【IT168评测室】在ADSL、Cable、LAN等多种宽带接入日益普及的今天,人们越来越依赖于网络连接。很多家庭都拥有不止一台的电脑,因此,对多机共享上网的需求就日益变多了。同时,多机共享上网有助于提高网络利用率,降低上网成本,在学生、网吧、公司等得到了广泛应用。
宽带路由器作为小型多机共享上网的非常好的解决方案,正在日益盛行,我们评测了由Alpha(阿尔法)送来的一款宽带路由器新品:AFR-G4,主要面向家庭和小型办公室。有一个词专门来形容这个环境:起源于美国八十年代中后期的SOHO(Small Office Home Office)。
&picid=400789.jpg) |
黄色基底的包装盒。右下角是厂商对产品的特点描述:全中文配置界面、支持PnP,可实现MSN音视频通讯、安全性:最新防火墙和过滤技术、强大而完善的管理功能。
&picid=400791.jpg) |
背面分别用中文和英文列出的功能特性,很齐全。
产品外观
&picid=400815.jpg) |
这就是AFR-G4的样貌了,银白色的外观还是不错的,形状设计也不拘一格。不过我们更关心使用效果,上网的时候很少有人会去关心路由器的外貌吧。
&picid=400817.jpg) |
希腊字母的标志、英文单词、中文名。
&picid=400820.jpg) |
简述型号、接口数量和类型:AFR-G4 4口宽带路由器。
&picid=400822.jpg) |
侧面的大面积散热孔。
&picid=400824.jpg) |
从左到右:4个接电脑的LAN口、1个接宽带的WAN口、Reset插孔、双芯电源插孔。所有的网络接口都是RJ45标准,10/100MBps自适应。Alpha的说明书中没有提及AFR-G4是否支持Auto MDI/MDIX自动线序功能,这是一个很方便的功能,能让用户不用理睬所用的连接网线是交叉线还是直通线就可以正常使用网络,假如有这个功能的话,将会大大提升方便性和易用性。在Alpha的官方页面,我们看到其资料中提到了AFR-G4是支持Auto MDI/MDIX自动线序功能的。
&picid=400826.jpg) |
底部的标签。透过两旁的散热孔可以看到电路板。
&picid=400828.jpg) |
电源适配器,通过了3C认证,规格是9V 1A(就是1000mA),9W的最大输出功率,也意味着路由器的功率比较高,将会比较热。
Alpha AFR-G4提供了全中文的Web管理界面,这个界面做的非常好,将各大功能分为9大类,让人能很快定位,同时每大类下面的子类不会过多,操作相对容易,不会嵌套过多的网页层。
初级用户可以选择设置向导,跟着向导逐步的进行设置,然而向导的界面跟正常的设置界面是一样的,所以下面就只介绍普通的界面。
&picid=400929.jpg) |
经过简单的登陆认证之后,首页就显示了详细的系统状态,各种数据、状态一目了然。页面最底部的序列号倒是挺有趣的。
&picid=400931.jpg) |
系统设置可以设置NTP(Network Time Protocol,网络时钟协议)服务器和时区,NAT(Network Address Translate,网络地址转换)功能也在此控制。前两者对日志和客户端上网时间控制比较重要,后者则是路由器最基本的功能之一。
&picid=400933.jpg) |
管理员设置也比较详细,AFR-G4带有远程管理功能。
&picid=400935.jpg) |
Web方式Firmware升级,也是现代设备的基本特征了。
&picid=400937.jpg) |
配置工具页,可以重启系统、恢复出厂设置以及对设置进行备份和恢复,可以直观地重启系统是很方便的功能,不像一些路由器需要靠切断打开电源才能完成重启。
&picid=400939.jpg) |
系统日志提供了活动日志和安全日志,图上防火墙显示“Port Scan Detected(检测到端口扫描)”,其中的对方IP被隐藏了。没有将访问控制日志分离出来比较遗憾,虽然一般人基本上不会关心日志功能。日志还可以发送到指定的邮箱。
管理界面和功能之网络设置
&picid=400941.jpg) |
WAN设置中可以设置连接类型,xDSL(自然,包括ADSL)方式要用PPPoE方式。路由器还支持同时使用多个IP以用于DMZ(DeMilitarized Zone,非军事区)等目的。
