首页 产品 解决方案 服务与支持 关于信而泰
/ EN
/ EN
网站首页 产品 解决方案 服务与支持 关于信而泰
1关于锐捷RG-DDI3000

  【PConline 评测】不得不说的是,伴着互联网、移动互联网、物联网的不断发展,使得IP地址呈现出爆发式增长,与此同时,DNS与DHCP也被赋予了更多更重要的职责,与之相关的IP地址管控也变得越来越繁琐,网络运维不堪重负,如何解决是好?为此,锐捷网络推出了RG-DDI系列产品,集DNS服务/DNS智能选路、DHCP服务/DHCP+终端准入控制与可视化接入管理三大功能于一体,融合于单一企业级网络设备中,通过旁挂模式无缝接入现有网络拓扑,上点即可部署,简化运维管理。本期,我们收到的是该系列下的锐捷RG-DDI3000型号产品,究竟性能如何一测便知。

三效合一 锐捷RG-DDI接入控制网关设备评测


三效合一 锐捷RG-DDI接入控制网关设备评测

  锐捷RG-DDI3000接入控制网关设备是一款集DNS、DHCP、IP管理于一身的三合一网络产品,融合了真正的智能DNS、高性能DHCP服务器以及可视自动化IP地址管理,为用户提供统一的图形化管理界面,内置丰富报表,供运维端决策分析。

  硬件方面,锐捷RG-DDI3000采用标准2U机箱设计,搭载多核非X86架构,支持双硬盘插槽,内置硬盘容量可扩展至500G以上,且硬盘支持可插拔更换。支持固化千兆电口≥8个,固化千兆光口≥8个,以及固化千兆接口≥4个。

  此外,锐捷RG-DDI3000还为用户提供可视化终端地址管理功能,例如地址利用率,在线用户数时间曲线,地址冲突等告警信息,适用于出口有多条运营商线路,且有对外发布网站服务的用户,例如校园网等;此外,“DHCP+准入认证”机制,可对例如医院/政府/企业等用户的内网终端接入进行管理,无需安装客户端就可实现接入准入控制。现在,相信各位对锐捷RG-DDI3000接入控制网关设备已有了初步了解,下面马上进入今天的测评环节,一起来看。

2评测说明与ACL测试

评测说明

  本次设备评测,由PConline与北京信而泰评测实验室共同完成。北京信而泰科技股份有限公司,是国内市场上测试端口出货量最大的网络测试仪供应商,可实现以太网2~7层测试与协议仿真、IP网络验收与监测、IP网络及设备性能测试等各种功能。

 北京


北京信而泰科技股份有限公司

  自2007年成立以来,信而泰BigTao(道)系列网络测试仪、iTester系列网络测试仪、Tlite手持网络测试仪、Teststorm2~7层测试平台被通信设备制造商、服务提供商、科研院所、高等院校、电力、交通等各领域客户广泛采用,实现对复杂网络及网络设备的各种测试。信而泰的全系列网络测试仪产品均为自主研发,可根据客户的特殊需求提供定制化服务,用户也可以基于信而泰的测试仪方便的进行二次开发。

  本次测试仪器为TestStrom200 机箱+X6008D板卡,TeleExplorer操作软件测试平台+TeleAPP软件测试套件,并采用以下标准: GB/T 20281信息安全技术,防火墙技术要求和测试评价方法,信产部YD/T 1287(具有路由功能的以太网交换机测试方法)。Frame Size(bytes)分别为:64、 128、256、512、1024、1280、1518。

锐捷RG-DDI接入控制网关设备测试连接环境


锐捷RG-DDI接入控制网关设备测试连接环境

  此次,我们将针对锐捷RG-DDI3000接入控制网关设备的ACL访问控制功能、DHCP终端准入控制、智能DNS选路、可视化接入管理性能进行全面测试,看看它的功能性能是否可以满足企业网络的需求。

ACL测试

  ACL(Access Control List),即访问控制列表,是路由器和交换机接口的指令列表,用来控制端口进出的数据包。其能限制网络流量、提高网络性能,可以在端口处决定哪种类型的通信流量被转发或被阻塞。

  测试方法:将测试仪T1,T2端口分别连网关设备的1,2端口,生成一条ACL规则,过滤Gi0/0发报文(out) 。当中,T1口接到锐捷设备Gi0/0口,T1口ip2.1.1.2,Gi0/0口ip2.1.1.1;T2口接到锐捷设备Gi0/1口,T2口ip2.2.2.2,Gi0/1口ip2.2.2.1; 

DDI配置


DDI配置

测试结果


测试结果

  测试结果如上图所示,T2发往T1流量不通,说明ACL规则生效。

3DHCP+终端准入测试

DHCP+终端准入测试

  DHCP(Dynamic Host Configuration Protocol,即动态主机配置协议),通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。

  测试1:每秒分配IP地址数上限。用以太网抓包&发包工具(SVlanFrame)测试DHCP,查看每秒分配的IP地址数。

DDI配置


DDI配置

SVlanFrame测试


SVlanFrame测试

  从上图可以我们看到,在线用户数90000,测试时间为28s,DHCP每秒可分配大约3200个IP地址。

 

  测试2:告警及IP全生命审计日志。构造地址池耗尽、地址迁移和ip冲突的场景;在【IPAM\业务告警】页面查看告警。

在DDI DHCP上建立地址池


在DDI DHCP上建立地址池

配置固态用户


配置固态用户

  测试结果如下:

地址池耗尽告警


地址池耗尽告警

终端迁移告警


终端迁移告警

IP冲突告警


IP冲突告警

  丰富的告警,包括地址池耗尽、地址迁移、ip冲突等;通过IP全生命审计日志可以查看终端上下线日志记录。

 

