理解如何配置USG100的關(guān)鍵之處是，記住它是面向?qū)ο蟮模簿褪钦f，每個接口(wan1，wan2，lan1，...)都是一個對象。為每一個接口設(shè)定的IP地址和子網(wǎng)也是對象，通過一個VPN隧道和路由器背后的設(shè)備(如服務(wù)器或另一臺路由器)訪問的子網(wǎng)也是對象。

最初的時候，配置所有這些不同的對象似乎有些麻煩，尤其是對那些不喜歡閱讀手冊的人來說更是如此，其隨機(jī)配置手冊竟然長達(dá)902頁。不過，當(dāng)你對它真正熟悉了之后，通過對象來設(shè)置它是一件非常方便的事情，因為你可以在多個設(shè)置中重用預(yù)定義好的對象。

路由、VPN和防火墻規(guī)則全部是使用不同的對象來創(chuàng)建的，如圖5所示，前五行是定義不同接口的子網(wǎng)的默認(rèn)對象。在這五個默認(rèn)對象下面，我創(chuàng)建了幾個不同的對象，其中WindowsMachine對象是一個Windows計算機(jī)的IP地址對象;ZLAN對象是通過另一臺路由器訪問的子網(wǎng)對象;DFL對象是其它路由器接口的IP地址對象。我最終將使用這些對象來實現(xiàn)端口轉(zhuǎn)發(fā)、一個VPN隧道和一個靜態(tài)路由，下面將詳細(xì)解釋。

圖5、對象

在多數(shù)基礎(chǔ)型路由器中，在同一個簡單的VPN配置界面中就可以完成對VPN隧道另一端子網(wǎng)的定義。但是，USG100要求該子網(wǎng)也定義為一個對象，然后增加到VPN配置中，另外，還需要定義一個策略路由，這樣通信可以通過該隧道來路由。由此我們可以看出一點(diǎn)，USG100能完成很多工作，但是你需要對它進(jìn)行必要的配置。

#p#

網(wǎng)絡(luò)接口設(shè)計

在USG100的7個千兆網(wǎng)口中，前兩個是WAN口，另外5個是用于內(nèi)部通信的LAN口。盡管WAN口的實際上聯(lián)線路一般不會達(dá)到1000Mbps，不過在一個路由器上擁有如此多高速端口還是一件令人高興的設(shè)計。MTU(最大傳輸單元)可以根據(jù)接口來進(jìn)行調(diào)整，不過調(diào)整范圍是576到1500字節(jié);它不支持巨型幀。

默認(rèn)配置下，端口1和端口2被設(shè)計用來進(jìn)行WAN連接，端口3和端口4屬于LAN1，端口5屬于LAN2，端口6則屬于LAN3，用來連接一個無線AP，而端口7則用于DMZ。但是，端口3到端口7都可以通過重新配置到以上4個部分中去，如圖6所示。

圖6、端口劃分

從圖7的狀態(tài)頁面中你可以看到，LAN1、LAN2、WLAN和DMZ接口被指定了5個不同的子網(wǎng)。為每個LAN設(shè)置不同的子網(wǎng)的意義是，通過使用可以應(yīng)用到接口、IP或子網(wǎng)的防火墻規(guī)則，我們能夠控制網(wǎng)絡(luò)之間的通信。

圖7、接口

除了7個千兆以太網(wǎng)口外，通過USG100后面板上的PCMCIA插槽，你還可以插入一個3G WWAN卡或一個802.11b/g無線局域網(wǎng)卡。另外，一個3G USB WWAN設(shè)備還可以連接到USG100前面板上的兩個USB口之一。

#p#

VLAN功能測試

通過將一個網(wǎng)絡(luò)劃分為多個子網(wǎng)，可以有效的實現(xiàn)VLAN廣播控制，而且無需增加昂貴的可網(wǎng)管交換機(jī)。根據(jù)我的測試USG100上的上述配置，一臺連接在從LAN1出來的無網(wǎng)管交換機(jī)上的計算機(jī)，可以獲得192.168.21.0/24子網(wǎng)的一個IP地址，而另一臺連接在從DMZ接口出來的無網(wǎng)管交換機(jī)上的計算機(jī)則可以獲得192.168.13.0/24子網(wǎng)的一個IP地址。

