上网行为管理的亲民使者 D-LINK DI-7001评测

原创
网络 网络设备
本着实事求是的精神,我们对DI-7001进行了一次全面完整的评测,它到底是不是"开启了企业管理路由的新纪元",实际运行效果又是怎样的呢?下面就是见证奇迹的时刻了。

【51CTO.com 独家特稿】12月28日, D-Link在北京发布了企业管理路由器新品DI-7001,这款产品主要是面向小型企业级用户,旨在解决企业进行上网行为管理方面的问题。

本着实事求是的精神,我们对DI-7001进行了一次全面完整的评测,它到底是不是"开启了企业管理路由的新纪元",实际运行效果又是怎样的呢?下面就是见证奇迹的时刻了。

[[18561]]

外观和硬件设计

外观和硬件设计

DI-7001采用了企业级产品惯用的铁壳设计,一般来说,铁壳具有良好的坚固性和屏蔽性。DI-7001的整体外包装偏小,大小基本和一台14寸笔记本相等。当然这不过是外包装而已,什么也说明不了。

开箱之后

开箱之后可以看到一张400贴纸,一条网线,一个电源,一台主机以及说明书、光盘和保修卡。#p#

用户服务热线

这张贴纸很不错,企业中维护的时候,假如网管发现路由器出了问题,也不需要找店保了,直接一个400搞定。属于小细节大作用。

详细版的说明书在光盘中

由于附赠说明书的简陋,使得光盘的责任重大(详细版的说明书在光盘中)。保修卡上印有序列号和MAC地址,节省了用户填写的时间。

外部钢壳

外部钢壳,两侧开有不小的散热孔,由于铁的热传导性优于普通ABS塑料,可以预见散热效果的强劲。

路由器整体纯黑色调

路由器整体纯黑色调,面板上嵌入了一块乳白色的指示面板。正面左侧是D_LINK的DinkGreen?标志,之后是Power和Sys灯,右侧则是Wan和4个Lan的网口指示灯。#p#

小知识:D_inkGreen属于一种节能技术,具体包含了两种节能方式。

1、根据计算线缆长度,网口自动增大和缩小发射功率,以达到省电功能。

2、根据网口是否连通,确定是否给该端口供电,以达到省电功能。

由于这两种技术的存在,自然可以降低机器的热功耗,间接的对提升系统稳定性带来一定效果。

背面的设计依然很简单

背面的设计依然很简单,依次是电源、4个Lan口,一个Wan口,以及一个系统复位按钮。

产品底部有一个产品铭牌

产品底部有一个产品铭牌,以及D-Link的防伪镭射贴纸。美中不足是没有标出WAN的MAC地址。在普通家用级产品上,该属性都是必备的。然而在DI-7001上,这个细节不知是有意为之还是忽略了。

拆开主机

接下来开始拆开主机,看看硬件。结果发现机器异常之好拆,仅仅卸开两颗螺丝就搞定了。#p#

可以看到主板和面板中间通过数据线连接。

可以看到主板和面板中间通过数据线连接。

主板设计结构很紧凑

主板设计结构很紧凑,其中A区左上角是连接前面板的数据线。从图上看,标识保留了WLAN和WPS按钮的位置,可以预见的,该主板稍作修改,就可以支持无线网络。

B区是两颗IC42S16160的4M芯片

B区是两颗IC42S16160的4M芯片。共同组成了8M的存储芯片,用于机器的配置和固件保存。实际可用空间是4M,而不是的8M,这也就是官方说明中所说的"双BIOS设计确保系统升级无风险,安全享用新固件。"平心而论,这种设计在成本上增加不了多少,但却给用户带来了不少的信心保障。#p#

小知识:

对电子信息感兴趣的朋友,可以点击下面这个链接查看IC42S16160的具体参数。

http://cnpdf.alldatasheet.com/datasheet-pdf/view/140252/ICSI/IC42S16160.html

C区是一颗Spansion(飞索)的64M内存芯片S29GL064N

C区是一颗Spansion(飞索)的64M内存芯片S29GL064N。关于这个64M,这里想稍微解释一下,可能很多人觉得,现在电脑上的内存动不动就2G、4G、这64M有什么好讲的。事实上,在家用级的无线路由器上,也大多是采用4M、8M的内存,用个16M那都属于厂商下了狠料。

Discrete Search Results

Discrete Products
Density
Interface
Voltage
Min. Temp
Max. Temp
Bus Width
Speed
RoHS
Status
S29GL064N
64Mb
Page (No SRW)
3 Volts
-40C
+85C
x8/x16
90 , 110
100%
Current

