2024年9月18日发(作者:昌半香)
第一步,准备两台TP-LINK480单WAN口路由器,分别接入网通线路和电信线路,再把路由
器接入主交换机。在设置路由器时,设置外网IP时正常设置即可。详细步骤:
1 找一台与路由器连接的客户机,客户IP设置为192.168.1.11、子网掩码为255.255.255.0,网
关和DNS为192.168.1.1。
2 打开IE浏览器,再地址处键入“192.168.1.1”,输入路由器管理账号、密码,进入路由器设
置界面。
3 先点击左边的“网络参数”,再点击“LAN口设置”,在右边的“IP地址设置”中设为
“192.168.1.1”,点“保存”。
4先点击左边的“网络参数”,再点击“WAN口设置”,在右边的“WAN口连接类型”设为“静态
IP”, “IP地址、子网掩码、网关,DNS服务器、备用DNS服务器”,分别设为“221.135.239.10、
255.255.255.128、 222.135.239.1、218.56.57.58、202.102.152.3”,点“保存”。(根据互联网接
入商提供的参数填写即可)
5 同理,设置另外一台路由器,不同的是,在“LAN口设置”中设为“192.168.1.2”
路由器设置完毕。
第二步,设置内部服务器。
1 设置计费机,“IP地址”设为“192.168.1.20”、“子网掩码”为“255.255.255.0”、“网关”为
“192.168.1.1”,“DNS服务器”为“192.168.1.1”、“备用DNS服务器”为空,
铁通电信
| |
猫 猫
| |
路由 路由
| |
————
交换机
|||||
电脑电脑电脑
TPlink 478+ ——
两个24口交换机要互连应该在同一网段。默认是:192.168.1.100~200。然后开启一个
24交换机将整组的MAC与IP:192.168.1.100~123绑定,在“流量均衡控制”添加IP地址
调度规则“来自LAN口-192.168.1.100-192.168.1.123 ALL端口协议”数据包“只能”从
WAN口“1”转发
剩下的那个24交换机的MAC和IP可以不绑定,只要在“流量均衡控制”添加IP地
址调度规则“来自LAN口-192.168.1.124-192.168.1.200 ALL端口协议”数据包“只能”从
WAN口“2”转发 注意是:只能!不是优先!
这样两个24交换机内的机子就只从指定的WAN口上网等于是两个路由带两个交换机
TL-R478+内网默认IP地址是192.168.1.1,用户名及密码均为admin,使用IE登录成
功后会弹出快捷配置窗口,这也是TP-LINK产品的惯例,小编称其为是“开门两板斧”:
一、介绍之…
二、宽带接入类型,相信使用ADSL的用户占绝大多数。
三、填入用户名及密码。
四、完成之…
小编接触过一些TP-LINK的低端产品,全部都有提供上面所说的“开门两板斧”,虽说
仅单单进行这些设置是远远不够的,还有许多具体的功能需要进行分别设置,但对于一些用
户来讲,只需简单几步,填上用户名及密码就可以使用,路由器具有简单快捷的设置向导功
能还是非常必要的,由其对于低端产品来讲。
由于浏览器的原因,某些时候,“设置向导”窗口可能不会在用户登录路由器配置页面时
弹出,如果需要,用户可以点击如下图中左侧功能栏中的“设置向导”,启动向导并完成设置
操作。
TL-R478+的“首页”
运行状态
点击运行状态我们可以了解到TL-R478+ LAN口及WAN口的的置配信息
网络参数
在WAN口设置页面中,用户可以分别设置WAN1与WAN2的参数,接入方式包括:
“静态IP”、“ 动态IP”、PPPoE。在这里说一下PPPoE接入方式,有些ISP提供的不是ADSL
接入,但使用的同样是PPPoE验证接入,像北京的“长城宽带”。当然我们接触更多的应该
还是电信与网通的ADSL,采用的均为PPPoE验证接入方式。
WAN口在线检测功能可用于检测WAN1或WAN2的连通性。当路由器采用双线接入
时,使用这一机制,可以在短时间内判断出当前线路是否工作正常,因为PING包的发送间
隔是比较短的,如果PING超时,路由器可以在比较短的时间内将会话由WAN1转移至
