上網(wǎng)行為管理的親民使者 D-LINK DI-7001評測
原創(chuàng)【51CTO.com 獨家特稿】12月28日, D-Link在北京發(fā)布了企業(yè)管理路由器新品DI-7001,這款產(chǎn)品主要是面向小型企業(yè)級用戶,旨在解決企業(yè)進行上網(wǎng)行為管理方面的問題。
本著實事求是的精神,我們對DI-7001進行了一次全面完整的評測,它到底是不是"開啟了企業(yè)管理路由的新紀(jì)元",實際運行效果又是怎樣的呢?下面就是見證奇跡的時刻了。
外觀和硬件設(shè)計
DI-7001采用了企業(yè)級產(chǎn)品慣用的鐵殼設(shè)計,一般來說,鐵殼具有良好的堅固性和屏蔽性。DI-7001的整體外包裝偏小,大小基本和一臺14寸筆記本相等。當(dāng)然這不過是外包裝而已,什么也說明不了。
開箱之后可以看到一張400貼紙,一條網(wǎng)線,一個電源,一臺主機以及說明書、光盤和保修卡。#p#
這張貼紙很不錯,企業(yè)中維護的時候,假如網(wǎng)管發(fā)現(xiàn)路由器出了問題,也不需要找店保了,直接一個400搞定。屬于小細節(jié)大作用。
由于附贈說明書的簡陋,使得光盤的責(zé)任重大(詳細版的說明書在光盤中)。保修卡上印有序列號和MAC地址,節(jié)省了用戶填寫的時間。
外部鋼殼,兩側(cè)開有不小的散熱孔,由于鐵的熱傳導(dǎo)性優(yōu)于普通ABS塑料,可以預(yù)見散熱效果的強勁。
路由器整體純黑色調(diào),面板上嵌入了一塊乳白色的指示面板。正面左側(cè)是D_LINK的DinkGreen?標(biāo)志,之后是Power和Sys燈,右側(cè)則是Wan和4個Lan的網(wǎng)口指示燈。#p#
小知識:D_inkGreen屬于一種節(jié)能技術(shù),具體包含了兩種節(jié)能方式。
1、根據(jù)計算線纜長度,網(wǎng)口自動增大和縮小發(fā)射功率,以達到省電功能。
2、根據(jù)網(wǎng)口是否連通,確定是否給該端口供電,以達到省電功能。
由于這兩種技術(shù)的存在,自然可以降低機器的熱功耗,間接的對提升系統(tǒng)穩(wěn)定性帶來一定效果。
背面的設(shè)計依然很簡單,依次是電源、4個Lan口,一個Wan口,以及一個系統(tǒng)復(fù)位按鈕。
產(chǎn)品底部有一個產(chǎn)品銘牌,以及D-Link的防偽鐳射貼紙。美中不足是沒有標(biāo)出WAN的MAC地址。在普通家用級產(chǎn)品上,該屬性都是必備的。然而在DI-7001上,這個細節(jié)不知是有意為之還是忽略了。
接下來開始拆開主機,看看硬件。結(jié)果發(fā)現(xiàn)機器異常之好拆,僅僅卸開兩顆螺絲就搞定了。#p#
可以看到主板和面板中間通過數(shù)據(jù)線連接。
主板設(shè)計結(jié)構(gòu)很緊湊,其中A區(qū)左上角是連接前面板的數(shù)據(jù)線。從圖上看,標(biāo)識保留了WLAN和WPS按鈕的位置,可以預(yù)見的,該主板稍作修改,就可以支持無線網(wǎng)絡(luò)。
B區(qū)是兩顆IC42S16160的4M芯片。共同組成了8M的存儲芯片,用于機器的配置和固件保存。實際可用空間是4M,而不是的8M,這也就是官方說明中所說的"雙BIOS設(shè)計確保系統(tǒng)升級無風(fēng)險,安全享用新固件。"平心而論,這種設(shè)計在成本上增加不了多少,但卻給用戶帶來了不少的信心保障。#p#
小知識:
對電子信息感興趣的朋友,可以點擊下面這個鏈接查看IC42S16160的具體參數(shù)。