小知识:感兴趣依然可以点击进去看看这颗芯片的具体参数。

http://www.spansion.com/Products/Pages/ProductDetail.aspx?ProdID=S29GL064N

在相对巨大的散热片下覆盖的

 在相对巨大的散热片下覆盖的,就是路由器的CPU,不过由于DLINK采用焊接的技术将散热片固定在了主板上,拆除散热片还需要吸焊。

Ralink的RT3052F

拆开后终于看到了这颗Ralink的RT3052F,主频384MHz,怎么说呢……这颗芯片支持802.11N无线解决方案。这也验证了之前的猜想,技术上,DI-7001很容易升级成支持无线的版本。#p#

[[18570]]

最后来张产品与手机的合影,使大家可以对产品大小有一个直观的概念。接下来我们进入软件测试环节。

毕竟,硬件配置再高,外观再漂亮,干活不利落也是不行的。

基本功能介绍

默认情况下,在IE地址栏输入http://192.168.0.1 进入系统设置界面。用户和密码均为admin。

界面左侧为大类,点击后展开小类

界面左侧为大类,点击后展开小类,右侧为小类的具体设置项。其下部则是Dlink Green的绿色标志。

都是设置PPPOE,然后输入账号和口令

假如想调试下直接上网,那么设置起来和普通路由器并没有什么差别,都是设置PPPOE,然后输入账号和口令,或者点击"配置向导",一步一步的进行下去就可以。然而如果仅仅是这样来使用,那就实在是对不起这"企业级"的头衔了。#p#

在系统状态→系统信息下

在系统状态→系统信息下,我们可以看到路由器的运行时间、CPU利用率,以及连接数(官方标注该路由器最大8000并发)。网络攻击报警等信息。同时可以点击连接数排行按钮,查看当前用户的连接数情况。

小知识:连接数即用户与各类网络应用建立的链接总数,数字越低,路由器的负载越低。数字越高,延时越大,路由器负载越大。迅雷等软件都有一个设置下载的"原始地址线程数",这个数字设置的越大,连接数也就越多。同时各类网络视频软件,都会建立很大数量的连接数。如果仅仅是网页访问,那么100的连接数已经足够。而如果使用迅雷下载,那么1000的连接数也很常见。

在系统状态→网络接口下

在系统状态→网络接口下,可以很清晰的看到当前的网络配置情况。值得注意的是,本路由器可以设置多个内网IP,以方便在多个网段下进行访问。

DI-7001的日志功能也很不错

DI-7001的日志功能也很不错,可以详细的看到修改策略的每一条日志,方便对路由器的功能调整。#p#

在内网监控栏目下

在内网监控栏目下,只要启用了内网分析功能,就可以看到目标主机的网络访问流量情况。同时可以查看该主机当前打开的连接,只要点击色箭头所指向的两个链接即可。当发现某人流量异常时候,可以点击右侧的"√"按钮,阻止其访问互联网。

有哪些访问连接

有哪些访问连接,一目了然,这个功能可以查看用户是否使用了迅雷或PP等大连接数的软件。

报文捕捉功能可以和内网监控功能配合使用

报文捕捉功能可以和内网监控功能配合使用,当指定IP和端口范围后,可以抓出适合WireShark所查看的数据包。

这种抓包分析的方式更具有针对性,同时也更具有专业性。

很明显,这种抓包分析的方式更具有针对性,同时也更具有专业性。#p#

在基础设置中,还有一个地方很有意思,那就是DHCP服务器。

在基础设置中,还有一个地方很有意思,那就是DHCP服务器。众所周知,DHCP服务器可以算是所有路由器的标配。DI-7001所不同的地方在于,它可以设置无限期的租约,以及能够自动绑定IP/MAC。这对于企业网络管理来说,部署网络可以更加快捷和明确。

上网行为管理

上网行为管理作为DI-7001的重头戏,被D-LINK所看好,自然要拿出点真功夫。下面来跟我一起参观下上网行为管理的实际应用部分。

首先,我们需要根据公司的实际操作环境,设置IP地址组。

首先,我们需要根据公司的实际操作环境,设置IP地址组。IP组,一般和业务职能相匹配,如可以上网的市场部、不能上网的财务部、上网不做任何限制和监视的高层领导组、之后的上网行为策略,都是根据IP组来划分的。之后如果企业环境有所变化,只需要更改IP组内的成员即可,而不需要对多个用户设置不同的安全策略。