WAN2,或由WAN2转移至WAN1。
但这里也存在一个问题,因为PING的是某一IP地址,试想如果目标地址出现问题,
而接入线路其实是工作正常的,这时路由器也会报告相应WAN口存在问题,从而导至网络
工作异常。如下图中所示,小编填写了一个不存在的IP地址。果然TL-R478+对于线路工作
状态的判断就出现了问题,并且导致网络不通,其实此时WAN1上的接入线路是正常的。
对于这一功能,小编以为,如果用户使用的是单线接入,还是就不要对其进行任何设置了,
当然如果用户使用的是双线接入,可以考虑启用这一功能,但必须保证目标IP是一个绝对
可靠的IP地址。
流量均衡控制,这里提供了对网络流量的精细管理功能,首先“开启/禁用WAN口”是
路由器WAN口的“总开关”,可以在这里启用或禁用WAN端口,小编试着将WAN1禁用掉,
并观察TL-R478+前面板上的WAN1指示灯,禁用前后并无变化,依然处于“活动”状态。
附加IP地址调度规则,在这里可以设置内网用户通过哪个WAN口访问INTERNET,
可以设置基于内网IP(端口)的规则,也可以设置基于外网IP(端口)的规则,规则优先
级基于每条规则的上下排列顺序。规则内容可以重复,优先级是“上者为先”,例如小例编写
的两条规则,此时WAN2是没有连接网络的,当排列顺序如上图时192.168.1.100可以访问
INTERNET,而顺序颠倒后则不可以。点击“添加新条目”打开如下图页面,用于添加规则。
如果用户使用网通与电信双ISP接入,可以在“ISP均衡控制”页面中指定相应WAN口
的ISP线路。
均衡策略页面用来设置路由器多WAN 口的数据包转发策略,这些策略主要依据3 种
原则,速度优先、IP 地址对优先、应用程序优先。可以通过4 个数据表来查询,它们分别
是速度检测表、快速连接表、IP 地址对表、应用程序表。就这一功能产品手册中也给出了
明确的说明:以上的时间间隔缺省值都是经过测试的,如果您对该值不是很确定的话,请您
不要随意修改。如果因为特殊原因,用户确实需要对这些参数进行修改,可以参见产品手册
或查看此页面中的“帮助”来详细了解每项功能。
“WAN端口参数”页面。当端口状态选为“禁用”时,路由器面板上的指示灯将熄灭。对
于入站广播帧TL-R478+也提供了抵制功能。
TL-R478+ DHCP服务 设置页面。在这里小编说一下关于“地址租期”长短设置问题,打
个比方,如果在机场,小编会将DHCP租期设置得短一些,比如就保持默认的120分钟,
因为在机场这样的场合多是移动笔记本用户,用户离开后短时间内所占用的IP地址被释放,
这对IP地址的使用是比较有效的。换一个环境,如果是在网吧或办公室中,小编建议将DHCP
租期延长,因为这里使用的都是固定设备,IP被分配出去,基本上就相当于和终端设备签
了“无固定期合同”。如果“租期”过短,内网会产生过多的DHCP数据帧,产生不必要的流量
开销。当然并不是说“租期”设置得越长越好,但对于像办公室,网吧这样的环境,建议适当
延长租期。
如何限制迅雷、BT这类“连接数杀手”?在路由器上为每个IP设置最大连接数是个不错
的为法,虽然此时客户端依然可以使用这类软件,但连接数得到了限制,如上图所示,如果
分配给小编的20个连接数被占满会如何?后果就是无法使用IE上网,网游总是掉线,因为
程序访问INTERNET至少需要建立一条“连接”,连接数被BT占去,自然会影响到客户端
的正常使用,这样用户也会“自发”的自觉一些。根据小编以前做的测试,为每个IP分配60
左右的连接数就完全够用了。
TL-R478+ 提供的QoS功能是基于IP地址及端口的
动态DNS设置页面
安全功能介绍及验证测试
防火墙设置页面是TL-R478+各个过滤功能启用 / 禁用的“总控制处”。下面我们逐一来
介绍。
如上图所示,小编设置的默认规则,包括第2条规则都是禁止数据包通过本路由器,而
第一条规则则是允许一个地址段的数据包通过。在某些环境下,管理者可能只希望特定PC
可以访问INTERNET,而不对其它PC开放上网权限,使用类似上面的设置便可达到这一目
的。
TL-R478+ 域名过滤页面
