【51CTO.com 獨(dú)家特稿】12月28日， D-Link在北京發(fā)布了企業(yè)管理路由器新品DI-7001，這款產(chǎn)品主要是面向小型企業(yè)級(jí)用戶，旨在解決企業(yè)進(jìn)行上網(wǎng)行為管理方面的問題。

本著實(shí)事求是的精神，我們對(duì)DI-7001進(jìn)行了一次全面完整的評(píng)測(cè)，它到底是不是"開啟了企業(yè)管理路由的新紀(jì)元"，實(shí)際運(yùn)行效果又是怎樣的呢？下面就是見證奇跡的時(shí)刻了。

[[18561]]

外觀和硬件設(shè)計(jì)

DI-7001采用了企業(yè)級(jí)產(chǎn)品慣用的鐵殼設(shè)計(jì)，一般來說，鐵殼具有良好的堅(jiān)固性和屏蔽性。DI-7001的整體外包裝偏小，大小基本和一臺(tái)14寸筆記本相等。當(dāng)然這不過是外包裝而已，什么也說明不了。

開箱之后可以看到一張400貼紙，一條網(wǎng)線，一個(gè)電源，一臺(tái)主機(jī)以及說明書、光盤和保修卡。#p#

這張貼紙很不錯(cuò)，企業(yè)中維護(hù)的時(shí)候，假如網(wǎng)管發(fā)現(xiàn)路由器出了問題，也不需要找店保了，直接一個(gè)400搞定。屬于小細(xì)節(jié)大作用。

由于附贈(zèng)說明書的簡(jiǎn)陋，使得光盤的責(zé)任重大（詳細(xì)版的說明書在光盤中）。保修卡上印有序列號(hào)和MAC地址，節(jié)省了用戶填寫的時(shí)間。

外部鋼殼，兩側(cè)開有不小的散熱孔，由于鐵的熱傳導(dǎo)性優(yōu)于普通ABS塑料，可以預(yù)見散熱效果的強(qiáng)勁。

路由器整體純黑色調(diào)，面板上嵌入了一塊乳白色的指示面板。正面左側(cè)是D_LINK的DinkGreen?標(biāo)志，之后是Power和Sys燈，右側(cè)則是Wan和4個(gè)Lan的網(wǎng)口指示燈。#p#

小知識(shí)：D_inkGreen屬于一種節(jié)能技術(shù)，具體包含了兩種節(jié)能方式。

1、根據(jù)計(jì)算線纜長(zhǎng)度，網(wǎng)口自動(dòng)增大和縮小發(fā)射功率，以達(dá)到省電功能。

2、根據(jù)網(wǎng)口是否連通，確定是否給該端口供電，以達(dá)到省電功能。

由于這兩種技術(shù)的存在，自然可以降低機(jī)器的熱功耗，間接的對(duì)提升系統(tǒng)穩(wěn)定性帶來一定效果。

背面的設(shè)計(jì)依然很簡(jiǎn)單，依次是電源、4個(gè)Lan口，一個(gè)Wan口，以及一個(gè)系統(tǒng)復(fù)位按鈕。

產(chǎn)品底部有一個(gè)產(chǎn)品銘牌，以及D-Link的防偽鐳射貼紙。美中不足是沒有標(biāo)出WAN的MAC地址。在普通家用級(jí)產(chǎn)品上，該屬性都是必備的。然而在DI-7001上，這個(gè)細(xì)節(jié)不知是有意為之還是忽略了。

接下來開始拆開主機(jī)，看看硬件。結(jié)果發(fā)現(xiàn)機(jī)器異常之好拆，僅僅卸開兩顆螺絲就搞定了。#p#

可以看到主板和面板中間通過數(shù)據(jù)線連接。

主板設(shè)計(jì)結(jié)構(gòu)很緊湊，其中A區(qū)左上角是連接前面板的數(shù)據(jù)線。從圖上看，標(biāo)識(shí)保留了WLAN和WPS按鈕的位置，可以預(yù)見的，該主板稍作修改，就可以支持無線網(wǎng)絡(luò)。

