在看完上一篇HiPER 841的产品介绍及外观分享一文后，相信大家已对它有了一定的了解，接下来，我们就要真正进入GUI(管理接口)去做一些设定，并进行相关的测试，看看HiPER 841是否如代理商所说的那么好~

 

　　管理接口默认的IP为192.168.16.1，账号为“Default”，密码为空。进入管理接口后可以先去看看「系统信息」，确定一下韧体的版本。目前最新版的韧体都已经全面换成正体中文了！

 

 

　　首先，买了一台多WAN的设备，想必应用上一定会有多于一条网络联机。比如可能会有2~4条的上网线路，需要靠这台HiPER 841来帮忙达成「负载平衡」的任务。所以，我们就先看看这个功能在HiPER 841上做的如何吧~ 基本上HiPER 841支持了PPPoE拨号，固定式IP及DHCP动态IP上网，我们就针对各种不同的联机方式，每种建立一条，看看是否都可以设定无误~ (嗯嗯 看来是没有问题)

 

 

　　负载平衡的部份主要可以作2种设定，第一种叫「Failover」，即一直只使用主要的上网线路(可以自己定义是那一条线路)，万一主线路出问题无法上网时，则切换到其他的后备线路继续上网，缺点就是平日不能有效利用所有的线路去做负载平衡。所以，笔者这边就选了另一种设定，亦即真正的全负载平衡模式。在全负载平衡模式下，管理者又可以再设定以session(联机)或目的地IP来作分散负载的依据。像笔者使用了以session来作负载平衡的依据时，session数(图中称为NAT会话)的确会比较均衡地分散到不同的实体线路上。

 

 

 

 

　　而且通常是使用的网络流量越大，负载平衡就越能平均分散掉所有的流量及联机。　　

 

 

　　不过，即使有再好的负载平衡能力，若CPU本身的「出力」不足，反而容易造成负载失衡或网络流量跑不快的情况。所以先试看看HiPER 841本身的NAT效能如何(GUI中各功能之设定以原厂预设的设定值进行测试)。以FTP的应用来作测试，发现下载的部份其速度可以跑到几乎有线 100M埠的极速，实测值为11.6MB/s (92.8Mbps)。

 

 

 

　　上传的部份再快一点点，实测值为11.8MB/s (94.4Mbps)。

 

 

　　最后再测FTP双向传输的效能表现。Intel IXP 533Mhz的NPU果然没有让人失望，NAT实测值高达为21.6MB/s (172.8Mbps)。很少类似等级的防火墙及多功能路由器在双向传输时还可以达到接近200Mbps左右的表现。另外，代理商也特别强调HiPER系列的产品在处理小封包时的效能也很好，这次虽未以专业的测试软件去验证这点，但以笔者主观的使用感觉(以FTP去传大量的小档案)，似乎是比较迅速，不会遇到“传大档就很顺，传小档时就顿顿”的情况。

 

 

　　接下来，就进入HiPER 841的特别功能，PPPoE伺服器功能。这个神奇的功能可让用户免于受到ARP 相关的攻击(类似的攻击程序有网络剪刀手Netcut)，而网络管理者又不需要去一组一组地设定麻烦的IP/MAC配对锁定，即能对所有的ARP形态攻击完成免疫。不过，笔者个人最喜欢的，是自己可以扮演ISP的角色，这样，自己申请一条10M/2M的线路后，还可以转卖(分享啦)给大楼的其它住户，学 Hinet一样大搞8个动态IP等上网方式~ 嘿嘿！

 

　　回到正题上，做梦做太超过了~ 先启用PPPoE伺服器的功能，以HiPER 841来说，最多可支持50条PPPoE同时联机。

 

 

 

　　启用PPPoE伺服器的功能后，就可以建立PPPoE的使用者账号。如需要让账号用户可以8台计算机同时拨号上网，则把「账号最大会话数」设定为8就可以了，这样的效果就是有点像Hinet的「8个动态IP」。

 

 

　　除了为每一户或每位使用者独立开启单独的账号外，也可以直接设定「全户」账号。就像在很多人使用的宿网环境，实质上是没有需要为每个人配独立的账号，这时候网管就可以设定一组共享账号，如「Guest」账号，只要设定好正确的最大联机数(如40个)，这样就OK了~

 

 

