数据安全大讲堂:蒲公英 G5 路由器 开箱简评(附企业级用户的安全性设计科普)
嗨,大家好!我是Neo 。虽然互联网时代的不断发展,员工在异地办公的场景越来越多见。毕竟现场发现的问题,可能需要连接回总部进行底层源代码的调试,再马上放到现场设备上调试。
但同时,如果把服务器直接连入互联网,又不得不面对黑客攻击、透出关键数据的问题。所以对于企业用户来说,如何平衡好易用性和安全性,始终是一个难题。
而最近Neo所在的团队,最近把老旧的TP-Link交换机,更新为了一台低调的路由器设备,就是今天的主角:来自蒲公英的G5企业级路由。究竟这款售价“高达”300多元的有线路由器有什么过人之处呢?我们一起来看看。
购买理由
其实市面上的企业路由,选择并不多,一般主要分为2大类。一是超级专业的*级企业路由,一般价格在2K-20K不等。比如下面这款H3C的产品,应该就是这一品类里的入门代表作了。
这类产品的主要特点在于可以比较好的保证长期、高速、稳定运行,并且有比较齐整的防攻击性能。一般定位与大型企业(毕竟树大招风)。但反过来说,价格自然也就上去了。并且其实溢价还是挺高的,毕竟大企业一般预算也足。
而第二类企业路由,则是定位家用和超高级应用之间。比如蒲公英G5,硬件配置不错,价格也不离谱,还有一系列比较高级的服务。比如同样是千兆有线路由器,价格只要300多元,再企业级应用里,是挺有竞争力的了。
聊到这里,肯定会有朋友问了,明明带WiFi的无线路由器也不贵,为啥还会在2018年继续配置有线路由呢?
原因无非以下几点:稳定+快速+安全+可靠性。
先说安全
在网络拓扑结构中,有个很重要的概念,叫做latency(延迟)。对于大多数普通消费者来说,最直接的感受其实就是在玩吃鸡、CS Go这类对实时性很高的游戏时,突然“卡”了。这里的卡顿,排除电脑硬件限制之后,往往就是latency过大所致。
我们一般在CMD下面用Ping命令可以轻松查到:
由于有线连接和无线连接,本身的物理特性区别,可以很容易预见到,有线连接会稳定的多,延迟也会小的多。这也是为什么企业用户始终还是倾向使用有线连接。因为一些关键程序操作时,如果卡顿就有可能造成宕机、甚至机械设备动作出错的情况,会有严重的后果。
再来看看快速
正所谓,天下武功,唯快不破。而在企业应用时,速度更加是重中之重。以Neo我日常项目中的数据处理量来说,一个芯片电路版图的GDS文件,往往就是G级的,而整个library开发库,则往往要大于20G。如此大的数据需要频繁收发,没有极高的网速显然会造成工作效率的打折,甚至出现人等机器的尴尬情况。
这时,对于人力成本的浪费,路由器本身的硬件成本就显得微不足道了。
这里援引Anandtech的“有线 VS 无线”路由器测速大作战的数据:
可以看到千兆有线基本可以跑满,有效值达到878M,而其他高级无线网卡传输只能达到150-200M左右,接下来百兆有线也基本能跑满达到94M。也就是说,有线连接的带宽损失率是很低的,可以更有效的快速传输数据。
其三是安全
如果说刚才提到的两点,都可以用带有线LAN口的无线路由搞定。但无线的方便连接,却自然带来了另一个问题,那就是:安全性的下降。
比如下面这幅图,就是典型的服务器机柜拓扑结构。可以看到是“全有线”连接:
Why?因为方便往往等同于安全性的下降。无线路由的WiFi信号可以方便的连接各种设备,也自然让黑客、商业间谍更加容易下手。而有线路由必须通过网线物理连接,显然就难得多了。其实这也是为什么相对单价更贵的企业级路由,却不配备百元出头家用级路由就标配的无线功能。
远的不说,2009年直接把伊朗核设施玩宕机的“Stuxnet”病毒,就是通过英特网从遥远的丹麦和马来西亚把伊朗本土严防死守的核设施端掉的。
对于企业来说,这种入侵显然是无法接受的。而在日常工作中,直接内网有线连接,并且断开互联网,其实是最简单有效的手段。而杜绝的无线WiFi信号后,也就不给黑客远程偷偷打开的后门,可以说是为信息安全添砖加瓦,更上一层楼了。
最后一点:可靠性
其实这个应该很好理解了,我们在工作中,时常要通过网线连接各种设备。这时网线本身的物理连接可靠性就非常重要了。得益于水晶头本身的卡口设计,网线的连接往往是比无线WiFi连接更可靠的选择。即使隔一堵墙,拉根长网线信号的可靠性和速度也还是杠杠的。
所以综合考虑了稳定+快速+安全+可靠性这四大因素,选择企业级有线路由也就顺理成章了。
外观展示
▼ 聊了这么多,我们还是先来看看最终入手的这款蒲公英G5路由器怎么样吧。首先包装还是非常简约的。黑色的包装盒上是一个加深的蒲公英logo。
