飞鱼星上网行为管理路由器 便携式X光机 飞鱼星上网行为管理路由器VE2560 试用

飞鱼星上网行为管理路由器

某高校的研究生宿舍区，有用户400左右，互联网接入带宽为30M。随着互联网技术的不断发展，研究生宿舍区网络中的应用越来越复杂。除了常规的对互联网的浏览、查询、电子邮件等多种应用类型以外，多线程的FTP下载、在线游戏、Peer-to-Peer应用等多种新型的网络数据在网络中大量使用和出现。对传统的网络管理设备和管理模式提出了严峻的考验。

大学生宿舍区的上网管理，一直是大学网络管理中很头疼的问题。特别是工科大学的研究生宿舍，使用者的电脑水平较高，又有求知欲，各种新兴的网络应用都愿意尝试，电影和娱乐下载应用需求也很大，还有一些黑客技术的爱好者，也经常跃跃欲试地想展示自己的“高超”本领。P2P应用如迅雷、BT、电驴，以及在线视频的QQ Live，PPStream，把带宽跑得很紧张，各种攻击如ARP攻击会让网络管理员忙得晕头转向。

抱着找到一个合适的解决方案的目的，我们在市场中找到了飞鱼星的上网行为管理路由器，希望借助其强大的上网行为管理功能来解决我们的管理难题。

飞鱼星上网行为管理路由器是是具备“上网行为管理”和“多WAN路由器”双重功能的新型网络接入设备。在内部安全的上网行为管理方面，飞鱼星上网行为管理路由器提供了完善的网络监管功能，保证组织合理使用互联网资源，提高工作效率，防止信息资产泄漏。通过简单的配置，对Web访问、电子邮件、即时通讯(如QQ、MSN等)、P2P(BT、迅雷等)、股票软件等进行监管。同时模块化的设计结构，能够为用户提供个性化的分组策略配置，并满足时点设置需求。作为新型的网络接入设备，飞鱼星上网行为管理路由器还具备多WAN防火墙路由器的常见功能，并集成VPN应用模块。最高支持四线接入，提高网速节约成本;弹性的带宽分配，优化网络资源，有效防止带宽被滥用;内置硬件防火墙，有效抵抗内外网攻击。飞鱼星上网行为管理路由器提供网关、网桥等部署方式，以适应用户网络环境的多样化要求。它帮助用户避免部署多台安全设备带来的运管成本和维护复杂性问题，提供高性价比的安全、稳定、有序的网络环境。

飞鱼星公司提供了VE2560产品供我们试用。在试用飞鱼星上网行为管理路由器VE2560的过程中，我们对飞鱼星上网行为管理路由器VE2560的各种功能进行了测试，并针对我们感兴趣的一些功能进行了细致的应用。下面我们把我们对飞鱼星VE2560体会颇深的一些感受写出来，与大家共享。

飞鱼星上网行为管理路由器VE2560外观

一、配置简单

飞鱼星上网行为管理路由器VE2560配置起来非常简单，用网线连接LAN1口和电脑的网卡，然后在电脑上配置192.168.0.x 这个网段的IP地址，用IE访问192.168.0.1。即可通过WEB来控制飞鱼星VE2560所有的操作，非常简明。用默认密码admin admin登录即可进入。

登录界面

WEB管理界面

而且飞鱼星上网行为管理路由器VE2560有一个非常实用的“一键恢复”键――Reset键，在配置出现问题、登录不进去，或者想直接恢复工厂设置的时候，这个Reset键显得特别实用，特别对于最初配置的时候，经常出现配置安全策略或者端口映射把管理者自己关门在外的情况。

要让飞鱼星上网行为管理路由器VE2560工作起来，最主要的配置就是把内网端口的IP配置好，外网端口配置IP和网关，然后选择VE2560工作在路由还是NAT还是透明模式，网络就通了，然后再开始慢慢配置其它的安全和管理策略。这对于现有网络的升级改造非常重要，切换传统网关设备到VE2560，只需要几分钟即可。其它的策略可以慢慢摸索着去配置，不影响用户的上网，使得用户有很好的体验，不至于造成升级网络造成的宕机和网络不通。