而且，多個VLAN可以被配置到同一個USG100接口上，通過這個功能，USG100可以連接到一個支持802.1q VLAN的可網(wǎng)管交換機(jī)上。然后你可以在USG100上對每一個VLAN配置不同的DHCP服務(wù)器，從而實現(xiàn)子網(wǎng)到VLAN的1對1網(wǎng)絡(luò)映射。

我對這個功能進(jìn)行了測試，在這臺USG100的LAN1接口上配置了兩個不同的VLAN，每一個VLAN具有單獨(dú)的DHCP服務(wù)器，如圖8所示。然后，我在一個網(wǎng)件可網(wǎng)管交換機(jī)上配置了相同的VLAN，并且為兩個VLAN分別加入了兩個不同的交換機(jī)端口。

圖8、VLAN

另外我還在這個可網(wǎng)管交換機(jī)上進(jìn)行了一些其它配置。最終，我將一臺計算機(jī)連接到該交換機(jī)上的不同端口時，會得到對應(yīng)的USG100上VLAN設(shè)置中所指定的IP地址，由此驗證了USG100可以識別802.1q VLAN標(biāo)簽。

#p#

路由功能測試

USG100上可配置的路由選項包括，策略路由、靜態(tài)路由、RIPE和OSPF。策略路由被大量用于控制通過USG100的通信數(shù)據(jù)。在USG100中的策略路由選項，可以實現(xiàn)根據(jù)進(jìn)入接口、源和目的子網(wǎng)、服務(wù)(協(xié)議)和下一跳目的地(接口或IP)來定義通信路徑。

在圖9中，我配置了最上面的策略路由，來實現(xiàn)到另一臺路由器之后的子網(wǎng)的通信路由。被路由的通信起源于LAN2_SUBNET(192.168.3.0/24)，轉(zhuǎn)向另一臺路由器后的一個子網(wǎng)，我為它創(chuàng)建了一個名為DFLLAN(192.168.10.0/24)的對象。這個通信的下一跳是另一個路由器的IP地址，我為它創(chuàng)建了一個名為DFLLAN的對象。、

圖9、策略路由

圖9中所示的第二個策略路由是，對通過VPN隧道的數(shù)據(jù)進(jìn)行路由。通過這個配置，可以讓源自我的內(nèi)部子網(wǎng)(LAN2_SUBNET)的通信數(shù)據(jù)，路由到通過VPN隧道訪問的遠(yuǎn)端子網(wǎng)(ZLAN)，我通過一個名為ZVNTest的對象來實現(xiàn)它，該對象指定了VPN隧道另一端的IP地址。

#p#

WAN口功能測試

USG100使用了WAN Trunks來實現(xiàn)WAN口的失效轉(zhuǎn)移，管理多個ISP連接。默認(rèn)配置下，WAN接口1和接口2就是第一個WAN Trunk的成員。USG100采用的失效轉(zhuǎn)移方式是保持兩個接口都處于激活狀態(tài)，對通信進(jìn)行均衡;而并非采用一個WAN接口激活時另一個接口處于等待狀態(tài)的模式。

默認(rèn)配置下，WAN Trunks上啟用“Link Sticking”功能，它可以確保從內(nèi)部設(shè)備到一個特定外部服務(wù)器的通信數(shù)據(jù)不被負(fù)載均衡到多個WAN接口上。這可以防止跟蹤源IP地址的服務(wù)器的連接問題。

WAN連接的選項包括，最小負(fù)載優(yōu)先、權(quán)重輪詢調(diào)度和溢出轉(zhuǎn)移。在這所有三個算法中，你可以為每一個WAN接口配置進(jìn)入和外出帶寬，從而有效的確保最優(yōu)利用率。

