卡或一個(gè)802.11b/g無(wú)線局域網(wǎng)卡。另外，一個(gè)3G USB WWAN設(shè)備還可以連接到USG100前面板上的兩個(gè)USB口之一。

#p#

VLAN功能測(cè)試

通過(guò)將一個(gè)網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng)，可以有效的實(shí)現(xiàn)VLAN廣播控制，而且無(wú)需增加昂貴的可網(wǎng)管交換機(jī)。根據(jù)我的測(cè)試USG100上的上述配置，一臺(tái)連接在從LAN1出來(lái)的無(wú)網(wǎng)管交換機(jī)上的計(jì)算機(jī)，可以獲得192.168.21.0/24子網(wǎng)的一個(gè)IP地址，而另一臺(tái)連接在從DMZ接口出來(lái)的無(wú)網(wǎng)管交換機(jī)上的計(jì)算機(jī)則可以獲得192.168.13.0/24子網(wǎng)的一個(gè)IP地址。

而且，多個(gè)VLAN可以被配置到同一個(gè)USG100接口上，通過(guò)這個(gè)功能，USG100可以連接到一個(gè)支持802.1q VLAN的可網(wǎng)管交換機(jī)上。然后你可以在USG100上對(duì)每一個(gè)VLAN配置不同的DHCP服務(wù)器，從而實(shí)現(xiàn)子網(wǎng)到VLAN的1對(duì)1網(wǎng)絡(luò)映射。

我對(duì)這個(gè)功能進(jìn)行了測(cè)試，在這臺(tái)USG100的LAN1接口上配置了兩個(gè)不同的VLAN，每一個(gè)VLAN具有單獨(dú)的DHCP服務(wù)器，如圖8所示。然后，我在一個(gè)網(wǎng)件可網(wǎng)管交換機(jī)上配置了相同的VLAN，并且為兩個(gè)VLAN分別加入了兩個(gè)不同的交換機(jī)端口。

圖8、VLAN

另外我還在這個(gè)可網(wǎng)管交換機(jī)上進(jìn)行了一些其它配置。最終，我將一臺(tái)計(jì)算機(jī)連接到該交換機(jī)上的不同端口時(shí)，會(huì)得到對(duì)應(yīng)的USG100上VLAN設(shè)置中所指定的IP地址，由此驗(yàn)證了USG100可以識(shí)別802.1q VLAN標(biāo)簽。

#p#

路由功能測(cè)試

USG100上可配置的路由選項(xiàng)包括，策略路由、靜態(tài)路由、RIPE和OSPF。策略路由被大量用于控制通過(guò)USG100的通信數(shù)據(jù)。在USG100中的策略路由選項(xiàng)，可以實(shí)現(xiàn)根據(jù)進(jìn)入接口、源和目的子網(wǎng)、服務(wù)(協(xié)議)和下一跳目的地(接口或IP)來(lái)定義通信路徑。

在圖9中，我配置了最上面的策略路由，來(lái)實(shí)現(xiàn)到另一臺(tái)路由器之后的子網(wǎng)的通信路由。被路由的通信起源于LAN2_SUBNET(192.168.3.0/24)，轉(zhuǎn)向另一臺(tái)路由器后的一個(gè)子網(wǎng)，我為它創(chuàng)建了一個(gè)名為DFLLAN(192.168.10.0/24)的對(duì)象。這個(gè)通信的下一跳是另一個(gè)路由器的IP地址，我為它創(chuàng)建了一個(gè)名為DFLLAN的對(duì)象。、

圖9、策略路由

圖9中所示的第二個(gè)策略路由是，對(duì)通過(guò)VPN隧道的數(shù)據(jù)進(jìn)行路由。通過(guò)這個(gè)配置，可以讓源自我的內(nèi)部子網(wǎng)(LAN2_SUBNET)的通信數(shù)據(jù)，路由到通過(guò)VPN隧道訪問(wèn)的遠(yuǎn)端子網(wǎng)(ZLAN)，我通過(guò)一個(gè)名為ZVNTest的對(duì)象來(lái)實(shí)現(xiàn)它，該對(duì)象指定了VPN隧道另一端的IP地址。

