功能丰富性能强 艾泰UTT3640由器首测(组图

　　UTT3640是艾泰科技面向中小型企业，中小型社区等而设计的多WAN口VPN宽带由器，配备4个10/100Mbps广域网接口，4个10/100Mbps局域网接口，带机量100-300台（标称值，视具体网络而定）。

　　UTT3640采用4WAN口设计，不仅可以实现线冗余，还为用户提供了低成本扩容上网带宽的途径；网络管理方面，UTT3640对带宽分配、内网用户分组、日志统计、时段访问、上网等提供了完善的支持；上网行为管理方面，UTT3640可以封堵QQ、MSN和BT，对迅雷也提供了功能；在VPN接入方面，UTT3640支持IPSec、L2TP以及PPTP三种VPN协议，最多可配置50条VPN隧道，并发30条。

　　UTT3640所有的网络接口被设计在了前面板上，包括4个10/100Mbps自适应局域网接口，4个10/100Mbps自适应广域网接口，面板中间部分为RESET按键，用于将设备恢复至出厂状态，面板最左侧为灯区域，除了可以反映所有8个端口的工作状态，UTT3640还设计有PWR、SYS、TRF、FLT四个显示设备工作状态的灯，它们分别代表：电源、系统状态、数据流量、系统故障。

　　UTT3640外观尺寸为440mm×224mm×44mm，标准1U规格，使用随机附送的支架，可安装于标准机柜中，前置网络接口设计方便用户更改跳线和进行一般网络。

　　本次评测我们将从三个大的方面进行，涉及UTT3640的基础网络管理功能，策略管理，上网行为管理。作为一款宽带由器，这些功能对保障企业用户的业务应用稳定起着主要支撑作用。

　　基础网络管理功能

　　作为一款多WAN口由器，UTT3640的负载分配机制支持基于IP规则和基于NAT会话规则。同时在本页面下端，各端口使用状况会以图表方式列出，便于用户了解各WAN口工作状态。

　　启用身份绑定，这一功能主要用来保障某些特殊应用。我们打个比方，用户在浏览网页时，流量从哪个WAN口被发送和接收都可以，因为此时的HTTP流量对“连续性”没有要求，但对于某些应用，像网银、QQ，它们如果与服务器建立起连接，那这个连接将是持续的，也就是说对“连续性”是有要求的。UTT3640的这一功能可以将这类应用的连接，从连接建立开始，到连接被掉，整个过程中将“连接会话”固定在某一WAN口上。

　　UTT3640的NAT规则的类型有三种：EasyIP，即网络地址端口转换，多个内部IP地址映射到同一个外部IP地址。通过设置“权重”，可实现按权重比分配流量；One2One：即静态地址转换，内部IP地址与外部IP地址进行一对一的映射；Passthrough，对指定的IP地址不做NAT，使用其实际地址连接到Internet。

　　IP/MAC绑定功能，在UTT3640中可以当作内网管理工具来使用，在一个比较固定的网络中，由于PC比较固定，所以IP/MAC的对应条目应该也是固定的。基于此，UTT将内网用户分为用户、非法用户、身份未知用户。

　　用户指的是其IP及MAC地址与某个IP/MAC绑定条目完全匹配，且该条目被“允许”；非法用户指的是其IP及MAC地址与某个IP/MAC绑定条目完全匹配，且该条目的“允许”未被选中，或者，其IP和MAC地址中有且只有一个某个绑定条目的对应信息匹配；身份未知用户指的是除用户与非法用户之外的所有用户，即非IP/MAC绑定用户。UTT3640允许用户上网，非法用户上网。对于身份未知用户，若选中“允许未被IP/MAC绑定的主机通过”，则允许上网；反之，则上网。

　　用户点击“导出ARP绑定脚本文件”，可以从UTT3640中下载一个批处理文件，在每台PC上运行一次这个文件，PC端将建立一条静态的ARP记录，这对ARP可以起到防御作用。

　　日志信息统计

　　在系统状态信息统计方面，UTT3640所提供的统计功能可以说十分完善，包括用户统计、NAT统计、DHCP统计、接口统计、由和端口信息等。每个列表中的信息条目均支持排序功能，例如上表中IP地址、活动记录、下载数据包/总数等等，用户只要点击相应条目就可实现A―>Z或Z―>A的排序。

　　UTT3640可配置三个带宽限速策略，实现分时段对内网用户进行带宽限速，对于邮件应用可选择不受当前策略的。上传及下载速率范围从Block、64K直到40M、NoLimit，共50个级别。

　　“时间段”一项需要在“时间段配置”页面中预先进行设置，一个时间段最多可由8个时间单元组成，一组起始时间和结束时间的组合为一个时间单元。借助这一机制，用户可以配置灵活的时段策略。

　　UTT3640支持将多个用户（一个地址段内的连续IP地址）定义为用户组，可以对整个组进行策略管理。

　　在“组管理”中也可以对用户的上网行为进行管理，与在“时段策略”中进行的配置不同，在“组管理”中设置的策略可以理解为是当前用户组的默认策略，但往往仅有默认策略还是不够的，一天中的某一时段，我可能需要适当修改默认策略，以使管理更加灵活。时段策略就可以帮助用户做到这点，在设定的时间，时段策略将替代默认策略。

　　在这里说一下迅雷，UTT3640提供的功能被描述为“Thunder搜索资源”，而并不是迅雷下载。我们都知道，迅雷下载时会连接大量的“源”，这也是为什么迅雷下载速度比较快的原因。UTT3640可以迅雷连接其它的源，如上图所示，“资源”处的是1/1，如果不进行，那此处将会是一个非常高的值。将下载“源”为1，即不会影响到员工正常下载操作，同时也能避免P2P下载软件网络资源。