为了后面叙述的方便,这里我设置了3个组别,最终设置好后,界面是这样的。

为了后面叙述的方便,这里我设置了3个组别,最终设置好后,界面是这样的。接下来就可以设置上网行为管理的策略了。

在上网行为管理→WEB访问控制下

在上网行为管理→WEB访问控制下,我们可以设置网络访问的策略,其分为白名单、黑名单和网址分类管理。优先级也是依次递减。#p#

如我们的公司域名为www.aaa.com,那么在白名单下添加一条记录aaa.com,则可以对aaa.com下所有的网站放行。

如我们的竞争对手公司域名为www.bbb.com,那么在黑名单下添加一条记录bbb.com,则可以禁止员工访问竞争对手的网站跳槽等等。这种策略在某些公司中可能会应用的到,当然,我希望这条策略的应用方式不是这样的。

当我打开电子购物网的阻断时,输入www.360buy.com,会跳出如上提示。

当我打开电子购物网的阻断时,输入www.360buy.com,会跳出如上提示。可以看到

在网址分类管理中

在网址分类管理中,我们可以设置对各类网站进行阻断、记录、和警告处理。如果选中"阻断",那么员工在打开类似www.duowan.com这种网站时,会自动跳转到指定的页面。

这里还有一个更重要的选项:\"例外IP地址组\"

这里还有一个更重要的选项:"例外IP地址组",如果你想快速并且顺利的把网络限制的方案在企业中布置下来,那么这个选项是必须的。它可以对你的高层领导或者其他人员不采用如上的网络限制方案。这个功能,相信你懂的,活学活用吧。

在WEB安全设置中

在WEB安全设置中,我们可以设置过滤不让访问的文件扩展名和URL关键字,同样的,这里依然可以设置例外的IP地址组。我想实施上网行为管理项目失败的公司,应该有很大一部分原因是对这项功能的漠视和不作为造成的。#p#

接下来我们可以设置电子功能功能。

接下来我们可以设置电子功能功能。有时候公司要开个会,但是大家都在下面干活,行政小MM一个一个的去通知显然不切实际。那么通过这个功能,可以很方便的对大家提醒。

这项功能的实现应该说是DNS劫持或者类似的技术,并且实现的非常完美。

这项功能的实现应该说是DNS劫持或者类似的技术,并且实现的非常完美。

在聊天软件过滤中

在聊天软件过滤中,我们可以设置各种IM软件的过滤功能,并且QQ可以根据QQ号码来辨识,如某些员工上班必须要开QQ与外界联系。但是我又不想让她打开自己的私人QQ。那么可以开启这项功能。#p#

可能有的人会说,使用\"例外IP组功能\"来实现不行么?

可能有的人会说,使用"例外IP组功能"来实现不行么?是的,这样也可以,但是如果使用了"例外IP组",后面的MSN/旺旺也就不能禁止了。对于助理、经理这种职位,使用例外QQ号就足够了。

接下来是股票软件的设置

接下来是股票软件的设置,这方面我了解不多,不过设置原则基本还是一样的。

关于P2P软件过滤

关于P2P软件过滤,不论是下载还是视频观看,都可以有效的进行管理。不过由于这部分的限制规则较多,比较消耗CPU资源,建议根据公司的实际情况进行禁止。

在网页游戏过滤的页面上

在网页游戏过滤的页面上,仅仅只有两个游戏的过滤设置。相对于现在市面上那么多的网页游戏来说,实在是有些薄弱。还好我们可以WEB安全→过滤的URL关键字进行限制。#p#

使用传统的防火墙规则可以拥有更大的自由性

使用传统的防火墙规则可以拥有更大的自由性,但这需要一定的网络基础知识,一般来说,粗通CCNA和MCSE的同学都可以看明白这个设置。如上图所示,我设置了一条规则,高层领导在周一到周六的8点和下午8点之间,不允许通过邮件客户端收邮件。我们也可以根据需要,不允许用户使用代理服务器等等。

总体来说,DI-7001的网络行为管理模块做的非常"直白",每一条设置的右侧都有非常"直白"的帮助介绍。即使是小公司,没有专职的IT人员,依然可以快速的理解,并部署好路由设置(这与产品定位于20-40人的公司不无关系)。由于留有传统的防火墙设置,该路由器对于技术层次较高的IT人员,依然有其使用价值。

网络安全模块

网络安全的攻击防御模块较为详细

网络安全的攻击防御模块较为详细,不过该项设置默认值已较为理想,基本不用变动。如ARP、广播风暴、内网病毒等保护均已默认开启。

在连接限制中

在连接限制中,我们可以对路由器的整体连接数进行限制,或者针对单独的IP和IP段进行限制。这样我们可能会因为种种原因,没有限制用户的迅雷和其他下载、视频任务,但限制其最终连接数,可以降低路由器负担,使得其他用户不受太大影响。#p#