TL-R478+ MAC地址过滤页面,小编觉得这一功能易用性方面设计得有些不足,试想
一个局域网中最少也会有十几台PC,查找并输入这些PC的MAC地址确实是件麻烦事,在
这个页面上如果TL-R478+设计有“收集”MAC地址功能,并且将收集结果以“选择题”的形式
供用户“勾选”就会方便许多,尤其对于稍大一些网络。
攻击防护是防火墙通过对数据包的检查,以应对一些恶意的攻击。攻击检查和防护分为
四类:扫描类攻击防护;拒绝服务(DoS)攻击防护;可疑包攻击防护;含有IP 选项的包
的攻击防护。如果在数据包中查到符合指定的攻击模式,则进行相应的防护处理。针对LAN
与WAN的攻击防护选项是一样的,只是前者较后者多了一项“IP欺骗”防护。
小编使用Mir这个程序测试了一下TL-R478+的防护能力,Mir是一个内网TCP半连接
洪水攻击程序,也就是通常所说的SYN Flood攻击,在内网主机A上对路由器发起攻击,
测试从内网主机B上可否访问外部网络,果然….. TL-R478+没有招架得住。其实这很正常,
小编测过的几款低端宽带路由器都没能幸免过。SYN Flood是DOS攻击的一种,低端路由
设备基本上是无能为力的。
下面的截图是使用Mir攻击一台PC,并在被攻击PC上使用Wireshark抓得的数据包:
ICMP Flood也是DOS攻击的一种,小编使用kn-Ping这个工具对TL-R478+进行了测试,
TL-R478+所采用的防护机制是通过限制每秒钟收到的ICMP数据包数量来抑制ICMP Flood
产生DOS效果。虽然在路由器上无法看到相关统计信息,且由于小编设置每秒仅允许通过
20个ICMP数据包,所以路由器本身运行是正常的,不像使用Mir测试SYN Flood时那么“反
应强烈”。TL-R478+对于抑制ICMP Flood是否有效,在kn-Ping运行时可以看得出来。当
kn-Ping每秒向目标发送超过20个ICMP数据包时程序会报错,调节该项阈值,kn-Ping会
在相应的情况下报错,这证明抑制ICMP Flood是有效的。
ARP攻击对局域网造成的危害也是很大的,由于TCP/IP协议本身固有一些缺陷,实际
上ARP攻击并不能得到根本性的解决,不同厂家所使用的防护手段也各不相同,但坦白说
效果都不尽理想。TL-R478+在这方面表现也并不理想。小编在主机A上使用NetRobocop
攻击路由器,此时主机B访问INTERNET便出现了异常。
接下来小编测试了TL-R478+的“大的ICMP包(大于1024字节)”防护功能,结果如下
图,证明是有效的。
性能测试
性能测试使用的是IxChariot,在测试TL-R478+吞吐量之前,小编首先对测试环境进行
了“摸底”,两块网卡(endpoint1与endpoint2)用一根网线直接相连,使用
High_Performance_Throughput脚本,测得的结果是93.805Mbps。
接下来将endpoint1连接LAN口,endpoint2连接WAN口,启用路由器中所有安全过
滤选项。TL-R478+三层大包吞吐量测试结果如上图所示,将两次测试结果相比较可以看出,
TL-R478+的三层大包转发性能还是非常不错的。
测试完大包吞吐量,下面我们来看一下TL-R478+的小包转发性能。通过修改IxChariot
的脚本可以产生64字节大小的数据帧,这点可以使用Wireshark看到,如下图:
Endpoint1(192.168.1.100)向endpoing2(10.1.1.100)发送了一个64字节的数据帧,随后
endpoint2会向endpoint1返回一个60字节的数据帧,如此重复,再将测试时间适当延长,
便可以测得设备转发小包时的性能。
首先还是要做一个“摸底”测试,在IxChariot中逐步增加用于产生64字节数据帧的Pair,
在达到15Pairs时,TL-R478+两个LAN端口间的吞吐量达到峰值1.085Mbps,换算成包转
发率是1613.09pps。
接下来将endpoint1连接LAN口,endpoint2连接WAN口,启用路由器中所有安全过
滤选项,IxChariot运行相同的15个pairs。这时TL-R478+三层小包吞吐量为0.518Mbps,