　　账号OK后，就可以用计算机来测测看是否可以正常拨号使用。以Vista为例，需要设定新的「联机到因特网」联机。

 

 

　　如果已经有其他的拨号连接，这边就要点「否」来建立新的联机。

 

 

　　选择「宽带PPPoE联机」。

 

 

　　之后就可以将刚刚在HiPER 841中所建立的账号密码输入进去，并点「联机」进行测试

 

 

　　如果联机成功就会如下图跟您说的「己就绪」。

 

 

　　连通后回去HiPER 841的管理接口中，就可以看到哪一个账号已联机及它所被分配到的IP。

 

 

　　如果某个账号支持同时联机，这边就有可能会出现同账号但配到超过1个IP的情况。

 

 

　　为了证明使用PPPoE后，在免切VLAN的情况下，各个用户的网络都会独自隔开并不会互相受到任何影响，笔者特地找来2台计算机同时用同一个账号连 PPPoE上网(被分配到IP 10.0.0.2及10.0.0.3)，虽然是在同一个子网下但的确10.0.0.2就无法PING通10.0.0.3。另外一个图中所见的IP 192.168.16.3是计算机默认透过HiPER 841的DHCP所配到的，有可能会防疫漏洞~

 

 

　　解决的方法也很简单，就是把HiPER 841的DHCP伺服器关掉，这样每位使用者就必须要去进行PPPoE拨号才可以上网了。

 

 

　　但是，此法也有一个漏洞，就是一些知道内网IP的高手可能会去手动设定IP来直接上网。为了把这样的情况也防阻掉，可以再加一组设定，配合HiPER 841的防火墙功能去完全封闭所有不经PPPoE上网的可能性。要做这样的设定也不难，先进入「防火墙」的「位置组」中去设定你想封杀不能上网的IP段，如192.168.16.2~192.168.16.64。

 

 

　　再新增一条防火墙「访问控制策略」来把刚才所设定的IP段改成「禁止」使用所有网络应用即可，但要注意最下面「全局配置」中对应方向的「启用访问控制策略」有打勾才会有效哦~

 

 

　　PPPoE的设定分享就到此告一段落。接着，就进行仿真网络攻击！以Netcut网络剪刀手为例，它利用了ARP网络协议的一个缺失，可以透过欺骗网络网关的方式来达到中断被害计算机的所有对外通讯及窃取其对外的通讯数据。这是网管人员心中非常头痛的一个问题~ 有关ARP 攻击的详细图解说明，可参考「图解ARP攻击方式以及防治方法」一文。

 

　　攻击正式发动，被害人，不是，应该是被害计算机192.168.16.6~ 嘿嘿嘿，点「Cut Off」后就…

 

 

　　192.168.16.6从「ON」变成「OFF」了…

 

 

　　突然，192.168.16.6的黑暗日子到来了~ 网络网关(Gateway)192.168.16.1开始没办法PING通了(出现Request timed out)，所有对外网络中断 Orz…

 

 

　　现在试看看解开Netcut对计算机192.168.16.6的封闭

 

 

　　果然，又可以重新的PING到网络网关192.168.16.1，又可以正常上网了！

 

 

　　好，再次封杀计算机192.168.16.6﹗不过，这次被攻击的目标已改成使用PPPoE上网了~

 

 

　　哈哈~ 没事耶，虽然被攻击，但是照样可以上网，一切都正常。

 

 

　　其实，在发生攻击的时候，HiPER 841也有顺利侦测到攻击的发生，在Log中会出现「ARP SPOOF」的字样。

 

 

　　最后，东西花了好多小朋友才可以带回家，当然要好好的挖掘它所有的功能，所以，这边加测它的QoS跟弹性上网控管功能(这些功能应该在企业的环境下是蛮有用的，对笔者自己就... 哈)。

 

　　不过要正确使用「弹性上网控管」的这个功能，第一件事情就是要先确定HiPER 841中的时间是正确的。如果当网络时间同步功能无法联机时，也可手动设定目前的日期及时间。不过年份的部份只到2010年？？应该未来的韧体会改正吧~

 

 

　　接下来就是要先定义不同意义的时间段组，如「上班时段」等。而针对每笔时间段组的设定，HiPER 841都可以支持最多8组的独立时段，弹性极佳！

 

 

　　当然，有「上班时段」就会有「非上班时段」。

 

 