#p#

WAN口功能測(cè)試

USG100使用了WAN Trunks來(lái)實(shí)現(xiàn)WAN口的失效轉(zhuǎn)移，管理多個(gè)ISP連接。默認(rèn)配置下，WAN接口1和接口2就是第一個(gè)WAN Trunk的成員。USG100采用的失效轉(zhuǎn)移方式是保持兩個(gè)接口都處于激活狀態(tài)，對(duì)通信進(jìn)行均衡;而并非采用一個(gè)WAN接口激活時(shí)另一個(gè)接口處于等待狀態(tài)的模式。

默認(rèn)配置下，WAN Trunks上啟用“Link Sticking”功能，它可以確保從內(nèi)部設(shè)備到一個(gè)特定外部服務(wù)器的通信數(shù)據(jù)不被負(fù)載均衡到多個(gè)WAN接口上。這可以防止跟蹤源IP地址的服務(wù)器的連接問(wèn)題。

WAN連接的選項(xiàng)包括，最小負(fù)載優(yōu)先、權(quán)重輪詢(xún)調(diào)度和溢出轉(zhuǎn)移。在這所有三個(gè)算法中，你可以為每一個(gè)WAN接口配置進(jìn)入和外出帶寬，從而有效的確保最優(yōu)利用率。

如果選擇最小負(fù)載優(yōu)先算法，USG100將根據(jù)配置的帶寬和測(cè)量到的使用率，通過(guò)流量利用率較低的WAN接口來(lái)傳輸數(shù)據(jù)，從而有效的在兩個(gè)WAN接口上實(shí)現(xiàn)最大化的通信傳輸效率。

而權(quán)重輪詢(xún)調(diào)度則利用了為每一個(gè)WAN接口配置的權(quán)值。如果WAN2的權(quán)值是2，而WAN1的權(quán)值是1，則會(huì)選擇WAN2來(lái)進(jìn)行數(shù)據(jù)傳輸。

對(duì)于溢出轉(zhuǎn)移，USG100會(huì)一開(kāi)始一直使用一個(gè)接口來(lái)傳輸數(shù)據(jù)，當(dāng)該接口的占用帶寬達(dá)到了設(shè)置的帶寬值時(shí)，然后再轉(zhuǎn)移到下一個(gè)接口。

另外，USG100還支持?jǐn)?shù)據(jù)傳輸統(tǒng)計(jì)功能，可以讓你通過(guò)圖形化報(bào)表方式來(lái)查看WAN或LAN接口的利用情況，如圖10所示。另外，通過(guò)這個(gè)功能，你不僅僅可以通過(guò)接口來(lái)查看流量，還可以通過(guò)端口和協(xié)議來(lái)觀察通信類(lèi)型。

圖10、通信數(shù)據(jù)統(tǒng)計(jì)

#p#

防火墻功能測(cè)試

配置USG100的防火墻，與配置路由非常相似。防火墻通過(guò)建立在接口和對(duì)象上的規(guī)則來(lái)進(jìn)行管理，定義哪些通信被允許和拒絕。和大多數(shù)防火墻一樣，USG100阻擋多數(shù)進(jìn)入通信，而允許外出通信。

舉個(gè)例子來(lái)說(shuō)，盡管有一個(gè)DMZ端口，我還是不得不為防火墻增加一條規(guī)則，來(lái)允許外部通信數(shù)據(jù)可以到達(dá)連接到DMZ端口上的設(shè)備。在圖11的第一行中，你可以看到，我增加了一條簡(jiǎn)單的規(guī)則，來(lái)允許任何來(lái)源的通信可以到達(dá)DMZ接口。在增加這條規(guī)則之前，盡管我的VOIP電話是在USG的DMZ區(qū)，我還是不能收到外部的任何呼叫。

