IPSec客户端测试
IPSec客户端VPN功能也有它的优势和不足。合勤科技使用了二层隧道协议(L2TP)和IPSec技术来实现IPSec客户端VPN连接。这个解决方案的优点是,L2TP软件在Windows XP和Vista中都内置,省去了加载和配置另一个应用软件的麻烦。USG100可以支持多达50个IPSec客户端,无需任何额外的许可费用。
在合勤科技的说明书中,有一个非常有用的配置示例,可以帮助你正确的配置USG100和客户端PC。和USG100上的其它功能配置一样,你需要多个步骤来完成配置,其中包括建立VPN网关、VPN连接、多个地址对象、用户名和密码,以及一个策略路由。
我在一台Vista笔记本上配置了一个L2TP/IPSec VPN连接,需要输入预共享密钥、用户名和密码、USG100的IP地址,以及启用PAP,如图15所示。配置完成后,我可以从这台Vista笔记本上正确的连接到USG100上。
图15、配置PAP
这种解决方案的缺陷是,正如设备手册中所说的那样,L2TP/IPSec VPN连接不支持NAT,因此客户端PC必须具有一个公网IP地址。对于某些用户来说,这可能是一个非常大的缺陷。
SSL VPN测试
对于远程客户端访问,我更喜欢的VPN解决方案是SSL VPN技术,USG100也支持该技术。通过SSL VPN技术,用户无需再使用客户端,只要通过一个浏览器即可,它可以支持更多远程网络类型,而且配置也更简单。
我发现,在USG100上建立SSL VPN连接非常简单。所有需要用户做的就是创建一个用户名和密码,然后为SSL客户端启用和配置访问权限。
图16、SSL VLPN配置
配置完成后,我可以从一台运行着Windows XP Pro系统的笔记本上远程连接到图16所示的三个不同子网中的设备。
在运行SSL客户端的时候,我在DOS命令窗口下输入了命令“netstat -r”,得到图17所示窗口,显示了我的笔记本的路由表。注意左侧的目的网络中包含192.168.3.0、192.168.10.0和192.168.13.0,这些子网正是USG100中地址对象的子网。这个输出证明,我的笔记本已经安装了可以通过SSL VPN访问这些网络的路由。
图17、SSL连接的netstat命令输出
SSL VPN的好处之一是,远端PC用户无需配置什么,因为这个连接是通过浏览器建立起来的,浏览器会自动下载一个SSL连接applet。不过,这些applets依然必须与不同的浏览器相兼容。我可以使用IE7和Firefox 3.0.1通过一个SSL VPN连接到USG100上,但是苹果的Safari浏览器不可以。
另外,SSL applets还必须与客户端计算机的操作系统相兼容。不幸的是,USG100的SSL VPN只支持XP,而且只支持两个许可。(后者是一个产品策略问题,而并非一个技术缺陷。)据合勤科技称,支持Vista的SSL applets将在2009年推出。
性能评测
为了评价路由器性能,我使用Jperf进行LAN和WAN之间的双向吞吐能力测试。每一个方向我进行了三次测试,取其平均值,测试结果如图18所示。
我按照两种情况进行了测试,分别是在关闭防火墙功能和开启防火墙功能情况下重复测试工作。
图18、吞吐能力测试结果
从上面的测试结果中,我们可以得出两点结论。第一,尽管它的性能非常均衡,而且比其它UTM设备要高一些,但是它很明显未能完全利用其千兆接口的性能。第二,USG的防火墙功能会使其吞吐能力降低5-6Mbps。
不过,它的这一吞吐能力已经完全可以满足绝大多数企业互联网连接的需要。
而且,数据流吞吐能力非常稳定,没有出现骤降的现象。在我的测试过程中,Jperf所产生的曲线相对非常平稳,如图19所示。
图19、LAN到WAN时Jperf吞吐数据
总结:瑕不掩瑜 功能强大
和许多UTM产品相比,USG100用户可以免费进行固件升级,以及获得免费电话支持。其强大的保障和支持团队对产品非常熟悉,而且合勤科技为USG100提供5年质保。
总体来说,USG100是一款非常强大的安全网关设备。它的VLAN功能尤其令人印象深刻。USG100的多子网功能配合VLAN功能,可以让你选择使用便宜的无网管交换机,当然,如果你想完全利用强大的VLAN功能,需要去购买价格相对较高的网管交换机。
在不足方面有,它目前还没有支持Vista的SSL VPN applet。而且,我希望它能更充分的利用其千兆网口的性能,实现更高的路由吞吐能力。
在下一篇评测文章中,我们将对USG100的UTM功能进行单独评测。
| 共3页: 上一页 [1] [2] 3 |