B區(qū)是兩顆IC42S16160的4M芯片。共同組成了8M的存儲(chǔ)芯片，用于機(jī)器的配置和固件保存。實(shí)際可用空間是4M，而不是的8M，這也就是官方說明中所說的"雙BIOS設(shè)計(jì)確保系統(tǒng)升級(jí)無風(fēng)險(xiǎn)，安全享用新固件。"平心而論，這種設(shè)計(jì)在成本上增加不了多少，但卻給用戶帶來了不少的信心保障。#p#

小知識(shí)：

對(duì)電子信息感興趣的朋友，可以點(diǎn)擊下面這個(gè)鏈接查看IC42S16160的具體參數(shù)。

http://cnpdf.alldatasheet.com/datasheet-pdf/view/140252/ICSI/IC42S16160.html

C區(qū)是一顆Spansion（飛索）的64M內(nèi)存芯片S29GL064N。關(guān)于這個(gè)64M，這里想稍微解釋一下，可能很多人覺得，現(xiàn)在電腦上的內(nèi)存動(dòng)不動(dòng)就2G、4G、這64M有什么好講的。事實(shí)上，在家用級(jí)的無線路由器上，也大多是采用4M、8M的內(nèi)存，用個(gè)16M那都屬于廠商下了狠料。

Discrete Search Results

小知識(shí)：感興趣依然可以點(diǎn)擊進(jìn)去看看這顆芯片的具體參數(shù)。

http://www.spansion.com/Products/Pages/ProductDetail.aspx?ProdID=S29GL064N

 在相對(duì)巨大的散熱片下覆蓋的，就是路由器的CPU，不過由于DLINK采用焊接的技術(shù)將散熱片固定在了主板上，拆除散熱片還需要吸焊。

拆開后終于看到了這顆Ralink的RT3052F，主頻384MHz，怎么說呢……這顆芯片支持802.11N無線解決方案。這也驗(yàn)證了之前的猜想，技術(shù)上，DI-7001很容易升級(jí)成支持無線的版本。#p#

[[18570]]

最后來張產(chǎn)品與手機(jī)的合影，使大家可以對(duì)產(chǎn)品大小有一個(gè)直觀的概念。接下來我們進(jìn)入軟件測(cè)試環(huán)節(jié)。

畢竟，硬件配置再高，外觀再漂亮，干活不利落也是不行的。

基本功能介紹

默認(rèn)情況下，在IE地址欄輸入http://192.168.0.1 進(jìn)入系統(tǒng)設(shè)置界面。用戶和密碼均為admin。

界面左側(cè)為大類，點(diǎn)擊后展開小類，右側(cè)為小類的具體設(shè)置項(xiàng)。其下部則是Dlink Green的綠色標(biāo)志。

假如想調(diào)試下直接上網(wǎng)，那么設(shè)置起來和普通路由器并沒有什么差別，都是設(shè)置PPPOE，然后輸入賬號(hào)和口令，或者點(diǎn)擊"配置向?qū)?quot;，一步一步的進(jìn)行下去就可以。然而如果僅僅是這樣來使用，那就實(shí)在是對(duì)不起這"企業(yè)級(jí)"的頭銜了。#p#

在系統(tǒng)狀態(tài)→系統(tǒng)信息下，我們可以看到路由器的運(yùn)行時(shí)間、CPU利用率，以及連接數(shù)（官方標(biāo)注該路由器最大8000并發(fā)）。網(wǎng)絡(luò)攻擊報(bào)警等信息。同時(shí)可以點(diǎn)擊連接數(shù)排行按鈕，查看當(dāng)前用戶的連接數(shù)情況。