换算成包转发率是770.83pps。
测试完TL-R478+的大小包转发性能,接下来要测试的是真实应用环境下的性能。依然
使用IxChariot,使用不同应用类型的脚本组成一个脚本集,尽量摸拟产生真实数据流量,
脚本组成如下图:
此脚本集的“摸底”测试结果为24.862Mbps,测试三层转发性能时启用路由器的安全防
护功能,三层转发性能测试结果为14.536Mbps,详见下图:
LAN To LAN
LAN To WAN
注:由于所有测试都是单点对单点进行的,所以得出的结果可视为是端口对端口间的性
能表现,而非路由器整机性能。
总结:易用性方面,TL-R478+不乏设计亮点,例如方便设置的INTERNET访问策略,
登录时的配置向导,详细的帮忙文档,全图形中文界面,做为低端产品,功能设计上关注易
用性还是非常有必要的。硬件配置方面采用Intel IXP 网络专用处理器,主频266MHz,并
配备32M内存,性能表现不俗。机身坚固,使用附送的支架,TL-R478+可安装在标准机柜
中,占1U空间。双WAN口设计支持链路冗余,带宽汇聚,出口优先选择,支持基于IP(端
口)的QoS,支持基于端口的VLAN,支持基于IP的连接数限制等。不过TL-R478+也有些
不足,例如基于IP地址的带宽限制功能是通过设置QoS策略实现的,TL-R478+没有提供独
立的功能设置页面;个别功能在使用上易用性略显不足,例如“MAC地址过滤”页面没有“收
集”MAC地址的功能。
考虑到篇幅限制,DMZ主机,UPnP功能,虚拟服务器,端口触发,静态路由,IP与
MAC绑定,Port Vlan(基于端口的VLAN),LAN端口流量统计、端口启用/禁用等这些宽
带路由器的基本功能小编并没有在本次测试中进行介绍。
2024年9月18日发(作者:昌半香)
第一步,准备两台TP-LINK480单WAN口路由器,分别接入网通线路和电信线路,再把路由
器接入主交换机。在设置路由器时,设置外网IP时正常设置即可。详细步骤:
1 找一台与路由器连接的客户机,客户IP设置为192.168.1.11、子网掩码为255.255.255.0,网
关和DNS为192.168.1.1。
2 打开IE浏览器,再地址处键入“192.168.1.1”,输入路由器管理账号、密码,进入路由器设
置界面。
3 先点击左边的“网络参数”,再点击“LAN口设置”,在右边的“IP地址设置”中设为
“192.168.1.1”,点“保存”。
4先点击左边的“网络参数”,再点击“WAN口设置”,在右边的“WAN口连接类型”设为“静态
IP”, “IP地址、子网掩码、网关,DNS服务器、备用DNS服务器”,分别设为“221.135.239.10、
255.255.255.128、 222.135.239.1、218.56.57.58、202.102.152.3”,点“保存”。(根据互联网接
入商提供的参数填写即可)
5 同理,设置另外一台路由器,不同的是,在“LAN口设置”中设为“192.168.1.2”
路由器设置完毕。
第二步,设置内部服务器。
1 设置计费机,“IP地址”设为“192.168.1.20”、“子网掩码”为“255.255.255.0”、“网关”为
“192.168.1.1”,“DNS服务器”为“192.168.1.1”、“备用DNS服务器”为空,
铁通电信
| |
猫 猫
| |
路由 路由
| |
————
交换机
|||||
电脑电脑电脑
TPlink 478+ ——
两个24口交换机要互连应该在同一网段。默认是:192.168.1.100~200。然后开启一个
24交换机将整组的MAC与IP:192.168.1.100~123绑定,在“流量均衡控制”添加IP地址
调度规则“来自LAN口-192.168.1.100-192.168.1.123 ALL端口协议”数据包“只能”从
WAN口“1”转发
剩下的那个24交换机的MAC和IP可以不绑定,只要在“流量均衡控制”添加IP地
址调度规则“来自LAN口-192.168.1.124-192.168.1.200 ALL端口协议”数据包“只能”从
WAN口“2”转发 注意是:只能!不是优先!