在IP/MAC绑定中

在IP/MAC绑定中,我们可以查看之前DHCP所分配的IP地址,或者自行扫描网段内的计算机。同时由于设置了租约无限,我们可以在此快捷的将IP和MAC绑定。绑定后,还可以设置"未经过绑定的IP地址无法通过路由器"(也就是未绑定就不能上网)。处于安全角度考虑,如果使用了IP/MAC绑定,则无法使用ARP信任自动学习机制。

则在MAC地址过滤中

如果在IP/MAC绑定中,并没有选择"未经过绑定的IP无法通过路由器",则在MAC地址过滤中,可以单独设置不允许其上网的MAC地址。这两条规则,一个属于默认禁止所有机器联网,允许少数机器上网;一个属于默认允许所有机器联网,允许少数机器断网。属于截然相反的设置策略。

流量控制

流量控制下仅仅只有一个大项

流量控制下仅仅只有一个大项,不过设置起来还是有需要要注意的,同时这里也有一个D-Link的新技术体现。在"规则列表"中,我们需要设置某一个IP段或者IP所采用的流量限制策略,如上行400K,下行200K,以及这个策略的运行时间(如上班朝九晚五期间),还有就是这个IP限制是该IP段内每个人都有这么快的速度还是共享这个速度。

而D-Link的新策略也在这里了,我们可以灵活的设置,当带宽有剩余时,策略暂时不生效,用户可以使用更多的带宽。

设置好基本规则后

在设置好基本规则后,我们还可以对优先级流控进行设置。如设置访问网页的优先级最大,那么下载和看电影都会先给该应用让路。#p#

其他小项

在高级选项中

在高级选项中,我们可以设置一些如端口映射、域名转发、DDNS和UPNP等常见的网络应用。这些功能属于常规功能,也就是大多数路由器的"标配"功能,在此不再赘述。

在VPN设置中

在VPN设置中,DI-7001支持3中连接方式。第一种是作为客户端来连接远程的服务端,第二种是作为服务端来响应远程的客户端。第三种是IPSEC对等网的连接,VPN中的关系发起方和接受方都是同一级别的。这三种方式使得用户在建立VPN的时候更加灵活,用户可以根据分公司或出差人员的具体需求,而进行相对的设置。

由于系统预设了一些分类网址库

由于系统预设了一些分类网址库,这就需要我们平时多更新,以达到更好的管控效果。

而更新系统最怕的就是停电

而更新系统最怕的就是停电,注意右侧的帮助提示,你会发现采用"双BIOS"的DI-7001根本不怕停电(具体操作在随机光盘中有介绍)。#p#

总结

中小企业因为成本控制的原因,部分没有独立的网络管理员,同时也因为环境、服务对象的原因,也不可能对独立网络管理员付出较高工资,因此无法留下技术特别高超的IT人才。所以除了外包,在员工上网这块,中小企业急需一种操作简单,功能强大的管理型路由器。

DI-7001的硬件配置较高,采用的硬件方案成熟,同时在整体设计上也和家用机路由器有所区别。软件方面,D-LINK花了大量的心血,对这款路由器的功能和界面进行改进。很多细节都做得不错。诸如"上网行为管理"模块分类准确,设置简单,非常适合中小企业使用,实施后可以说是效果显著。

同时,"例外IP地址组"这种小功能,D-LINK也注意到了,如果不是有实际测试经验的厂商,是不会有这种细节改进的。由于该路由器的硬件的理论能力为并发数8000,以每个人100到150的正常并发来算,实际带机量应该超过官方推荐的20-40,达到50人级别。

DI-7001正式将"上网行为管理"集成在了自己的路由器上,必然会对现有的上网行为管理硬件造成一定冲击。到底是不是"开启了企业管理路由的新纪元",这个现在还很难说,不过有一点是可以肯定的:DI-7001,乃至DI-7000系列,无疑为我们提供一种廉价上网行为管理的选择。

 【51CTO.com独家特稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】

责任编辑:佟健 来源: 51CTO.com
相关推荐

2010-12-28 19:40:26

2011-05-20 08:21:53

2011-06-02 13:14:54

2011-04-26 08:53:49

DI-7001路由器

2011-06-15 17:31:41

2010-04-29 09:07:05

2010-09-07 08:59:15

2009-08-08 17:08:37

2012-11-15 18:22:35

D-Link无线路由器云服务

2010-04-01 13:26:39

2009-09-25 17:00:53

2009-02-28 14:07:00

D-Link DI-7多口路由器

2009-12-18 15:52:06

2009-10-15 21:20:34

DI-7000高性能路D-Link

2009-11-17 17:19:18

全球认证D-Link

2009-07-09 16:19:20

2011-09-16 12:29:43

2013-10-24 09:52:06

2010-06-12 09:10:55

2011-04-14 16:43:06

D-Link机房管理
点赞
收藏

51CTO技术栈公众号