http://cnpdf.alldatasheet.com/datasheet-pdf/view/140252/ICSI/IC42S16160.html
C區(qū)是一顆Spansion(飛索)的64M內(nèi)存芯片S29GL064N。關(guān)于這個64M,這里想稍微解釋一下,可能很多人覺得,現(xiàn)在電腦上的內(nèi)存動不動就2G、4G、這64M有什么好講的。事實上,在家用級的無線路由器上,也大多是采用4M、8M的內(nèi)存,用個16M那都屬于廠商下了狠料。
Discrete Search Results
小知識:感興趣依然可以點擊進去看看這顆芯片的具體參數(shù)。
http://www.spansion.com/Products/Pages/ProductDetail.aspx?ProdID=S29GL064N
在相對巨大的散熱片下覆蓋的,就是路由器的CPU,不過由于DLINK采用焊接的技術(shù)將散熱片固定在了主板上,拆除散熱片還需要吸焊。
拆開后終于看到了這顆Ralink的RT3052F,主頻384MHz,怎么說呢……這顆芯片支持802.11N無線解決方案。這也驗證了之前的猜想,技術(shù)上,DI-7001很容易升級成支持無線的版本。#p#
最后來張產(chǎn)品與手機的合影,使大家可以對產(chǎn)品大小有一個直觀的概念。接下來我們進入軟件測試環(huán)節(jié)。
畢竟,硬件配置再高,外觀再漂亮,干活不利落也是不行的。
基本功能介紹
默認情況下,在IE地址欄輸入http://192.168.0.1 進入系統(tǒng)設(shè)置界面。用戶和密碼均為admin。
界面左側(cè)為大類,點擊后展開小類,右側(cè)為小類的具體設(shè)置項。其下部則是Dlink Green的綠色標(biāo)志。
假如想調(diào)試下直接上網(wǎng),那么設(shè)置起來和普通路由器并沒有什么差別,都是設(shè)置PPPOE,然后輸入賬號和口令,或者點擊"配置向?qū)?quot;,一步一步的進行下去就可以。然而如果僅僅是這樣來使用,那就實在是對不起這"企業(yè)級"的頭銜了。#p#
在系統(tǒng)狀態(tài)→系統(tǒng)信息下,我們可以看到路由器的運行時間、CPU利用率,以及連接數(shù)(官方標(biāo)注該路由器最大8000并發(fā))。網(wǎng)絡(luò)攻擊報警等信息。同時可以點擊連接數(shù)排行按鈕,查看當(dāng)前用戶的連接數(shù)情況。
小知識:連接數(shù)即用戶與各類網(wǎng)絡(luò)應(yīng)用建立的鏈接總數(shù),數(shù)字越低,路由器的負載越低。數(shù)字越高,延時越大,路由器負載越大。迅雷等軟件都有一個設(shè)置下載的"原始地址線程數(shù)",這個數(shù)字設(shè)置的越大,連接數(shù)也就越多。同時各類網(wǎng)絡(luò)視頻軟件,都會建立很大數(shù)量的連接數(shù)。如果僅僅是網(wǎng)頁訪問,那么100的連接數(shù)已經(jīng)足夠。而如果使用迅雷下載,那么1000的連接數(shù)也很常見。
在系統(tǒng)狀態(tài)→網(wǎng)絡(luò)接口下,可以很清晰的看到當(dāng)前的網(wǎng)絡(luò)配置情況。值得注意的是,本路由器可以設(shè)置多個內(nèi)網(wǎng)IP,以方便在多個網(wǎng)段下進行訪問。
DI-7001的日志功能也很不錯,可以詳細的看到修改策略的每一條日志,方便對路由器的功能調(diào)整。#p#
在內(nèi)網(wǎng)監(jiān)控欄目下,只要啟用了內(nèi)網(wǎng)分析功能,就可以看到目標(biāo)主機的網(wǎng)絡(luò)訪問流量情況。同時可以查看該主機當(dāng)前打開的連接,只要點擊色箭頭所指向的兩個鏈接即可。當(dāng)發(fā)現(xiàn)某人流量異常時候,可以點擊右側(cè)的"√"按鈕,阻止其訪問互聯(lián)網(wǎng)。