这样两个24交换机内的机子就只从指定的WAN口上网等于是两个路由带两个交换机
TL-R478+内网默认IP地址是192.168.1.1,用户名及密码均为admin,使用IE登录成
功后会弹出快捷配置窗口,这也是TP-LINK产品的惯例,小编称其为是“开门两板斧”:
一、介绍之…
二、宽带接入类型,相信使用ADSL的用户占绝大多数。
三、填入用户名及密码。
四、完成之…
小编接触过一些TP-LINK的低端产品,全部都有提供上面所说的“开门两板斧”,虽说
仅单单进行这些设置是远远不够的,还有许多具体的功能需要进行分别设置,但对于一些用
户来讲,只需简单几步,填上用户名及密码就可以使用,路由器具有简单快捷的设置向导功
能还是非常必要的,由其对于低端产品来讲。
由于浏览器的原因,某些时候,“设置向导”窗口可能不会在用户登录路由器配置页面时
弹出,如果需要,用户可以点击如下图中左侧功能栏中的“设置向导”,启动向导并完成设置
操作。
TL-R478+的“首页”
运行状态
点击运行状态我们可以了解到TL-R478+ LAN口及WAN口的的置配信息
网络参数
在WAN口设置页面中,用户可以分别设置WAN1与WAN2的参数,接入方式包括:
“静态IP”、“ 动态IP”、PPPoE。在这里说一下PPPoE接入方式,有些ISP提供的不是ADSL
接入,但使用的同样是PPPoE验证接入,像北京的“长城宽带”。当然我们接触更多的应该
还是电信与网通的ADSL,采用的均为PPPoE验证接入方式。
WAN口在线检测功能可用于检测WAN1或WAN2的连通性。当路由器采用双线接入
时,使用这一机制,可以在短时间内判断出当前线路是否工作正常,因为PING包的发送间
隔是比较短的,如果PING超时,路由器可以在比较短的时间内将会话由WAN1转移至
WAN2,或由WAN2转移至WAN1。
但这里也存在一个问题,因为PING的是某一IP地址,试想如果目标地址出现问题,
而接入线路其实是工作正常的,这时路由器也会报告相应WAN口存在问题,从而导至网络
工作异常。如下图中所示,小编填写了一个不存在的IP地址。果然TL-R478+对于线路工作
状态的判断就出现了问题,并且导致网络不通,其实此时WAN1上的接入线路是正常的。
对于这一功能,小编以为,如果用户使用的是单线接入,还是就不要对其进行任何设置了,
当然如果用户使用的是双线接入,可以考虑启用这一功能,但必须保证目标IP是一个绝对
可靠的IP地址。
流量均衡控制,这里提供了对网络流量的精细管理功能,首先“开启/禁用WAN口”是
路由器WAN口的“总开关”,可以在这里启用或禁用WAN端口,小编试着将WAN1禁用掉,
并观察TL-R478+前面板上的WAN1指示灯,禁用前后并无变化,依然处于“活动”状态。
附加IP地址调度规则,在这里可以设置内网用户通过哪个WAN口访问INTERNET,
可以设置基于内网IP(端口)的规则,也可以设置基于外网IP(端口)的规则,规则优先
级基于每条规则的上下排列顺序。规则内容可以重复,优先级是“上者为先”,例如小例编写
的两条规则,此时WAN2是没有连接网络的,当排列顺序如上图时192.168.1.100可以访问
INTERNET,而顺序颠倒后则不可以。点击“添加新条目”打开如下图页面,用于添加规则。
如果用户使用网通与电信双ISP接入,可以在“ISP均衡控制”页面中指定相应WAN口
的ISP线路。
均衡策略页面用来设置路由器多WAN 口的数据包转发策略,这些策略主要依据3 种
原则,速度优先、IP 地址对优先、应用程序优先。可以通过4 个数据表来查询,它们分别
是速度检测表、快速连接表、IP 地址对表、应用程序表。就这一功能产品手册中也给出了
明确的说明:以上的时间间隔缺省值都是经过测试的,如果您对该值不是很确定的话,请您
不要随意修改。如果因为特殊原因,用户确实需要对这些参数进行修改,可以参见产品手册
或查看此页面中的“帮助”来详细了解每项功能。