如果選擇最小負(fù)載優(yōu)先算法，USG100將根據(jù)配置的帶寬和測量到的使用率，通過流量利用率較低的WAN接口來傳輸數(shù)據(jù)，從而有效的在兩個WAN接口上實現(xiàn)最大化的通信傳輸效率。

而權(quán)重輪詢調(diào)度則利用了為每一個WAN接口配置的權(quán)值。如果WAN2的權(quán)值是2，而WAN1的權(quán)值是1，則會選擇WAN2來進(jìn)行數(shù)據(jù)傳輸。

對于溢出轉(zhuǎn)移，USG100會一開始一直使用一個接口來傳輸數(shù)據(jù)，當(dāng)該接口的占用帶寬達(dá)到了設(shè)置的帶寬值時，然后再轉(zhuǎn)移到下一個接口。

另外，USG100還支持?jǐn)?shù)據(jù)傳輸統(tǒng)計功能，可以讓你通過圖形化報表方式來查看WAN或LAN接口的利用情況，如圖10所示。另外，通過這個功能，你不僅僅可以通過接口來查看流量，還可以通過端口和協(xié)議來觀察通信類型。

圖10、通信數(shù)據(jù)統(tǒng)計

#p#

防火墻功能測試

配置USG100的防火墻，與配置路由非常相似。防火墻通過建立在接口和對象上的規(guī)則來進(jìn)行管理，定義哪些通信被允許和拒絕。和大多數(shù)防火墻一樣，USG100阻擋多數(shù)進(jìn)入通信，而允許外出通信。

舉個例子來說，盡管有一個DMZ端口，我還是不得不為防火墻增加一條規(guī)則，來允許外部通信數(shù)據(jù)可以到達(dá)連接到DMZ端口上的設(shè)備。在圖11的第一行中，你可以看到，我增加了一條簡單的規(guī)則，來允許任何來源的通信可以到達(dá)DMZ接口。在增加這條規(guī)則之前，盡管我的VOIP電話是在USG的DMZ區(qū)，我還是不能收到外部的任何呼叫。

圖11、防火墻配置

多數(shù)防火墻的一個共同功能是端口轉(zhuǎn)發(fā)，在USG100上，端口轉(zhuǎn)發(fā)是通過創(chuàng)建虛擬服務(wù)器來完成的。

為了轉(zhuǎn)發(fā)遠(yuǎn)程桌面連接(RDC)到我的Windows計算機(jī)，我首先創(chuàng)建了一個Host對象，來識別我的Windows計算機(jī)的IP地址，如圖12所示，我給這個對象指定了一個“WindowsMachine”名稱。然后，我創(chuàng)建了一條虛擬服務(wù)器規(guī)則，來將來自WAN1接口的通信轉(zhuǎn)發(fā)給Host對象的RDC所使用的特定端口——3389。這樣，我就可以通過互聯(lián)網(wǎng)來使用遠(yuǎn)程桌面訪問的WindowsMachine計算機(jī)。

圖12、虛擬服務(wù)器配置

#p#

VPN功能測試

要想實現(xiàn)更安全的通過互聯(lián)網(wǎng)訪問局域網(wǎng)設(shè)備，你可以選擇使用VPN功能。USG100支持多種VPN技術(shù)，包括IPSec站站VPN、IPSec客戶端VPN和SSL客戶VPN。我對這些VPN功能逐一進(jìn)行了測試，發(fā)現(xiàn)它們各有優(yōu)缺點(diǎn)。

在下圖的圖13中，你可以查看兩個激活的的VPN連接的狀態(tài)顯示。第一個是一個IPSec站到站VPN連接，第二個則是IPSec客戶端VPN連接。最右側(cè)Action下的圖標(biāo)可以讓你確定該連接是否處于激活狀態(tài)，由此證明，USG100能夠同時運(yùn)行不同類型的VPN連接。