圖11、防火墻配置

多數(shù)防火墻的一個(gè)共同功能是端口轉(zhuǎn)發(fā)，在USG100上，端口轉(zhuǎn)發(fā)是通過(guò)創(chuàng)建虛擬服務(wù)器來(lái)完成的。

為了轉(zhuǎn)發(fā)遠(yuǎn)程桌面連接(RDC)到我的Windows計(jì)算機(jī)，我首先創(chuàng)建了一個(gè)Host對(duì)象，來(lái)識(shí)別我的Windows計(jì)算機(jī)的IP地址，如圖12所示，我給這個(gè)對(duì)象指定了一個(gè)“WindowsMachine”名稱(chēng)。然后，我創(chuàng)建了一條虛擬服務(wù)器規(guī)則，來(lái)將來(lái)自WAN1接口的通信轉(zhuǎn)發(fā)給Host對(duì)象的RDC所使用的特定端口——3389。這樣，我就可以通過(guò)互聯(lián)網(wǎng)來(lái)使用遠(yuǎn)程桌面訪問(wèn)的WindowsMachine計(jì)算機(jī)。

圖12、虛擬服務(wù)器配置

#p#

VPN功能測(cè)試

要想實(shí)現(xiàn)更安全的通過(guò)互聯(lián)網(wǎng)訪問(wèn)局域網(wǎng)設(shè)備，你可以選擇使用VPN功能。USG100支持多種VPN技術(shù)，包括IPSec站站VPN、IPSec客戶(hù)端VPN和SSL客戶(hù)VPN。我對(duì)這些VPN功能逐一進(jìn)行了測(cè)試，發(fā)現(xiàn)它們各有優(yōu)缺點(diǎn)。

在下圖的圖13中，你可以查看兩個(gè)激活的的VPN連接的狀態(tài)顯示。第一個(gè)是一個(gè)IPSec站到站VPN連接，第二個(gè)則是IPSec客戶(hù)端VPN連接。最右側(cè)Action下的圖標(biāo)可以讓你確定該連接是否處于激活狀態(tài)，由此證明，USG100能夠同時(shí)運(yùn)行不同類(lèi)型的VPN連接。

圖13、VPN配置

通過(guò)IPSec站點(diǎn)到站點(diǎn)隧道，USG100可以通過(guò)因特網(wǎng)等公眾網(wǎng)絡(luò)來(lái)連接到其它路由器。在我的測(cè)試中，我非常喜歡USG100在配置IPSec站點(diǎn)到站點(diǎn)VPN隧道時(shí)的簡(jiǎn)潔性，但是對(duì)它的協(xié)同功能和吞吐能力非常失望。

我在USG100和一個(gè)網(wǎng)件交換機(jī)之間建立了一個(gè)站點(diǎn)到站點(diǎn)VPN隧道。盡管我可以USG100與該交換機(jī)之間建立一個(gè)連接，卻不能通過(guò)這個(gè)連接來(lái)發(fā)送數(shù)據(jù)。

合勤科技的這個(gè)安全設(shè)備支持所有的典型加密和認(rèn)證算法，包括DES、3DES和具有MD5和SHA-1認(rèn)證的AES-127/192/256加密。我使用了默認(rèn)的DES加密和SHA-1認(rèn)證。

為了測(cè)試VPN的吞吐能力，我使用了Jperf來(lái)產(chǎn)生從局域網(wǎng)到合勤科技局域網(wǎng)的通信，然后對(duì)其進(jìn)行反向測(cè)試。在測(cè)量VPN吞吐能力之前，我訪問(wèn)了一個(gè)常見(jiàn)的網(wǎng)站來(lái)測(cè)量我的ISP上傳和下載速度。這一點(diǎn)是非常重要的，因?yàn)閂PN吞吐能力不可能超過(guò)發(fā)送端的上傳速度和接收端下載速度中的較低速度。