内网端口配置

内网端口配置很简单，如果网络内部没有三层交换机，所有的电脑在同一个网段中，那么仅仅需要配置一个内网的IP即可，其它的电脑把这个内网IP当成网关即可。

外网配置

外网端口配置中，如果只有一个外接的Internet接入线路，那么很简单地根据ISP給的配置，把外网端口的IP和网关配置好即可。如果有多条ISP接入线路。那么飞鱼星VE2560就可以大显身手了。飞鱼星VE2560具备2~4个WAN口，支持多线负载均衡，节省费用并且降低“单线故障”的风险，并且支持多种线路混合接入。并且可以实现“电信流量走电信线路、网通流量走网通线路”的基础上，自动优化 业务数据，解决南北网络的互联互通问题;同时根据线路带宽调节流量分配比例，使线路利用达到最佳，实现最佳的线路负载均衡。而且支持线路通断检测与备份，确保网络永远在线。

在工作模式的选择上，飞鱼星VE2560可以支持路由、NAT、透明三种模式，一般最常用的选择就是NAT模式，这样就可以把以前网络负责NAT转换的路由器給替换下来了，减少了设备投资。

在内网、外网的端口配置完成后，只需要在飞鱼星的配置界面“高级选项”中选择“地址转换”，启用源地址转换NAT功能，用户立即就可以上网了。

地址转换NAT配置

二、对于P2P下载的控制

对P2P下载的控制，是校园网目前面临的迫在眉睫的难题，目前的P2P软件如迅雷、BT、电驴，能把外网带宽跑满，其它用户的上网浏览就会非常慢。所以必须对P2P应用加以控制。飞鱼星VE2560可以对迅雷、BT、电驴、PPLive和PPStream等实用量最大的P2P应用进行控制。而且有例外的IP地址组可以避免所有人不能使用P2P。

封锁P2P应用

在没有使用P2P软件进行控制的时候，网络带宽几乎时时刻刻都被跑满，开启控制功能之后，网络带宽得到明显的改善，网页浏览，电子邮件速度明显加快。

下面2个图的效果比较很明显，第一个图是没有限制迅雷之前的迅雷下载流量图，第二个是限制迅雷后的流量图，可以看得到，迅雷疯狂下载被飞鱼星VE2560牢牢限制住了。

限制迅雷之前的迅雷疯狂下载

封锁P2P后迅雷下载几乎停止

在控制P2P软件的过程中，我们根据实际经验同时使用了飞鱼星VE2560的另外一个很好的功能――“并发连接数”限制。通过这个功能来控制未知的或者其它的P2P应用。因为P2P应用实际上就是靠大量的并发连接来实现大带宽的占用的，当限制了并发连接数之后，即使是未知的P2P应用，也不可能无限制的占用网络的带宽了。我们把一般用户的并发连接数限制在100以内，可以得到很好的效果。

并发连接数限制

三、对于其它应用如聊天软件、股票软件的控制

飞鱼星VE2560对于其它应用如聊天软件、股票软件的控制，也做得很精细。常见的聊天软件如QQ、MSN、Skype、飞信，飞鱼星VE2560都能给予完美的控制，特别是QQ，还专门开发了一个例外功能。可以让例外中的QQ号码通过，其它的QQ号码不能登录。这对于那些利用QQ在客户服务的中小企业尤其有用。

对于聊天软件的控制界面

被封锁后QQ无法登录

被封锁后飞信无法登录

允许例外的QQ号码通过 其它的QQ则被阻断

常用股票软件的控制界面

在校园网中，经常需要对一些不健康的网址进行屏蔽，飞鱼星VE2560在这方面有多种功能来加以辅助。首先其有“网址分类管理”的功能，针对目前的分类，可以控制一些类别网址的访问，它利用了飞鱼星目前对网址分类的积累。这是WEB内容控制的第一关口。