圖13、VPN配置

通過IPSec站點(diǎn)到站點(diǎn)隧道，USG100可以通過因特網(wǎng)等公眾網(wǎng)絡(luò)來連接到其它路由器。在我的測試中，我非常喜歡USG100在配置IPSec站點(diǎn)到站點(diǎn)VPN隧道時的簡潔性，但是對它的協(xié)同功能和吞吐能力非常失望。

我在USG100和一個網(wǎng)件交換機(jī)之間建立了一個站點(diǎn)到站點(diǎn)VPN隧道。盡管我可以USG100與該交換機(jī)之間建立一個連接，卻不能通過這個連接來發(fā)送數(shù)據(jù)。

合勤科技的這個安全設(shè)備支持所有的典型加密和認(rèn)證算法，包括DES、3DES和具有MD5和SHA-1認(rèn)證的AES-127/192/256加密。我使用了默認(rèn)的DES加密和SHA-1認(rèn)證。

為了測試VPN的吞吐能力，我使用了Jperf來產(chǎn)生從局域網(wǎng)到合勤科技局域網(wǎng)的通信，然后對其進(jìn)行反向測試。在測量VPN吞吐能力之前，我訪問了一個常見的網(wǎng)站來測量我的ISP上傳和下載速度。這一點(diǎn)是非常重要的，因為VPN吞吐能力不可能超過發(fā)送端的上傳速度和接收端下載速度中的較低速度。

以下是我的測試數(shù)值表：

圖14、測試數(shù)值

從以上測試數(shù)據(jù)可以看出，在進(jìn)行從合勤科技局域網(wǎng)到我的局域網(wǎng)VPN連接吞吐能力測試的時候，其測試數(shù)值只有最大可能連接速度的15%。

當(dāng)然，由于此項測試通過公眾互聯(lián)網(wǎng)傳輸數(shù)據(jù)，很難說瓶頸到底在哪兒。

#p#

IPSec客戶端測試

IPSec客戶端VPN功能也有它的優(yōu)勢和不足。合勤科技使用了二層隧道協(xié)議(L2TP)和IPSec技術(shù)來實現(xiàn)IPSec客戶端VPN連接。這個解決方案的優(yōu)點(diǎn)是，L2TP軟件在Windows XP和Vista中都內(nèi)置，省去了加載和配置另一個應(yīng)用軟件的麻煩。USG100可以支持多達(dá)50個IPSec客戶端，無需任何額外的許可費(fèi)用。

在合勤科技的說明書中，有一個非常有用的配置示例，可以幫助你正確的配置USG100和客戶端PC。和USG100上的其它功能配置一樣，你需要多個步驟來完成配置，其中包括建立VPN網(wǎng)關(guān)、VPN連接、多個地址對象、用戶名和密碼，以及一個策略路由。

我在一臺Vista筆記本上配置了一個L2TP/IPSec VPN連接，需要輸入預(yù)共享密鑰、用戶名和密碼、USG100的IP地址，以及啟用PAP，如圖15所示。配置完成后，我可以從這臺Vista筆記本上正確的連接到USG100上。

圖15、配置PAP

這種解決方案的缺陷是，正如設(shè)備手冊中所說的那樣，L2TP/IPSec VPN連接不支持NAT，因此客戶端PC必須具有一個公網(wǎng)IP地址。對于某些用戶來說，這可能是一個非常大的缺陷。

#p#

SSL VPN測試

對于遠(yuǎn)程客戶端訪問，我更喜歡的VPN解決方案是SSL VPN技術(shù)，USG100也支持該技術(shù)。通過SSL VPN技術(shù)，用戶無需再使用客戶端，只要通過一個瀏覽器即可，它可以支持更多遠(yuǎn)程網(wǎng)絡(luò)類型，而且配置也更簡單。

我發(fā)現(xiàn)，在USG100上建立SSL VPN連接非常簡單。所有需要用戶做的就是創(chuàng)建一個用戶名和密碼，然后為SSL客戶端啟用和配置訪問權(quán)限。

圖16、SSL VLPN配置

配置完成后，我可以從一臺運(yùn)行著Windows XP Pro系統(tǒng)的筆記本上遠(yuǎn)程連接到圖16所示的三個不同子網(wǎng)中的設(shè)備。