▼ 打开就是路由器本体了。和大多数企业级路由器一样,外壳是全金属结构的。增加手感的同时,也的确提供了更好的保护性和耐久度。
▼ 外壳本身的做工用料都不错,金属对长期使用时的散热也有帮助。
▼ 出厂时,随机在前面板贴膜保护了,第一时间撕掉。
▼ G5的整体工业设计。
▼ 当然外观不是全部,我们再来看看开关和接口部分。从左到右主要包括:复位开关、USB 3.0 接口、4个千兆LAN口,一个千兆WAN口,电源接口。其中USB用了3.0标准的蓝色,而WAN口也是蓝色标明不同,方便快速操作。另外也有朋友注意到这款路由器是没有开关的。没错,企业级产品基本就是定位7天24小时不间断工作到换新的~
总体来说,G5的外观、做工、用料都不错。极简的工业设计风格,全金属机身,标示明显的接口配色,都显示出了企业级产品应有的水准。接下来,我们再看看实际使用的表现如何。
使用感受
聊使用前先说需求,G5路由器的带机量是150台。可能有朋友会问了,一个就4个LAN口,你咋带150台设备?其实很简单,设备和设备之间还可以连接。比如这个我们正在测试的互联系统(具体保密哈),理论上可以无限扩展下去,超过150台也是轻轻松松的事。
这种应有场景下,对于路由器来说,就得有足够强大的数据处理能力了。蒲公英G5的主控芯片是MT7621A,是一款来自联发科的中高端路由器芯片。
具体的,圈内人可以之前看MTK官方的datasheet,不过对于大多数用户来说,这些性能参数也不用太在意细节。Neo我就说说几个核心点吧:首先是 880 MHz MIPS® 1004KEc™ dual-core CPU。这款CPU在路由器领域还是比较强大的,一般应用于“工业”场景,也就是我们一般说的企业级产品,定位长期、可靠的运行。同时再connectivity连接性方面,最大的亮点就是Ethernet有些网络连接上采用了5 port Fast Ethernet Switch + RGMII。也就是所谓的千兆有线连接,采用常规的1 WAN + 4 LAN的结构。此外一些高端的功能,比如2Gbps IPv4/6 routing, NAT, NAPT+HQoS也都支持,为用户提供了比较大的操作空间。
再看产品本身,蒲公英G5也很应景的搭载了256M RAM (内存)+16M ROM(闪存)。并且前面提了,有一个USB 3.0的外接口,保证了性能和扩展性。
而在网络协议和接口方面,常见的TCP 443,6061,80,4008,以及UDP 4118,15111-16000也都涵盖了,可以说该有的都有了。
而在网络拓扑结构方面,前面提了,作为企业用户,我们最在意的其实还是可靠性和安全性。具体来说设计的方案如下:
出差员工使用的移动设备【笔记本电脑】,通过【防火墙】过滤之后,连接到【主路由器(就是G5啦)】,然后在分别连接到【服务器】和【工作站】上。
这样结构的好处就是,当没有外部连接需求时,直接拔掉WAN口的网线,就可以轻松实现物理隔离,防止黑客的入侵和攻击。而这时,正如前面说的,因为路由器没有无线WiFi功能,就完全不用被担心被远程控制啦。
当然了,为了再增加一级安全防范。平时【服务器】也是不连内网,而是连接到单独的【操作工作站】上。从而实现了双层物理隔离,保证了最大的安全性。
言归正传,系统设置方面蒲公英G5的操作还是比较常规的。
注册完账号后,直接开始智能组网。选择的拓扑结构是总部通过蒲公英G5连接互联网,让出差的同事可以远程读取数据:
由于出差的笔记本电脑不保存核心服务器数据,所以考虑到方便性,入手的是蒲公英X5路由器,这里我们首先选择智能组网:
然后通过SN码的方式,在自己的蒲公英账号下绑定路由器:
很快路由器就绑定成功了:
接着加入出差同事的路由器即可:
这样智能组网就完成了,速度的确非常快。
而对出差人员来说,只有在网络位置里打开对应的共享文件夹,就可以轻松访问具体的数据或者代码文件了。这个过程确实非常的简单和无脑。并且,也可以直接把数据文件先拷到U盘,再插到总部的路由器上,保证全程服务器和工作站都不联网。
至于传输速度,因为目前还没有买专业版服务,所以最大是1Mbps带宽,基本可以跑满,对于偶尔传文件来说也够用了。
如果经常有大文件传输需求的话,可以再购买对应的专业版服务。
此外,在数据本身的安全性方面,路由器还支持以下两个数据安全功能:
1. RSA2018/AES加密传输
2. 指定MAC地址
这样一来,黑客如果想在英特网中截取最终数据,还得进行解密,非常麻烦;并且需要夺取物理设备(就是出差员工的笔记本)才能建立连接;获取数据的成本大增,基本没有可行性了。