网址分类管理设置

WEB内容控制的第二关口，就是“WEB安全”。WEB安全这里面有非常实用的几个功能。“禁用WEB页面提交”功能，将会阻止IP主机通过WEB向外提交信息。这对于限制企业内部人员泄漏秘密非常有用，用户只能流量而不能向外提交信息。“过滤文件扩展类型” 将阻止对设置文件类型的WEB访问，这个功能可以控制某些类型文件类型的下载。“过滤URL关键字”可以阻止对包含关键字的URL的WEB访问。这对于一些不健康网址的过滤非常有用。最后，飞鱼星VE2560給了网络管理者一个设置“例外IP地址组”的权利，可以使得例外IP地址组不会受到该功能的限制。

WEB安全的设置

五、对于网络安全的支持

对于校园网来说，网络安全尤其重要，来自学校内的、学校外的攻击大量存在，飞鱼星VE2560对于这两个方向的安全，都给予了支持。

首先，最基本的防火墙功能成为了标准配置，这样可以把以前网络中的防火墙下岗了。在防火墙中可以灵活控制哪些TCP/UDP端口的开启和关闭，而且还有针对时间的策略，可以控制在哪些时间开启和关闭。

防火墙功能

另外，在特色的“网络攻击防御”功能中，针对内网的各种攻击如ARP欺骗、synflood、udpflood等等都可以进行过滤和控制。针对外网的攻击防御，外网开放端口保护和阻断外网请求功能默认禁止，如果不需要使用高级选项的各种功能，可以启用以保证外网的安全。

网络攻击防御

六、几点心得

(1)对于三层交换机的支持

值得欣慰的是，飞鱼星VE2560支持三层交换机做为下级级连。因为对于大中型网络，三层交换机已经成为标准配置，否则广播风暴就能让网络性能下降很多。

在配置飞鱼星VE2560对三层交换机的过程中，我们遇到一个小问题把我们卡了一阵，后面经过咨询得到了解决，下面写出来提供大家分享。

我们这个校园宿舍区网络内部是有三层交换机的，所以设置的LAN口IP，需要设置成和三层交换机的连接端口同一个网段的IP。例如三层交换机是192.168.0.254，那么飞鱼星VE2560 的LAN口也需要设置成192.168.0.x 这个网段的IP，保持和三层交换机的正常通讯。在三层交换机上的默认网关设置成飞鱼星VE2560 LAN口的地址。并且在VE2560上需要配置1条到三层交换机的静态路由即可。

飞鱼星VE2560上设置的到三层交换机的静态路由

华为交换机上设置的到飞鱼星VE2560 LAN的默认路由

然后只需要设置NAT就应该完毕了。

但是我们设置NAT完毕后，发现只有192.168.0.x网段的用户能上外网，其它的网段如192.168.2.x网段均不能上外网。把所有设置的配置检查一遍，都无错误后，我们最终发现是在NAT设置的界面上，如果不选中“启用内网扩展地址”，那么就会出现上述的奇怪情况，只有和LAN口一个网段的IP才能上外网。选中这个之后，问题解决。希望大家设置三层交换机和飞鱼星上网行为管理路由器的时候注意到这点。

三层交换机连接时设置NAT的时候注意一定要选中“启用内网扩展地址”

(2)升级固件和策略的重要性

由于网络软件的升级变化和更新很快，对于上网行为管理路由器，如果不更新策略和固件，很有可能跟不上形势的变化。

飞鱼星上网行为管理路由器中，有一个升级策略和升级系统固件的选项。以前还真没有怎么在意。但是我们在封锁MSN的时候发现，居然封不住MSN，配置选项中选中了封锁MSN，MSN照样登录不误。在思考了一会之后，抱着试试看的态度，升级了策略和系统固件之后，发现MSN老实了，再也登录不上了。由此得见上网行为的确需要与时俱进地进行经常更新才行。

便携式X光机

房产资讯网