有哪些訪問連接,一目了然,這個功能可以查看用戶是否使用了迅雷或PP等大連接數(shù)的軟件。
報文捕捉功能可以和內(nèi)網(wǎng)監(jiān)控功能配合使用,當(dāng)指定IP和端口范圍后,可以抓出適合WireShark所查看的數(shù)據(jù)包。
很明顯,這種抓包分析的方式更具有針對性,同時也更具有專業(yè)性。#p#
在基礎(chǔ)設(shè)置中,還有一個地方很有意思,那就是DHCP服務(wù)器。眾所周知,DHCP服務(wù)器可以算是所有路由器的標(biāo)配。DI-7001所不同的地方在于,它可以設(shè)置無限期的租約,以及能夠自動綁定IP/MAC。這對于企業(yè)網(wǎng)絡(luò)管理來說,部署網(wǎng)絡(luò)可以更加快捷和明確。
上網(wǎng)行為管理作為DI-7001的重頭戲,被D-LINK所看好,自然要拿出點真功夫。下面來跟我一起參觀下上網(wǎng)行為管理的實際應(yīng)用部分。
首先,我們需要根據(jù)公司的實際操作環(huán)境,設(shè)置IP地址組。IP組,一般和業(yè)務(wù)職能相匹配,如可以上網(wǎng)的市場部、不能上網(wǎng)的財務(wù)部、上網(wǎng)不做任何限制和監(jiān)視的高層領(lǐng)導(dǎo)組、之后的上網(wǎng)行為策略,都是根據(jù)IP組來劃分的。之后如果企業(yè)環(huán)境有所變化,只需要更改IP組內(nèi)的成員即可,而不需要對多個用戶設(shè)置不同的安全策略。
為了后面敘述的方便,這里我設(shè)置了3個組別,最終設(shè)置好后,界面是這樣的。接下來就可以設(shè)置上網(wǎng)行為管理的策略了。
在上網(wǎng)行為管理→WEB訪問控制下,我們可以設(shè)置網(wǎng)絡(luò)訪問的策略,其分為白名單、黑名單和網(wǎng)址分類管理。優(yōu)先級也是依次遞減。#p#
如我們的公司域名為www.aaa.com,那么在白名單下添加一條記錄aaa.com,則可以對aaa.com下所有的網(wǎng)站放行。
如我們的競爭對手公司域名為www.bbb.com,那么在黑名單下添加一條記錄bbb.com,則可以禁止員工訪問競爭對手的網(wǎng)站跳槽等等。這種策略在某些公司中可能會應(yīng)用的到,當(dāng)然,我希望這條策略的應(yīng)用方式不是這樣的。
當(dāng)我打開電子購物網(wǎng)的阻斷時,輸入www.360buy.com,會跳出如上提示。可以看到
在網(wǎng)址分類管理中,我們可以設(shè)置對各類網(wǎng)站進行阻斷、記錄、和警告處理。如果選中"阻斷",那么員工在打開類似www.duowan.com這種網(wǎng)站時,會自動跳轉(zhuǎn)到指定的頁面。
這里還有一個更重要的選項:"例外IP地址組",如果你想快速并且順利的把網(wǎng)絡(luò)限制的方案在企業(yè)中布置下來,那么這個選項是必須的。它可以對你的高層領(lǐng)導(dǎo)或者其他人員不采用如上的網(wǎng)絡(luò)限制方案。這個功能,相信你懂的,活學(xué)活用吧。
在WEB安全設(shè)置中,我們可以設(shè)置過濾不讓訪問的文件擴展名和URL關(guān)鍵字,同樣的,這里依然可以設(shè)置例外的IP地址組。我想實施上網(wǎng)行為管理項目失敗的公司,應(yīng)該有很大一部分原因是對這項功能的漠視和不作為造成的。#p#