“WAN端口参数”页面。当端口状态选为“禁用”时,路由器面板上的指示灯将熄灭。对
于入站广播帧TL-R478+也提供了抵制功能。
TL-R478+ DHCP服务 设置页面。在这里小编说一下关于“地址租期”长短设置问题,打
个比方,如果在机场,小编会将DHCP租期设置得短一些,比如就保持默认的120分钟,
因为在机场这样的场合多是移动笔记本用户,用户离开后短时间内所占用的IP地址被释放,
这对IP地址的使用是比较有效的。换一个环境,如果是在网吧或办公室中,小编建议将DHCP
租期延长,因为这里使用的都是固定设备,IP被分配出去,基本上就相当于和终端设备签
了“无固定期合同”。如果“租期”过短,内网会产生过多的DHCP数据帧,产生不必要的流量
开销。当然并不是说“租期”设置得越长越好,但对于像办公室,网吧这样的环境,建议适当
延长租期。
如何限制迅雷、BT这类“连接数杀手”?在路由器上为每个IP设置最大连接数是个不错
的为法,虽然此时客户端依然可以使用这类软件,但连接数得到了限制,如上图所示,如果
分配给小编的20个连接数被占满会如何?后果就是无法使用IE上网,网游总是掉线,因为
程序访问INTERNET至少需要建立一条“连接”,连接数被BT占去,自然会影响到客户端
的正常使用,这样用户也会“自发”的自觉一些。根据小编以前做的测试,为每个IP分配60
左右的连接数就完全够用了。
TL-R478+ 提供的QoS功能是基于IP地址及端口的
动态DNS设置页面
安全功能介绍及验证测试
防火墙设置页面是TL-R478+各个过滤功能启用 / 禁用的“总控制处”。下面我们逐一来
介绍。
如上图所示,小编设置的默认规则,包括第2条规则都是禁止数据包通过本路由器,而
第一条规则则是允许一个地址段的数据包通过。在某些环境下,管理者可能只希望特定PC
可以访问INTERNET,而不对其它PC开放上网权限,使用类似上面的设置便可达到这一目
的。
TL-R478+ 域名过滤页面
TL-R478+ MAC地址过滤页面,小编觉得这一功能易用性方面设计得有些不足,试想
一个局域网中最少也会有十几台PC,查找并输入这些PC的MAC地址确实是件麻烦事,在
这个页面上如果TL-R478+设计有“收集”MAC地址功能,并且将收集结果以“选择题”的形式
供用户“勾选”就会方便许多,尤其对于稍大一些网络。
攻击防护是防火墙通过对数据包的检查,以应对一些恶意的攻击。攻击检查和防护分为
四类:扫描类攻击防护;拒绝服务(DoS)攻击防护;可疑包攻击防护;含有IP 选项的包
的攻击防护。如果在数据包中查到符合指定的攻击模式,则进行相应的防护处理。针对LAN
与WAN的攻击防护选项是一样的,只是前者较后者多了一项“IP欺骗”防护。
小编使用Mir这个程序测试了一下TL-R478+的防护能力,Mir是一个内网TCP半连接
洪水攻击程序,也就是通常所说的SYN Flood攻击,在内网主机A上对路由器发起攻击,
测试从内网主机B上可否访问外部网络,果然….. TL-R478+没有招架得住。其实这很正常,
小编测过的几款低端宽带路由器都没能幸免过。SYN Flood是DOS攻击的一种,低端路由
设备基本上是无能为力的。
下面的截图是使用Mir攻击一台PC,并在被攻击PC上使用Wireshark抓得的数据包:
ICMP Flood也是DOS攻击的一种,小编使用kn-Ping这个工具对TL-R478+进行了测试,
TL-R478+所采用的防护机制是通过限制每秒钟收到的ICMP数据包数量来抑制ICMP Flood
产生DOS效果。虽然在路由器上无法看到相关统计信息,且由于小编设置每秒仅允许通过
20个ICMP数据包,所以路由器本身运行是正常的,不像使用Mir测试SYN Flood时那么“反
应强烈”。TL-R478+对于抑制ICMP Flood是否有效,在kn-Ping运行时可以看得出来。当
kn-Ping每秒向目标发送超过20个ICMP数据包时程序会报错,调节该项阈值,kn-Ping会