在運(yùn)行SSL客戶端的時候，我在DOS命令窗口下輸入了命令“netstat -r”，得到圖17所示窗口，顯示了我的筆記本的路由表。注意左側(cè)的目的網(wǎng)絡(luò)中包含192.168.3.0、192.168.10.0和192.168.13.0，這些子網(wǎng)正是USG100中地址對象的子網(wǎng)。這個輸出證明，我的筆記本已經(jīng)安裝了可以通過SSL VPN訪問這些網(wǎng)絡(luò)的路由。

圖17、SSL連接的netstat命令輸出

SSL VPN的好處之一是，遠(yuǎn)端PC用戶無需配置什么，因為這個連接是通過瀏覽器建立起來的，瀏覽器會自動下載一個SSL連接applet。不過，這些applets依然必須與不同的瀏覽器相兼容。我可以使用IE7和Firefox 3.0.1通過一個SSL VPN連接到USG100上，但是蘋果的Safari瀏覽器不可以。

另外，SSL applets還必須與客戶端計算機(jī)的操作系統(tǒng)相兼容。不幸的是，USG100的SSL VPN只支持XP，而且只支持兩個許可。(后者是一個產(chǎn)品策略問題，而并非一個技術(shù)缺陷。)據(jù)合勤科技稱，支持Vista的SSL applets將在2009年推出。

#p#

性能評測

為了評價路由器性能，我使用Jperf進(jìn)行LAN和WAN之間的雙向吞吐能力測試。每一個方向我進(jìn)行了三次測試，取其平均值，測試結(jié)果如圖18所示。

我按照兩種情況進(jìn)行了測試，分別是在關(guān)閉防火墻功能和開啟防火墻功能情況下重復(fù)測試工作。

圖18、吞吐能力測試結(jié)果

從上面的測試結(jié)果中，我們可以得出兩點(diǎn)結(jié)論。第一，盡管它的性能非常均衡，而且比其它UTM設(shè)備要高一些，但是它很明顯未能完全利用其千兆接口的性能。第二，USG的防火墻功能會使其吞吐能力降低5-6Mbps。

不過，它的這一吞吐能力已經(jīng)完全可以滿足絕大多數(shù)企業(yè)互聯(lián)網(wǎng)連接的需要。

而且，數(shù)據(jù)流吞吐能力非常穩(wěn)定，沒有出現(xiàn)驟降的現(xiàn)象。在我的測試過程中，Jperf所產(chǎn)生的曲線相對非常平穩(wěn)，如圖19所示。

圖19、LAN到WAN時Jperf吞吐數(shù)據(jù)

總結(jié)：瑕不掩瑜 功能強(qiáng)大

和許多UTM產(chǎn)品相比，USG100用戶可以免費(fèi)進(jìn)行固件升級，以及獲得免費(fèi)電話支持。其強(qiáng)大的保障和支持團(tuán)隊對產(chǎn)品非常熟悉，而且合勤科技為USG100提供5年質(zhì)保。

總體來說，USG100是一款非常強(qiáng)大的安全網(wǎng)關(guān)設(shè)備。它的VLAN功能尤其令人印象深刻。USG100的多子網(wǎng)功能配合VLAN功能，可以讓你選擇使用便宜的無網(wǎng)管交換機(jī)，當(dāng)然，如果你想完全利用強(qiáng)大的VLAN功能，需要去購買價格相對較高的網(wǎng)管交換機(jī)。

在不足方面有，它目前還沒有支持Vista的SSL VPN applet。而且，我希望它能更充分的利用其千兆網(wǎng)口的性能，實現(xiàn)更高的路由吞吐能力。

【編輯推薦】

1. Hillstone SA-5050安全網(wǎng)關(guān)性能評測報告
2. 內(nèi)容安全網(wǎng)關(guān) 冠群金辰內(nèi)容安全網(wǎng)關(guān)KSG家族