　　由器通过什么方式BT下载、QQ聊天？在这里我们再多说一下，请看下面的截图。

　　不同的应用，使用的通信协议是不同的，QQ所使用的协议在WIRESHARK中被识别为OICQ，BitSpirit所使用的协议被识别为BitTorrent。上网行为管理由器可以识别这些通信协议，根据用户设定的策略，允许或这些类型的数据包通过由器，从而实现对某些具体应用的管理。

　　ARP防御

　　启用ARP更新后，UTT3640将丢弃收到的免费ARP包，从而防止设备遭受ARP；启用ARP后，设备将会向局域网定期自己正确的ARP信息，从而防止局域网PC遭受ARP。

　　路由器限速工具ARP利用的是IP协议本身所固有的缺陷实现的，就目前来讲，还无法从根本上解决这一缺陷，所以各厂商都使用自己的技术来试图解决这一问题。UTT3640使用了两种机制，忽略收到的免费ARP包、进行ARP。第一种机制可以让由器的ARP表不被恶意修改，使由器可以找到内网中的PC机，第二种机制的效果是，由器会主动的更新内网PC上的ARP表，让PC可以找到由器。

　　此处的ARP间隔不宜过低，太低的话对网络资源会产生一定的消耗，但也不宜太高，太高的话效果就不显著了。ARP病毒会将其它PC上的IP/MAC记录修改成错条的对应关系，由器定期发送的ARP包又会将PC上的IP/MAC记录修正，这是一个“拉锯式”的过程，能否获胜要看谁“手快”。当然，比较有效的方法还是在每台PC上进行IP/MAC绑定，用户可以在UTT3640中下载一个批处理程序，在每台PC上执行一下，这样基本可以做到一劳永逸。

　　性能测试

　　吞吐性能测试我们使用IxChariot，这也是网络普遍所采用的评测工具，测试内容是UTT3640工作在NAT（共享上网方式）模式下的吞吐性能，对于IxChariot测试脚本的选择，我们使用的是High_Performance_Throughput.scr，所有参数均为默认设置。

　　由于Ixchariot本身是耗的，使用Ixchariot测得的Throughput结果是有效数据负载，不包括TCP协议损耗、帧间隔、应答和Ixchariot本身系统损耗，此部分典型损耗根据理论计算约6M，就是说即使你测试的是一台能线速转发的100Mbps交换机，测出来的Throughput也只可能是94M左右，这是理论极限值。从的测试结果来看，在上网行为管理或关闭的状态下，UTT3640的吞吐性能均表现强劲。

　　测试完吞吐性能，接下来要测试的是在真实应用下的性能。使用IxChariot作为测试工具。使用IxChariot中不同应用类型的脚本组成一个脚本集，尽量模拟产生真实数据流量，脚本组成如下图：

　　UTT3640在混合数据包测试中依然表现出色，先后禁用和上网行为管理功能，性能并没有任何衰减。根据以往的测试结果，该脚本集的极限成绩在24Mbps左右，UTT3640在这项测试中的表现可以说非常不错。

　　不过，似乎这里出现了一个问题，难道上网行为管理对UTT3640的性能没耗？这似乎有点不合逻辑。在前面我们已经说过，上网行为管理实际上是对不同类型的通信协议进行筛选并过滤，所谓的性能损耗应该发生在协议检查上。

　　按此思，每个数据包在经过由器时，由器都会对其进行扫描，决定对当前数据包是放行还是拦截。如果我们设置拦截MSN，那我们在测试时就应该避免数据流中包含MSN的数据包，因为MSN数据包会被过滤掉，这体现在测试结果上，吞吐量会因此而下降。这时由器其实做了两个动作，一扫描，二过滤。而我们希望由器做的应该是，仅扫描，但不要过滤。因为只有“仅扫描不过滤”，才应该是“上网行为管理”功能后的性能表现。关于这部分测试内容我们将在稍后呈现给大家，敬请关注。

　　总结

　　作为一款面向中型网络（标称带机量100-300台）的多WAN口由器，UTT3640在基础网络管理和吞吐性能方面均有着出色的表现。基础内网管理方面，包括带宽分配、上网行为管理，内网用户分组，日志统计，时段访问，上网等，UTT3640在这些方面都提供了良好的支持。性能方面，从测试结果来看，无论是吞吐测试还是混合数据包测试，性能表现均令人满意。

　　对于上网行为管理功能前后，出现的混合数据包测试结果相近的问题，目前还未能确定是由于UTT3640性能确实强劲，还是由于其过滤功能未能发挥作用，就这一点，我们将进行进一步测试，稍后将为大家分析其中原因。

　　VPN功能对于一些企业来讲往往也是不可或缺的，UTT支持IPSec、L2TP以及PPTP三种VPN协议，最多可配置50条VPN隧道，并发30条，可用于连接远端总部或分支机构网络，也可用于移动办公用户通过由器远程接入公司网络。另外，UTT提供了标准的SNMP接口，可供远程SNMP服务器管理，支持系统日志功能，可通过远程SYSLOG服务器进行日志采集。

　　说到不足，UTT3640提供的QoS功能并不完善，虽然可以设置精细的带宽分配策略，但对于高级QoS功能支持并不完善，另外，对于目前流行的电驴下载，UTT3640没有提供拦截功能。不过，这两个问题全部属于软件范畴，希望随着固件的更新，这两项功能能被添加到UTT3640中。