&picid=400943.jpg) |
支持两个DNS(Domain Name Server,域名服务器)。
&picid=400945.jpg) |
LAN设置路由器对内网的IP、DHCP功能和DNS代理。
&picid=400947.jpg) |
这一页显示了各种连接到路由器的客户端列表,分为DHCP客户端和静态客户端。
管理界面和功能之NAT设置
NAT设置页是最重要的功能页之一,也是最麻烦的设置页之一,要想用好路由器,就要充分了解其设置。
&picid=400949.jpg) |
20个项目的虚拟服务器设置。对外开放HTTP服务器和FTP服务器等需要用到。
&picid=400951.jpg) |
10个项目的特殊应用设置,将特定的网络接入应用链接到特定的主机。
&picid=400953.jpg) |
10个项目的端口映射,其实端口映射和前面的虚拟服务器、特殊应用都是比较相近的。
&picid=400957.jpg) |
ALG(Application Layer Gateway,应用层网关)是处于更高逻辑层次的“端口映射”,单独做出来是为了对这些特别的应用做出更好的优化,用于VPN应用的PPTP选项也在其中。AFR-G4不是VPN路由器,它只支持VPN Pass-through。
&picid=400961.jpg) |
DMZ(DeMilitarized Zone,非军事区)也是一个重要的功能,因此也单独占据一页。DMZ,英文“demilitarized zone”,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
DMZ属于安全措施的一项,采用DMZ后的特点是:
1.内网可以访问外网
内网的用户显然需要自由地访问外网。这时,路由器需要进行源地址转换。
2.内网可以访问DMZ
这是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
很显然,内网中存放的是家庭/公司的内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由路由器完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网
很明显,如果违背这一点,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网
这一点有时也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。
对于一般人而言,DMZ可以让一台机接收到通常处于路由器后面不能接收到的数据包以实现某些特殊应用,如一些联网游戏使用DMZ可以获得最好的效果。
因为AFR-G4支持多IP,因此AFR-G4也支持多DMZ设置。
管理界面和功能之防火墙和过滤设置
防火墙功能是路由器最主要的安全功能之一,也是通常网络设备最常见的保护手段。
&picid=400973.jpg) |
防火墙设置里面提供了很多防火墙选项,并可以防止IP Snoof(IP伪装)、Smurf Attack(史莫夫攻击,针对的是IP标准的一个功能——直接广播寻址。Smurf攻击向路由器发送大量的ICMP(Internet控制信息协议)、echo请求数据包(大量的ping)。因为每个包的目标IP地址都是网络的广播地址,所以路由器会把ICMP echo请求以广播形式发给网络上的所有主机。如果有大量主机,那么这种广播就会造成巨大的ICMP echo请求及响应流量。所以Smurf Attack比Ping of Death的流量高出一或两个数量级)、Ping of Death(死亡之Ping,向目标主机分解为多个分段包组装成由一个超出最大尺寸限制的Ping包从而引发目标缓冲区溢出)、Land Attack(源地址和目标地址相同的TCP数据包,TCP堆栈设计不良的主机将会崩溃)、Snork Attack(针对NT架构的RPC服务的一种UDP协议拒绝服务攻击)、UDP Port Loop(一种UDP协议的拒绝服务攻击)、TCP Null Scan(向目标发送不带任何TCP标志的数据包,用来进行端口扫描)、Sync Flood(泛指SYN拒绝服务攻击,通过限制SYN数据包的数量而达到防止的目的)等攻击。
&picid=400975.jpg) |
强大的客户端过滤功能。