接下來我們可以設(shè)置電子功能功能。有時候公司要開個會,但是大家都在下面干活,行政小MM一個一個的去通知顯然不切實際。那么通過這個功能,可以很方便的對大家提醒。
這項功能的實現(xiàn)應(yīng)該說是DNS劫持或者類似的技術(shù),并且實現(xiàn)的非常完美。
在聊天軟件過濾中,我們可以設(shè)置各種IM軟件的過濾功能,并且QQ可以根據(jù)QQ號碼來辨識,如某些員工上班必須要開QQ與外界聯(lián)系。但是我又不想讓她打開自己的私人QQ。那么可以開啟這項功能。#p#
可能有的人會說,使用"例外IP組功能"來實現(xiàn)不行么?是的,這樣也可以,但是如果使用了"例外IP組",后面的MSN/旺旺也就不能禁止了。對于助理、經(jīng)理這種職位,使用例外QQ號就足夠了。
接下來是股票軟件的設(shè)置,這方面我了解不多,不過設(shè)置原則基本還是一樣的。
關(guān)于P2P軟件過濾,不論是下載還是視頻觀看,都可以有效的進行管理。不過由于這部分的限制規(guī)則較多,比較消耗CPU資源,建議根據(jù)公司的實際情況進行禁止。
在網(wǎng)頁游戲過濾的頁面上,僅僅只有兩個游戲的過濾設(shè)置。相對于現(xiàn)在市面上那么多的網(wǎng)頁游戲來說,實在是有些薄弱。還好我們可以WEB安全→過濾的URL關(guān)鍵字進行限制。#p#
使用傳統(tǒng)的防火墻規(guī)則可以擁有更大的自由性,但這需要一定的網(wǎng)絡(luò)基礎(chǔ)知識,一般來說,粗通CCNA和MCSE的同學(xué)都可以看明白這個設(shè)置。如上圖所示,我設(shè)置了一條規(guī)則,高層領(lǐng)導(dǎo)在周一到周六的8點和下午8點之間,不允許通過郵件客戶端收郵件。我們也可以根據(jù)需要,不允許用戶使用代理服務(wù)器等等。
總體來說,DI-7001的網(wǎng)絡(luò)行為管理模塊做的非常"直白",每一條設(shè)置的右側(cè)都有非常"直白"的幫助介紹。即使是小公司,沒有專職的IT人員,依然可以快速的理解,并部署好路由設(shè)置(這與產(chǎn)品定位于20-40人的公司不無關(guān)系)。由于留有傳統(tǒng)的防火墻設(shè)置,該路由器對于技術(shù)層次較高的IT人員,依然有其使用價值。
網(wǎng)絡(luò)安全模塊
網(wǎng)絡(luò)安全的攻擊防御模塊較為詳細,不過該項設(shè)置默認值已較為理想,基本不用變動。如ARP、廣播風(fēng)暴、內(nèi)網(wǎng)病毒等保護均已默認開啟。
在連接限制中,我們可以對路由器的整體連接數(shù)進行限制,或者針對單獨的IP和IP段進行限制。這樣我們可能會因為種種原因,沒有限制用戶的迅雷和其他下載、視頻任務(wù),但限制其最終連接數(shù),可以降低路由器負擔(dān),使得其他用戶不受太大影響。#p#
在IP/MAC綁定中,我們可以查看之前DHCP所分配的IP地址,或者自行掃描網(wǎng)段內(nèi)的計算機。同時由于設(shè)置了租約無限,我們可以在此快捷的將IP和MAC綁定。綁定后,還可以設(shè)置"未經(jīng)過綁定的IP地址無法通過路由器"(也就是未綁定就不能上網(wǎng))。處于安全角度考慮,如果使用了IP/MAC綁定,則無法使用ARP信任自動學(xué)習(xí)機制。
如果在IP/MAC綁定中,并沒有選擇"未經(jīng)過綁定的IP無法通過路由器",則在MAC地址過濾中,可以單獨設(shè)置不允許其上網(wǎng)的MAC地址。這兩條規(guī)則,一個屬于默認禁止所有機器聯(lián)網(wǎng),允許少數(shù)機器上網(wǎng);一個屬于默認允許所有機器聯(lián)網(wǎng),允許少數(shù)機器斷網(wǎng)。屬于截然相反的設(shè)置策略。