  测试3:终端指纹识别,可通过终端的指纹(option55和option60)识别终端的类型。通过使用不同的终端在DDI上线获取IP地址;在【IP智能管理\IP表】查看终端的具体类型。

测试结果如上


测试结果如上

 

  测试4:识别网络私接路由器,识别当前网络中通过DDI获取IP的私接路由器。先将路由器wan口IP获取方式设置为自动获取,路由器在DDI上获取到IP后,通过DDI的WEB路径【IP智能管理\IP表】查看;点击“疑似路由”按钮,自动过滤出所有疑似路由。

测试结果如上


测试结果如上

 

  测试5:地址池超级域,可配置主地址和次地址池;完成优选分配主地址,主地址池分配完分配次地址池。在DDI上配置DHCP主次地址池,用测试仪测试DHCP,建立300条Session,查看结果。

在DDI DHCP上建立主次地址池


在DDI DHCP上建立主次地址池

  测试仪测试,建立300条Session,开启测试。测得以下结果,从图中我们可以看出,DDI配置的主次地址池,用测试仪测试,主地址池地址分配完分次地址池。  

 

  测试6:单MAC在多个地址池绑定,单MAC绑定后能够在不同的地址池上获取各自的IP地址。首先在DDI DHCP上配置2个不同的地址池;其次在DDI IPAM上配置一个MAC绑定到不同地址池的IP;最后用测试仪测试DHCP,把绑定的MAC添加到1,2端口下,查看是否可以获取各自的IP地址。

DHCP地址池配置


DHCP地址池配置

IPAM配置


IPAM配置,把MAC 0000.1101.0101分别绑定到1.0.10.10和2.0.10.10.

测试仪测试


测试仪测试

  从上图不难看出,1,2端口下相同MAC 000.1101.0101获取到的IP分别为1.0.10.10和2.0.10.10.

 

  测试7:自动推荐空闲IP地址,DHCP取消动态分配,测试仪测试DHCP,查看能否分配IP地址。先将DDI上DHCP地址池上取消动态分配,对DDI上IPAM新用户授权绑定,用测试仪测试DHCP,单端口建立100条Session,查看能否分配IP地址。

DHCP地址池取消动态分配


DHCP地址池取消动态分配

  测试仪开启DHCP测试,让DDI获取到客户端MAC

  打开DDI IP智能管理-新用户授权,可以获取到测试仪发来的MAC

  单MAC绑定-新用户全部授权

  绑定成功后,发现测试仪能获取到DHCP分配的IP地址

4DNS智能选路

DNS智能选路相关测试

  DNS(Domain Name System)是一个提供域名解析的分布式系统,主要功能是完成域名与其对应的IP地址之间的相互转换。网络中提供DNS服务的主机称为DNS服务器,而向DNS服务器发起查询请求的主机称为DNS客户端。DNS协议是应用层协议的一种,客户端和服务器通过DNS协议实现数据的交互和通信。

  测试1:DNS对非法URL的过滤。在DDI上对应接口启用DNS服务,并配置url黑名单,将这条黑名单应用到策略中,如果用户向DDI访问黑名单内的url时会直接被阻断访问。

接口启用DNS服务


接口启用DNS服务

  添加URL黑名单。调度策略:添加CDN资源test,将非法url地址“teletest.com”输入里面

  DNS安全:点击添加黑名单,将CDN资源test添加进去,并开启黑名单

  测试仪测试

测试仪DNS配置


测试仪DNS配置

开启测试


开启测试

DDI DNS结果查看


DDI DNS结果查看

  经过测试仪测试我们看到,用户向DDI访问黑名单内的url时会直接被阻断访问。

 

  测试2:DNS与多出口的联动。首先配置DDI和出口EG可连通,出口设备配置SNMP server,DDI上配置添加该出口的SNMP Client,在DDI的Web上可查看该出口设备各接口的接口速率和带宽利用率。

以下路径【DNS网关接口配置SNMP管理】配置


DDI配置:以上路径【DNS网关接口配置SNMP管理】配置

路径【DNS网关接口配置添加网关接口】添加网关


DDI配置:以上路径【DNS\网关接口配置\添加网关接口】添加网关接口信息

出口联动信息查看


出口联动信息查看

DNS主页也可以看到接口信息视图


DNS主页也可以看到接口信息视图

 

  测试3:DNS故障检测。DDI可以配置DNS故障检测,通过故障检测可以快速识别联通连通性,从而判断上级DNS是否可用,减少冗余查询。针对此测试项,配置故障检测RNS实例、故障检测TRACK,新建DNS集并关联检测TRACK。

配置RNS实例


DDI 配置RNS实例

配置TRACK


配置TRACK

配置DNS集关联


配置DNS集关联

  测试结果如下:

在DNS故障检测配置页面可以看到检测状态变化


在DNS故障检测配置页面可以看到检测状态变化

在DNS集配置页面可以看到上级DNS服务器可用状态


在DNS集配置页面可以看到上级DNS服务器可用状态

  评测总结:锐捷RG-DDI3000所提供的统一图形化管理界面,让运维工作更直观;入站智能DNS解析,能基于用户的运营商属性做出快速反应,解决跨运营商难题;“DHCP+准入控制”,令复杂而动态的内网终端接入管理更为安全。通过智能DNS广域网选路/增强型DHCP+终端准入控制,可视化接入管理的组合形式,锐捷RG-DDI3000可为用户打造一个简便、快捷、安全、可视的动态网络接入和准入体系。

来源:太平洋电脑网