小知識(shí)：連接數(shù)即用戶與各類網(wǎng)絡(luò)應(yīng)用建立的鏈接總數(shù)，數(shù)字越低，路由器的負(fù)載越低。數(shù)字越高，延時(shí)越大，路由器負(fù)載越大。迅雷等軟件都有一個(gè)設(shè)置下載的"原始地址線程數(shù)"，這個(gè)數(shù)字設(shè)置的越大，連接數(shù)也就越多。同時(shí)各類網(wǎng)絡(luò)視頻軟件，都會(huì)建立很大數(shù)量的連接數(shù)。如果僅僅是網(wǎng)頁(yè)訪問，那么100的連接數(shù)已經(jīng)足夠。而如果使用迅雷下載，那么1000的連接數(shù)也很常見。

在系統(tǒng)狀態(tài)→網(wǎng)絡(luò)接口下，可以很清晰的看到當(dāng)前的網(wǎng)絡(luò)配置情況。值得注意的是，本路由器可以設(shè)置多個(gè)內(nèi)網(wǎng)IP，以方便在多個(gè)網(wǎng)段下進(jìn)行訪問。

DI-7001的日志功能也很不錯(cuò)，可以詳細(xì)的看到修改策略的每一條日志，方便對(duì)路由器的功能調(diào)整。#p#

在內(nèi)網(wǎng)監(jiān)控欄目下，只要啟用了內(nèi)網(wǎng)分析功能，就可以看到目標(biāo)主機(jī)的網(wǎng)絡(luò)訪問流量情況。同時(shí)可以查看該主機(jī)當(dāng)前打開的連接，只要點(diǎn)擊色箭頭所指向的兩個(gè)鏈接即可。當(dāng)發(fā)現(xiàn)某人流量異常時(shí)候，可以點(diǎn)擊右側(cè)的"√"按鈕，阻止其訪問互聯(lián)網(wǎng)。

有哪些訪問連接，一目了然，這個(gè)功能可以查看用戶是否使用了迅雷或PP等大連接數(shù)的軟件。

報(bào)文捕捉功能可以和內(nèi)網(wǎng)監(jiān)控功能配合使用，當(dāng)指定IP和端口范圍后，可以抓出適合WireShark所查看的數(shù)據(jù)包。

很明顯，這種抓包分析的方式更具有針對(duì)性，同時(shí)也更具有專業(yè)性。#p#

在基礎(chǔ)設(shè)置中，還有一個(gè)地方很有意思，那就是DHCP服務(wù)器。眾所周知，DHCP服務(wù)器可以算是所有路由器的標(biāo)配。DI-7001所不同的地方在于，它可以設(shè)置無限期的租約，以及能夠自動(dòng)綁定IP/MAC。這對(duì)于企業(yè)網(wǎng)絡(luò)管理來說，部署網(wǎng)絡(luò)可以更加快捷和明確。

上網(wǎng)行為管理

上網(wǎng)行為管理作為DI-7001的重頭戲，被D-LINK所看好，自然要拿出點(diǎn)真功夫。下面來跟我一起參觀下上網(wǎng)行為管理的實(shí)際應(yīng)用部分。

首先，我們需要根據(jù)公司的實(shí)際操作環(huán)境，設(shè)置IP地址組。IP組，一般和業(yè)務(wù)職能相匹配，如可以上網(wǎng)的市場(chǎng)部、不能上網(wǎng)的財(cái)務(wù)部、上網(wǎng)不做任何限制和監(jiān)視的高層領(lǐng)導(dǎo)組、之后的上網(wǎng)行為策略，都是根據(jù)IP組來劃分的。之后如果企業(yè)環(huán)境有所變化，只需要更改IP組內(nèi)的成員即可，而不需要對(duì)多個(gè)用戶設(shè)置不同的安全策略。

為了后面敘述的方便，這里我設(shè)置了3個(gè)組別，最終設(shè)置好后，界面是這樣的。接下來就可以設(shè)置上網(wǎng)行為管理的策略了。

在上網(wǎng)行為管理→WEB訪問控制下，我們可以設(shè)置網(wǎng)絡(luò)訪問的策略，其分為白名單、黑名單和網(wǎng)址分類管理。優(yōu)先級(jí)也是依次遞減。#p#