流量控制
流量控制下僅僅只有一個大項,不過設(shè)置起來還是有需要要注意的,同時這里也有一個D-Link的新技術(shù)體現(xiàn)。在"規(guī)則列表"中,我們需要設(shè)置某一個IP段或者IP所采用的流量限制策略,如上行400K,下行200K,以及這個策略的運行時間(如上班朝九晚五期間),還有就是這個IP限制是該IP段內(nèi)每個人都有這么快的速度還是共享這個速度。
而D-Link的新策略也在這里了,我們可以靈活的設(shè)置,當(dāng)帶寬有剩余時,策略暫時不生效,用戶可以使用更多的帶寬。
在設(shè)置好基本規(guī)則后,我們還可以對優(yōu)先級流控進行設(shè)置。如設(shè)置訪問網(wǎng)頁的優(yōu)先級最大,那么下載和看電影都會先給該應(yīng)用讓路。#p#
其他小項
在高級選項中,我們可以設(shè)置一些如端口映射、域名轉(zhuǎn)發(fā)、DDNS和UPNP等常見的網(wǎng)絡(luò)應(yīng)用。這些功能屬于常規(guī)功能,也就是大多數(shù)路由器的"標(biāo)配"功能,在此不再贅述。
在VPN設(shè)置中,DI-7001支持3中連接方式。第一種是作為客戶端來連接遠程的服務(wù)端,第二種是作為服務(wù)端來響應(yīng)遠程的客戶端。第三種是IPSEC對等網(wǎng)的連接,VPN中的關(guān)系發(fā)起方和接受方都是同一級別的。這三種方式使得用戶在建立VPN的時候更加靈活,用戶可以根據(jù)分公司或出差人員的具體需求,而進行相對的設(shè)置。
由于系統(tǒng)預(yù)設(shè)了一些分類網(wǎng)址庫,這就需要我們平時多更新,以達到更好的管控效果。
而更新系統(tǒng)最怕的就是停電,注意右側(cè)的幫助提示,你會發(fā)現(xiàn)采用"雙BIOS"的DI-7001根本不怕停電(具體操作在隨機光盤中有介紹)。#p#
總結(jié)
中小企業(yè)因為成本控制的原因,部分沒有獨立的網(wǎng)絡(luò)管理員,同時也因為環(huán)境、服務(wù)對象的原因,也不可能對獨立網(wǎng)絡(luò)管理員付出較高工資,因此無法留下技術(shù)特別高超的IT人才。所以除了外包,在員工上網(wǎng)這塊,中小企業(yè)急需一種操作簡單,功能強大的管理型路由器。
DI-7001的硬件配置較高,采用的硬件方案成熟,同時在整體設(shè)計上也和家用機路由器有所區(qū)別。軟件方面,D-LINK花了大量的心血,對這款路由器的功能和界面進行改進。很多細節(jié)都做得不錯。諸如"上網(wǎng)行為管理"模塊分類準(zhǔn)確,設(shè)置簡單,非常適合中小企業(yè)使用,實施后可以說是效果顯著。
同時,"例外IP地址組"這種小功能,D-LINK也注意到了,如果不是有實際測試經(jīng)驗的廠商,是不會有這種細節(jié)改進的。由于該路由器的硬件的理論能力為并發(fā)數(shù)8000,以每個人100到150的正常并發(fā)來算,實際帶機量應(yīng)該超過官方推薦的20-40,達到50人級別。
DI-7001正式將"上網(wǎng)行為管理"集成在了自己的路由器上,必然會對現(xiàn)有的上網(wǎng)行為管理硬件造成一定沖擊。到底是不是"開啟了企業(yè)管理路由的新紀(jì)元",這個現(xiàn)在還很難說,不過有一點是可以肯定的:DI-7001,乃至DI-7000系列,無疑為我們提供一種廉價上網(wǎng)行為管理的選擇。
【51CTO.com獨家特稿,非經(jīng)授權(quán)謝絕轉(zhuǎn)載!合作媒體轉(zhuǎn)載請注明原文出處及出處!】