&picid=400981.jpg) |
域名过滤功能可以过滤掉一些讨厌的站点,如流氓软件的制作公司等。
&picid=400985.jpg) |
MAC过滤,MAC(Media Access Control)就是网络设备物理地址,通过MAC过滤可以限制未经过授权的机器访问Internet。
管理界面和功能之路由、UPnP、DDNS设置
路由设置页
&picid=400990.jpg) |
路由设置页可以手动设置路由表。
&picid=400993.jpg) |
支持静态路由,可以适用于比较复杂的网络拓扑结构。小型的SOHO路由器通常不会支持动态路由功能,那些功能通常只会出现在昂贵的骨干路由器身上。
UPnP设置页
UPnP支持也是一个这个路由器的特点之一,UPnP(Universal Plug and Play,通用即插即用)规范基于TCP/IP协议并针对设备彼此间通讯而制订的新Internet协议。UPNP的制定希望未来所有联入Internet中的设备能够不受网关阻碍的相互通信。比如用MSN Messager传输文件以及BT下载将更加快捷方便。
&picid=400997.jpg) |
缺省的UPnP端口号为1780,这很怪异,一般为5000才对。这个端口指TCP端口。
&picid=401003.jpg) |
从这里可以查看到UPnP工作的状态:自动打开了哪些端口映射。
DDNS设置页
&picid=401008.jpg) |
DDNS(Dynamic Domain Name Service动态域名解析服务)对开放小型服务器的用户比较重要,DDNS是将使用固定的域名映射到动态IP的客户端的一种方法,AFR-G4本身支持不少的DDNS提供商,其中有不少是免费的。
测试方法
我们使用了NetIQ公司的Chariot 5.4和Performance Endpoint 5.4,对AFR-G4进行了测试。NetIQ Chriot是比较著名的网络测试软件,其测试的Throughput结果是有效数据负载,不包括TCP协议损耗、帧间隔、应答和Chriot本身系统损耗,这些部分的典型损耗根据理论计算约位6M。
我们将LAN内的本机设置Endpoint1,同时其也为Console,再将连接到WAN外的一台主机设置为Endpoint2(注:Endpoint2并不是直接连接到路由器,中间还经过了一个交换机,因此对成绩将会有些影响,要注意区别),测试在NAT功能打开的状态下进行,分别测试了打开以及关闭防火墙下的性能表现。
|
硬件平台 | |
|
CPU |
Celeron 4 2.4GHz |
|
主板 |
Intel 845G |
|
内存 |
DDR400 256M |
|
网卡 |
Realtek RTL8139/810x Family |
|
软件平台 | |
|
操作系统 |
Windows Server 2003 SP1 CHS |
|
主板驱动 |
Intel Chipset Software Installation Utility 7.2.1.1003 |
|
网卡驱动 |
Realtek NIC Driver 6.21 |
|
硬件平台 | |
|
CPU |
Pentium 4 2.8E |
|
主板 |
ASUS i848P |
|
内存 |
DDR400 256M*2 |
|
网卡 |
Realtek RTL8139/810x Family |
|
软件平台 | |
|
操作系统 |
WindowsXP PRO ENG SP2 |
|
主板驱动 |
Intel Chipset Software Installation Utility 7.2.1.1003 |
|
显卡驱动 |
Realtek NIC Driver 6.21 |
测试结果分析
防火墙打开
&picid=401233.jpg) |
使用Chariot 5.4自带的Throughput测试脚本,结果显示带宽平均在53Mbps左右,最高可以达到57Mbps。
&picid=401235.jpg) |
使用Chariot 5.4自带的Response Time测试脚本,测试表明Response Time(响应时间)平均低于1ms,存在2个波峰。
&picid=401237.jpg) |
使用Chariot 5.4自带的High Performance Throughput测试脚本,网络带宽基于58Mbps和60Mbps之间。