如我們的公司域名為www.aaa.com，那么在白名單下添加一條記錄aaa.com，則可以對(duì)aaa.com下所有的網(wǎng)站放行。

如我們的競(jìng)爭(zhēng)對(duì)手公司域名為www.bbb.com，那么在黑名單下添加一條記錄bbb.com，則可以禁止員工訪問競(jìng)爭(zhēng)對(duì)手的網(wǎng)站跳槽等等。這種策略在某些公司中可能會(huì)應(yīng)用的到，當(dāng)然，我希望這條策略的應(yīng)用方式不是這樣的。

當(dāng)我打開電子購(gòu)物網(wǎng)的阻斷時(shí)，輸入www.360buy.com，會(huì)跳出如上提示?？梢钥吹?/p>

在網(wǎng)址分類管理中，我們可以設(shè)置對(duì)各類網(wǎng)站進(jìn)行阻斷、記錄、和警告處理。如果選中"阻斷"，那么員工在打開類似www.duowan.com這種網(wǎng)站時(shí)，會(huì)自動(dòng)跳轉(zhuǎn)到指定的頁(yè)面。

這里還有一個(gè)更重要的選項(xiàng)："例外IP地址組"，如果你想快速并且順利的把網(wǎng)絡(luò)限制的方案在企業(yè)中布置下來，那么這個(gè)選項(xiàng)是必須的。它可以對(duì)你的高層領(lǐng)導(dǎo)或者其他人員不采用如上的網(wǎng)絡(luò)限制方案。這個(gè)功能，相信你懂的，活學(xué)活用吧。

在WEB安全設(shè)置中，我們可以設(shè)置過濾不讓訪問的文件擴(kuò)展名和URL關(guān)鍵字，同樣的，這里依然可以設(shè)置例外的IP地址組。我想實(shí)施上網(wǎng)行為管理項(xiàng)目失敗的公司，應(yīng)該有很大一部分原因是對(duì)這項(xiàng)功能的漠視和不作為造成的。#p#

接下來我們可以設(shè)置電子功能功能。有時(shí)候公司要開個(gè)會(huì)，但是大家都在下面干活，行政小MM一個(gè)一個(gè)的去通知顯然不切實(shí)際。那么通過這個(gè)功能，可以很方便的對(duì)大家提醒。

這項(xiàng)功能的實(shí)現(xiàn)應(yīng)該說是DNS劫持或者類似的技術(shù)，并且實(shí)現(xiàn)的非常完美。

在聊天軟件過濾中，我們可以設(shè)置各種IM軟件的過濾功能，并且QQ可以根據(jù)QQ號(hào)碼來辨識(shí)，如某些員工上班必須要開QQ與外界聯(lián)系。但是我又不想讓她打開自己的私人QQ。那么可以開啟這項(xiàng)功能。#p#

可能有的人會(huì)說，使用"例外IP組功能"來實(shí)現(xiàn)不行么？是的，這樣也可以，但是如果使用了"例外IP組"，后面的MSN/旺旺也就不能禁止了。對(duì)于助理、經(jīng)理這種職位，使用例外QQ號(hào)就足夠了。

接下來是股票軟件的設(shè)置，這方面我了解不多，不過設(shè)置原則基本還是一樣的。

關(guān)于P2P軟件過濾，不論是下載還是視頻觀看，都可以有效的進(jìn)行管理。不過由于這部分的限制規(guī)則較多，比較消耗CPU資源，建議根據(jù)公司的實(shí)際情況進(jìn)行禁止。

在網(wǎng)頁(yè)游戲過濾的頁(yè)面上，僅僅只有兩個(gè)游戲的過濾設(shè)置。相對(duì)于現(xiàn)在市面上那么多的網(wǎng)頁(yè)游戲來說，實(shí)在是有些薄弱。還好我們可以WEB安全→過濾的URL關(guān)鍵字進(jìn)行限制。#p#