以下是我的測(cè)試數(shù)值表：

圖14、測(cè)試數(shù)值

從以上測(cè)試數(shù)據(jù)可以看出，在進(jìn)行從合勤科技局域網(wǎng)到我的局域網(wǎng)VPN連接吞吐能力測(cè)試的時(shí)候，其測(cè)試數(shù)值只有最大可能連接速度的15%。

當(dāng)然，由于此項(xiàng)測(cè)試通過(guò)公眾互聯(lián)網(wǎng)傳輸數(shù)據(jù)，很難說(shuō)瓶頸到底在哪兒。

#p#

IPSec客戶(hù)端測(cè)試

IPSec客戶(hù)端VPN功能也有它的優(yōu)勢(shì)和不足。合勤科技使用了二層隧道協(xié)議(L2TP)和IPSec技術(shù)來(lái)實(shí)現(xiàn)IPSec客戶(hù)端VPN連接。這個(gè)解決方案的優(yōu)點(diǎn)是，L2TP軟件在Windows XP和Vista中都內(nèi)置，省去了加載和配置另一個(gè)應(yīng)用軟件的麻煩。USG100可以支持多達(dá)50個(gè)IPSec客戶(hù)端，無(wú)需任何額外的許可費(fèi)用。

在合勤科技的說(shuō)明書(shū)中，有一個(gè)非常有用的配置示例，可以幫助你正確的配置USG100和客戶(hù)端PC。和USG100上的其它功能配置一樣，你需要多個(gè)步驟來(lái)完成配置，其中包括建立VPN網(wǎng)關(guān)、VPN連接、多個(gè)地址對(duì)象、用戶(hù)名和密碼，以及一個(gè)策略路由。

我在一臺(tái)Vista筆記本上配置了一個(gè)L2TP/IPSec VPN連接，需要輸入預(yù)共享密鑰、用戶(hù)名和密碼、USG100的IP地址，以及啟用PAP，如圖15所示。配置完成后，我可以從這臺(tái)Vista筆記本上正確的連接到USG100上。

圖15、配置PAP

這種解決方案的缺陷是，正如設(shè)備手冊(cè)中所說(shuō)的那樣，L2TP/IPSec VPN連接不支持NAT，因此客戶(hù)端PC必須具有一個(gè)公網(wǎng)IP地址。對(duì)于某些用戶(hù)來(lái)說(shuō)，這可能是一個(gè)非常大的缺陷。

#p#

SSL VPN測(cè)試

對(duì)于遠(yuǎn)程客戶(hù)端訪問(wèn)，我更喜歡的VPN解決方案是SSL VPN技術(shù)，USG100也支持該技術(shù)。通過(guò)SSL VPN技術(shù)，用戶(hù)無(wú)需再使用客戶(hù)端，只要通過(guò)一個(gè)瀏覽器即可，它可以支持更多遠(yuǎn)程網(wǎng)絡(luò)類(lèi)型，而且配置也更簡(jiǎn)單。

我發(fā)現(xiàn)，在USG100上建立SSL VPN連接非常簡(jiǎn)單。所有需要用戶(hù)做的就是創(chuàng)建一個(gè)用戶(hù)名和密碼，然后為SSL客戶(hù)端啟用和配置訪問(wèn)權(quán)限。

圖16、SSL VLPN配置

配置完成后，我可以從一臺(tái)運(yùn)行著Windows XP Pro系統(tǒng)的筆記本上遠(yuǎn)程連接到圖16所示的三個(gè)不同子網(wǎng)中的設(shè)備。

在運(yùn)行SSL客戶(hù)端的時(shí)候，我在DOS命令窗口下輸入了命令“netstat -r”，得到圖17所示窗口，顯示了我的筆記本的路由表。注意左側(cè)的目的網(wǎng)絡(luò)中包含192.168.3.0、192.168.10.0和192.168.13.0，這些子網(wǎng)正是USG100中地址對(duì)象的子網(wǎng)。這個(gè)輸出證明，我的筆記本已經(jīng)安裝了可以通過(guò)SSL VPN訪問(wèn)這些網(wǎng)絡(luò)的路由。