关闭防火墙
&picid=401239.jpg) |
防火墙的设置。
&picid=401241.jpg) |
基本上,参数没有什么变化。
&picid=401243.jpg) |
如上。
&picid=401245.jpg) |
仍如上,这也跟环境比较安全,路由器防火墙的使用度不高有关。
NMAP扫描和Telnet登陆
使用NMAP扫描结果显示AFR-G4是基于OpenBSD 2.6~2.8操作系统的网络设备。对于OpenBSD大家可能不会太熟悉,OpenBSD属于开放源代码的BSD类系统,是血统纯正的Unix系统,与Linux相比,通常认为BSD的任务调度更为优秀而Linux的内存管理更为突出,OpenBSD的同胞兄弟FreeBSD是Intel x86架构上最稳定的操作系统,OpenBSD与FreeBSD相比则主要是安全性方面的提升。
扫描结果认出AFR-G4网络界面的物理地址00:E0:31:xx:xx:xx属于Hagiwara Electric CO.(荻原电气株式会社),这个比较少见。
NMAP主要是作端口扫描的,结果AFR-G4开放了三个TCP端口(其他的端口都关闭了):23、80、1780,看到23端口是开放的,我们感到比较有趣,因为80端口是Web管理,1780是路由器缺省的UPnP端口(再次:一般应该是5000端口的,为什么使用1780我们感到迷惑),而23,通常是Telnet(远程登录)使用的端口。
&picid=401272.jpg) |
我们使用Windows自带的Telnet程序登录路由器,结果得到了一个和HTTP下相似的管理界面,并运行mem命令和thread命令,上图显示了执行的过程和结果。
测试时,路由器已经运行了整整7天。
【IT168评测室观点】在数天的使用中,我们对Alpha AFR-G4感到比较满意。对于家庭用宽带路由器来说,路由器的方便性、易用性和功能是最重要的,Alpha AFR-G4提供的出色的全中文管理界面,管理十分方便,完善的强大的客户端/域名/MAC过滤功能可以让网络得到极强的控制,虚拟服务器、特殊应用、端口映射、ALG应用层网关、DMZ非军事区等功能让路由器的功能得到了极大的扩充。
同时AFR-G4还提供了比较完善的安全保护,防攻击比较齐全的防火墙再配合NAT这个天然防火墙,对于一般的家用已经足够。
此外,AFR-G4还支持DDNS和UPnP,前者为架建小型服务器所必需,后者则大大提升了应用的灵活性,如BT下载和MSN应用等支持UPnP的软件可以从中获益。
最后是性能,Alpha AFR-G4的性能并不出色,53Mbps的Thoughput能力居于中游,然而宽带路由器的性能相差其实不大,一般宽带接入到WAN口也不会达到如此高的流量,所以这个问题不算太大。
优点
1、完善的中文配置界面,支持远程管理。
2、各种过滤功能强大。
3、端口映射相关功能强大、完善。
4、Auto MDI/MDIX功能和UPnP功能提高了易用性。
缺点
1、热,长期工作必须要加强散热,建议放置在通风良好的位置。
主要特性
提供一个10M/100M以太网(WAN)接口,可接xDSL Modem/Cable Modem/Ethernet
内部集成四端口交换机,提供四个10/100M以太网(LAN)接口
内置网络地址转换(NAT)功能和DHCP服务器
支持DHCP服务器的动态地址和静态地址分配
支持虚拟服务器
支持DMZ主机
支持UPNP
支持NetMeeting和MSN语音和视频
支持VPN Pass-through
内置防火墙功能
支持IP地址过滤、网址过滤和MAC地址过滤
支持远程管理
内置静态路由功能
支持在线升级管理软件
可以有针对的开放指定计算机的上网权限
可以根据上网动作自动连通和断开网络连接
支持WEB管理,全中文配置界面
产品规格
符合IEEE802.3 Ethernet以及IEEE802.3u Fast Ethernet标准
支持TCP/IP、PPPOE、DHCP、ICMP、NAT协议
流控方式:全双工采用IEEE802.3x标准,半双工采用Backpressure标准
端口支持自动协商功能,自动调整传输方式和传输速度
端口支持Auto-MDI/MDIX自动翻转
提供状态指示灯,外置电源(电源输入:9V/1000mA)
工作温度:0℃到40℃
工作湿度:5%到90%RH
(以上资料来自Alpha官方中文网站)