在相应的情况下报错,这证明抑制ICMP Flood是有效的。
ARP攻击对局域网造成的危害也是很大的,由于TCP/IP协议本身固有一些缺陷,实际
上ARP攻击并不能得到根本性的解决,不同厂家所使用的防护手段也各不相同,但坦白说
效果都不尽理想。TL-R478+在这方面表现也并不理想。小编在主机A上使用NetRobocop
攻击路由器,此时主机B访问INTERNET便出现了异常。
接下来小编测试了TL-R478+的“大的ICMP包(大于1024字节)”防护功能,结果如下
图,证明是有效的。
性能测试
性能测试使用的是IxChariot,在测试TL-R478+吞吐量之前,小编首先对测试环境进行
了“摸底”,两块网卡(endpoint1与endpoint2)用一根网线直接相连,使用
High_Performance_Throughput脚本,测得的结果是93.805Mbps。
接下来将endpoint1连接LAN口,endpoint2连接WAN口,启用路由器中所有安全过
滤选项。TL-R478+三层大包吞吐量测试结果如上图所示,将两次测试结果相比较可以看出,
TL-R478+的三层大包转发性能还是非常不错的。
测试完大包吞吐量,下面我们来看一下TL-R478+的小包转发性能。通过修改IxChariot
的脚本可以产生64字节大小的数据帧,这点可以使用Wireshark看到,如下图:
Endpoint1(192.168.1.100)向endpoing2(10.1.1.100)发送了一个64字节的数据帧,随后
endpoint2会向endpoint1返回一个60字节的数据帧,如此重复,再将测试时间适当延长,
便可以测得设备转发小包时的性能。
首先还是要做一个“摸底”测试,在IxChariot中逐步增加用于产生64字节数据帧的Pair,
在达到15Pairs时,TL-R478+两个LAN端口间的吞吐量达到峰值1.085Mbps,换算成包转
发率是1613.09pps。
接下来将endpoint1连接LAN口,endpoint2连接WAN口,启用路由器中所有安全过
滤选项,IxChariot运行相同的15个pairs。这时TL-R478+三层小包吞吐量为0.518Mbps,
换算成包转发率是770.83pps。
测试完TL-R478+的大小包转发性能,接下来要测试的是真实应用环境下的性能。依然
使用IxChariot,使用不同应用类型的脚本组成一个脚本集,尽量摸拟产生真实数据流量,
脚本组成如下图:
此脚本集的“摸底”测试结果为24.862Mbps,测试三层转发性能时启用路由器的安全防
护功能,三层转发性能测试结果为14.536Mbps,详见下图:
LAN To LAN
LAN To WAN
注:由于所有测试都是单点对单点进行的,所以得出的结果可视为是端口对端口间的性
能表现,而非路由器整机性能。
总结:易用性方面,TL-R478+不乏设计亮点,例如方便设置的INTERNET访问策略,
登录时的配置向导,详细的帮忙文档,全图形中文界面,做为低端产品,功能设计上关注易
用性还是非常有必要的。硬件配置方面采用Intel IXP 网络专用处理器,主频266MHz,并
配备32M内存,性能表现不俗。机身坚固,使用附送的支架,TL-R478+可安装在标准机柜
中,占1U空间。双WAN口设计支持链路冗余,带宽汇聚,出口优先选择,支持基于IP(端
口)的QoS,支持基于端口的VLAN,支持基于IP的连接数限制等。不过TL-R478+也有些
不足,例如基于IP地址的带宽限制功能是通过设置QoS策略实现的,TL-R478+没有提供独
立的功能设置页面;个别功能在使用上易用性略显不足,例如“MAC地址过滤”页面没有“收
集”MAC地址的功能。
考虑到篇幅限制,DMZ主机,UPnP功能,虚拟服务器,端口触发,静态路由,IP与
MAC绑定,Port Vlan(基于端口的VLAN),LAN端口流量统计、端口启用/禁用等这些宽
带路由器的基本功能小编并没有在本次测试中进行介绍。