圖17、SSL連接的netstat命令輸出

SSL VPN的好處之一是，遠(yuǎn)端PC用戶(hù)無(wú)需配置什么，因?yàn)檫@個(gè)連接是通過(guò)瀏覽器建立起來(lái)的，瀏覽器會(huì)自動(dòng)下載一個(gè)SSL連接applet。不過(guò)，這些applets依然必須與不同的瀏覽器相兼容。我可以使用IE7和Firefox 3.0.1通過(guò)一個(gè)SSL VPN連接到USG100上，但是蘋(píng)果的Safari瀏覽器不可以。

另外，SSL applets還必須與客戶(hù)端計(jì)算機(jī)的操作系統(tǒng)相兼容。不幸的是，USG100的SSL VPN只支持XP，而且只支持兩個(gè)許可。(后者是一個(gè)產(chǎn)品策略問(wèn)題，而并非一個(gè)技術(shù)缺陷。)據(jù)合勤科技稱(chēng)，支持Vista的SSL applets將在2009年推出。

#p#

性能評(píng)測(cè)

為了評(píng)價(jià)路由器性能，我使用Jperf進(jìn)行LAN和WAN之間的雙向吞吐能力測(cè)試。每一個(gè)方向我進(jìn)行了三次測(cè)試，取其平均值，測(cè)試結(jié)果如圖18所示。

我按照兩種情況進(jìn)行了測(cè)試，分別是在關(guān)閉防火墻功能和開(kāi)啟防火墻功能情況下重復(fù)測(cè)試工作。

圖18、吞吐能力測(cè)試結(jié)果

從上面的測(cè)試結(jié)果中，我們可以得出兩點(diǎn)結(jié)論。第一，盡管它的性能非常均衡，而且比其它UTM設(shè)備要高一些，但是它很明顯未能完全利用其千兆接口的性能。第二，USG的防火墻功能會(huì)使其吞吐能力降低5-6Mbps。

不過(guò)，它的這一吞吐能力已經(jīng)完全可以滿(mǎn)足絕大多數(shù)企業(yè)互聯(lián)網(wǎng)連接的需要。

而且，數(shù)據(jù)流吞吐能力非常穩(wěn)定，沒(méi)有出現(xiàn)驟降的現(xiàn)象。在我的測(cè)試過(guò)程中，Jperf所產(chǎn)生的曲線相對(duì)非常平穩(wěn)，如圖19所示。

圖19、LAN到WAN時(shí)Jperf吞吐數(shù)據(jù)

總結(jié)：瑕不掩瑜 功能強(qiáng)大

和許多UTM產(chǎn)品相比，USG100用戶(hù)可以免費(fèi)進(jìn)行固件升級(jí)，以及獲得免費(fèi)電話支持。其強(qiáng)大的保障和支持團(tuán)隊(duì)對(duì)產(chǎn)品非常熟悉，而且合勤科技為USG100提供5年質(zhì)保。

總體來(lái)說(shuō)，USG100是一款非常強(qiáng)大的安全網(wǎng)關(guān)設(shè)備。它的VLAN功能尤其令人印象深刻。USG100的多子網(wǎng)功能配合VLAN功能，可以讓你選擇使用便宜的無(wú)網(wǎng)管交換機(jī)，當(dāng)然，如果你想完全利用強(qiáng)大的VLAN功能，需要去購(gòu)買(mǎi)價(jià)格相對(duì)較高的網(wǎng)管交換機(jī)。

在不足方面有，它目前還沒(méi)有支持Vista的SSL VPN applet。而且，我希望它能更充分的利用其千兆網(wǎng)口的性能，實(shí)現(xiàn)更高的路由吞吐能力。

【編輯推薦】

1. Hillstone SA-5050安全網(wǎng)關(guān)性能評(píng)測(cè)報(bào)告
2. 內(nèi)容安全網(wǎng)關(guān) 冠群金辰內(nèi)容安全網(wǎng)關(guān)KSG家族