使用傳統(tǒng)的防火墻規(guī)則可以擁有更大的自由性，但這需要一定的網(wǎng)絡(luò)基礎(chǔ)知識(shí)，一般來說，粗通CCNA和MCSE的同學(xué)都可以看明白這個(gè)設(shè)置。如上圖所示，我設(shè)置了一條規(guī)則，高層領(lǐng)導(dǎo)在周一到周六的8點(diǎn)和下午8點(diǎn)之間，不允許通過郵件客戶端收郵件。我們也可以根據(jù)需要，不允許用戶使用代理服務(wù)器等等。

總體來說，DI-7001的網(wǎng)絡(luò)行為管理模塊做的非常"直白"，每一條設(shè)置的右側(cè)都有非常"直白"的幫助介紹。即使是小公司，沒有專職的IT人員，依然可以快速的理解，并部署好路由設(shè)置（這與產(chǎn)品定位于20-40人的公司不無關(guān)系）。由于留有傳統(tǒng)的防火墻設(shè)置，該路由器對(duì)于技術(shù)層次較高的IT人員，依然有其使用價(jià)值。

網(wǎng)絡(luò)安全模塊

網(wǎng)絡(luò)安全的攻擊防御模塊較為詳細(xì)，不過該項(xiàng)設(shè)置默認(rèn)值已較為理想，基本不用變動(dòng)。如ARP、廣播風(fēng)暴、內(nèi)網(wǎng)病毒等保護(hù)均已默認(rèn)開啟。

在連接限制中，我們可以對(duì)路由器的整體連接數(shù)進(jìn)行限制，或者針對(duì)單獨(dú)的IP和IP段進(jìn)行限制。這樣我們可能會(huì)因?yàn)榉N種原因，沒有限制用戶的迅雷和其他下載、視頻任務(wù)，但限制其最終連接數(shù)，可以降低路由器負(fù)擔(dān)，使得其他用戶不受太大影響。#p#

在IP/MAC綁定中，我們可以查看之前DHCP所分配的IP地址，或者自行掃描網(wǎng)段內(nèi)的計(jì)算機(jī)。同時(shí)由于設(shè)置了租約無限，我們可以在此快捷的將IP和MAC綁定。綁定后，還可以設(shè)置"未經(jīng)過綁定的IP地址無法通過路由器"（也就是未綁定就不能上網(wǎng)）。處于安全角度考慮，如果使用了IP/MAC綁定，則無法使用ARP信任自動(dòng)學(xué)習(xí)機(jī)制。

如果在IP/MAC綁定中，并沒有選擇"未經(jīng)過綁定的IP無法通過路由器"，則在MAC地址過濾中，可以單獨(dú)設(shè)置不允許其上網(wǎng)的MAC地址。這兩條規(guī)則，一個(gè)屬于默認(rèn)禁止所有機(jī)器聯(lián)網(wǎng)，允許少數(shù)機(jī)器上網(wǎng)；一個(gè)屬于默認(rèn)允許所有機(jī)器聯(lián)網(wǎng)，允許少數(shù)機(jī)器斷網(wǎng)。屬于截然相反的設(shè)置策略。

流量控制

流量控制下僅僅只有一個(gè)大項(xiàng)，不過設(shè)置起來還是有需要要注意的，同時(shí)這里也有一個(gè)D-Link的新技術(shù)體現(xiàn)。在"規(guī)則列表"中，我們需要設(shè)置某一個(gè)IP段或者IP所采用的流量限制策略，如上行400K，下行200K，以及這個(gè)策略的運(yùn)行時(shí)間（如上班朝九晚五期間），還有就是這個(gè)IP限制是該IP段內(nèi)每個(gè)人都有這么快的速度還是共享這個(gè)速度。