　　现在，就可以为每个不同的时间段组去做一个限速的动作，如在「上班时段」，每个人(应该说每个IP)的上传下载速度都会被限在2M，但在「非上班时段」则可以回复到10M。这边还有一个可以打勾的选项叫「解除邮件限速」，只要有被打勾，使用SMTP(TCP 25)及POP3 (TCP 110)来进行收发email时，就不会担心随多有大附档的邮件而被卡住了，因为这时候收发信还是以实体的线路的最高速度来进行传输。另外在这边要跟大家分享一个小秘技，就是可以把「解除邮件限速」的这个功能改成「让网页浏览Http Port 80埠不限速，其余埠都开启QoS限速」的功能，这样正常的上网就不会被限到，详细的方法可参考http://bbs.router.com.tw/phpbb/viewtopic.php?t=313

 

 

　　先测一下HiPER 841的QoS做的准不准。笔者见过很多IP分享器的QoS功能都好像是做假的一样，没有实际效用。不过，HiPER 841在这边表现就很正常，的确可以把流量限在2M内(测试时为上班时段)，它的QoS功能应该是OK没问题的~

 

 

　　这里还有另外一个使用上的小心得，就是当你想知道某个IP(某位使用者)都在「忙」甚么时，可以在这个页面中去点一下「某人」的IP，就会显示出他目前正在使用的所有联机数据，如在FTP或…

 

 

　　再来就是当你需要为某些特定人士设定「例外」策略时(如老板，如果你身为网管而且很正义的去限他/她上网或做限速，那恐怕...)，哈~ 先点进去「时段策略」，这边先进行相关的速度或网络设定，接着就可以等会套用到「某特定人士」身上(IP上啦)

 

 

　　就是这...「个性化管理」，可针对各个IP(或MAC，如果有绑死的话)来进行细部的调整。这边可以设定的东西很多，从sessions数到带宽都可以自由设定。当然，还可以套用刚刚定义好的「时段策略」

 

 

　　设定完成后，应该在「生效策略」这边就会看到注明使用「个性化策略」了。

 

 

　　最后，之前定义好的时间段组，如「上班时段」，也可以套用到防火墙的策略上(这功能的确不错)。这样，就可以自由以不同的时间段来控制可用或不可用的网络应用，如这边笔者是设定了上班时间内禁止使用FTP下载东西~

 

 

　　再提醒一下，记得要把防火墙策略设定画面中最下面的「全局配置」中对应方向的「启用访问控制策略」打勾后，你所设定的防火墙策略才会生效哦！

 

 

　　其他笔者推荐打开的功能，就是这边防御攻击的相关功能，不启用实在会很可惜，也有点对不起为了HiPER 841出走的「小朋友」。

 

 

 

　　针对HiPER 841的功能测试与分享，到这就告一段落了~ 整体来说，HiPER 841算是一台相当超价的产品，而且功能多，效能好，最重要的是…稳定！不稳定的设备买回去后常常都会弄到一肚子的火！而这台HiPER 841这几天不管笔者怎么测怎么玩(外加故意放在35度C的环境中使用)，都没有出现当机，无故重开或GUI(管理接口)死掉的情况。现在笔者也可以放心地将它交给友人去安装在小区网络中了~

 

　　虽然HiPER 841的表现可圈可点，但是笔者认为还是有个地方可以改进一下，就是在管理接口中，很多的用词应该都是直接用软件翻译过来的，如「全局策略」或下面的「域名名称」等。有些从字面上真的有点难理解，但有些则没甚么问题。希望代理商在未来针对正体中文化的部份，可以改用这边的一些字词而不是用计算机直接翻译，相信这样做一定可以增加管理接口的亲和力~

 

 

　　这台「HiPER 841」在经过笔者这边详细的测试后，印象最深刻的还是它的PPPoE伺服器功能，市场上几乎没有这样含PPPoE伺服器功能的多WAN多功能路由器产品。又这个功能的确可以防止小区网络常常发生的ARP攻击，又可以省去网管人员不少麻烦，连VLAN的Switch也可以省下。 所以，HiPER 841上的PPPoE伺服器功能，的确是一个非常实用又创新的功能。我们Network01.net在经过内部的讨论后，决定授予「HiPER 841」“创新产品”奖章一个，并成为 Network01.net 2009年度创新产品之一！！