而D-Link的新策略也在這里了，我們可以靈活的設(shè)置，當(dāng)帶寬有剩余時(shí)，策略暫時(shí)不生效，用戶可以使用更多的帶寬。

在設(shè)置好基本規(guī)則后，我們還可以對(duì)優(yōu)先級(jí)流控進(jìn)行設(shè)置。如設(shè)置訪問網(wǎng)頁(yè)的優(yōu)先級(jí)最大，那么下載和看電影都會(huì)先給該應(yīng)用讓路。#p#

其他小項(xiàng)

在高級(jí)選項(xiàng)中，我們可以設(shè)置一些如端口映射、域名轉(zhuǎn)發(fā)、DDNS和UPNP等常見的網(wǎng)絡(luò)應(yīng)用。這些功能屬于常規(guī)功能，也就是大多數(shù)路由器的"標(biāo)配"功能，在此不再贅述。

在VPN設(shè)置中，DI-7001支持3中連接方式。第一種是作為客戶端來連接遠(yuǎn)程的服務(wù)端，第二種是作為服務(wù)端來響應(yīng)遠(yuǎn)程的客戶端。第三種是IPSEC對(duì)等網(wǎng)的連接，VPN中的關(guān)系發(fā)起方和接受方都是同一級(jí)別的。這三種方式使得用戶在建立VPN的時(shí)候更加靈活，用戶可以根據(jù)分公司或出差人員的具體需求，而進(jìn)行相對(duì)的設(shè)置。

由于系統(tǒng)預(yù)設(shè)了一些分類網(wǎng)址庫(kù)，這就需要我們平時(shí)多更新，以達(dá)到更好的管控效果。

而更新系統(tǒng)最怕的就是停電，注意右側(cè)的幫助提示，你會(huì)發(fā)現(xiàn)采用"雙BIOS"的DI-7001根本不怕停電（具體操作在隨機(jī)光盤中有介紹）。#p#

總結(jié)

中小企業(yè)因?yàn)槌杀究刂频脑颍糠譀]有獨(dú)立的網(wǎng)絡(luò)管理員，同時(shí)也因?yàn)榄h(huán)境、服務(wù)對(duì)象的原因，也不可能對(duì)獨(dú)立網(wǎng)絡(luò)管理員付出較高工資，因此無法留下技術(shù)特別高超的IT人才。所以除了外包，在員工上網(wǎng)這塊，中小企業(yè)急需一種操作簡(jiǎn)單，功能強(qiáng)大的管理型路由器。

DI-7001的硬件配置較高，采用的硬件方案成熟，同時(shí)在整體設(shè)計(jì)上也和家用機(jī)路由器有所區(qū)別。軟件方面，D-LINK花了大量的心血，對(duì)這款路由器的功能和界面進(jìn)行改進(jìn)。很多細(xì)節(jié)都做得不錯(cuò)。諸如"上網(wǎng)行為管理"模塊分類準(zhǔn)確，設(shè)置簡(jiǎn)單，非常適合中小企業(yè)使用，實(shí)施后可以說是效果顯著。

同時(shí)，"例外IP地址組"這種小功能，D-LINK也注意到了，如果不是有實(shí)際測(cè)試經(jīng)驗(yàn)的廠商，是不會(huì)有這種細(xì)節(jié)改進(jìn)的。由于該路由器的硬件的理論能力為并發(fā)數(shù)8000，以每個(gè)人100到150的正常并發(fā)來算，實(shí)際帶機(jī)量應(yīng)該超過官方推薦的20-40，達(dá)到50人級(jí)別。

DI-7001正式將"上網(wǎng)行為管理"集成在了自己的路由器上，必然會(huì)對(duì)現(xiàn)有的上網(wǎng)行為管理硬件造成一定沖擊。到底是不是"開啟了企業(yè)管理路由的新紀(jì)元"，這個(gè)現(xiàn)在還很難說，不過有一點(diǎn)是可以肯定的：DI-7001，乃至DI-7000系列，無疑為我們提供一種廉價(jià)上網(wǎng)行為管理的選擇。

 【51CTO.com獨(dú)家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】