不过,光这样还没有到万无一失,我们的核心数据在拷入U盘前,会先在Linux中进行GPG加密操作。有信息安全经验的同学看到这里应该就懂了,通过绑定出差同事的物理机+同事本人才知道的私钥,辅以全程GPG加密数据,再加上蒲公英G5的专用组网通信链路,RSA2018/AES加密传输,指定MAC地址,物理双层断开防护,整套数据流的安全等级可以说是暴高了。
▼ 至于有线测速,在常规操作环境中,是可以轻松跑满千兆网口的1Gbps带宽的。我们先按照Neo刚才说的,不插WAN口,仅使用2台工作站进行双机互联:
▼ 路由器也会闪红灯表示没能连上互联网:
▼ 接着选取一个1G出头的压缩包进行测试,可以看到峰值速度又107.7MB/s,基本跑满了1Gbps的带宽(带宽和字节传输速度差8倍)。
▼ 最终的实测成绩,平均速度为77.3MB/s,还是令人满意的。
这也说明了G5搭载的MT7621A主控芯片+256M RAM的方案,在中小型企业的内网中进行数据传输还是很不错的。
总结
看到这里,大家应该也对企业级路由的用途、配置、以及安全性考量有了一个比较全面的了解。
同时,由于现在网上黑客、流氓软件盛行,全球千万级的普通用户其实都已经成为了黑客手里的“肉鸡”。所以即使没有如此严苛的安全需求,了解一些基本的安全知识也是挺有必要的。
先来看看企业角度的路由器选择和配置:首先就是对安全性和可靠性有极高的要求,有时候宁可慢一点,麻烦一点,也得保证本身数据的完整性和正确性,同时不能让外围的人窃取。这也是为什么文中Neo我介绍了各种层层叠叠的安全防护措施,已经摒弃无线WiFi功能而达到物理隔离的考量。这个层面来看,蒲公英G5路由器的确满足了需求。并且和其他蒲公英路由器配合进行的智能组网也的确省事有效。对应核心数据的传输来说,这个方式再考虑时间、成本投入之后,可以说是目前的最佳选择,比传统的qq传输,或者百度网盘、腾讯微云更加安全。
而对普通家用用户来说,其实蒲公英G5可能不如其他带WiFi的X系列路由器合适,应该更适合对自己的私有数据和隐私有比较高要求的用户入手。当然了,对于需要数据和异地互传(比如总部和分部,办公室和家里),又不希望有使用WiFi的情况,也可以同时配置X系列路由器和G5路由器来实现,所以其实最终如何使用,还是得看具体的应用需求。
而蒲公英这个系列的路由器提出的快速只能组网方案,应该是其最核心的竞争力,实测下来也的确不错,值得有这个需求的用户入手。好了,这次就和大家聊到这儿,我是Neo,我们下次见!
小编注:本文作者@沈少Neo是什么值得买首席生活家,他的个人自媒体信息为:
新浪微博:沈少Neo,微博地址(http://weibo.com/neoshen)。
嘎嘎嘎嘎嘎嘎哥
校验提示文案
QCf4n
首先开头聊到速度,举了一张图片是AnandTech的,去官网找了这个文章(t.cn/R88YD1m)首先这文章是古董网卡Bigfoot 1102评测不是什么“‘有线VS无线路由’测速大作战” 其次这文章11年10月的啊这都18年了,总不能拿七年前文章来说现在的事吧 文中“高级无线网卡传输只能达到150M-200M左右”,这句话拿到现在来说,不成立啊。
下面讲到产品本身硬件,其中有一个地方可能是neo疏忽了,我帮他改一下。5 port FastEthernet Switch+RGMII不是指千兆LAN。。。FE是百兆交换。RGMII是精简GMII。这个页面介绍的是7621系列,其中包括7621A与7621N,右下角Bundled Platform才是写明了7621A有一个嵌入式5p GpE Switch。当然这种问题无伤大雅,下笔难免有误嘛,多查查就好了。
还一个疑问就是安全性。官网写了上网行为管理这个东西,请问效果如何?第二个就是防火墙规则如何?规则粒度如何?防Flood Attack等肯定得有吧,rules来说OpenWRT都能设置Firewall,ASUSWRT甚至有IDS深度包检测。作为企业有线router,这方面评测必不可少吧。
校验提示文案
ghostzzl
校验提示文案
败家大叔
校验提示文案
xuliu4444
校验提示文案
李朝暮
校验提示文案
QCf4n
校验提示文案
bloodseeker
校验提示文案
nylqd
校验提示文案
QCf4n
校验提示文案
可爱的排骨
这K2P档次的路由和企业安全有什么关联吗? 另外拿10年前的无线网卡与有线千兆对比速度的意义是?
另外谢谢楼主分享
校验提示文案
eekee
校验提示文案
西湖彭于晏
校验提示文案
昊放不羁
校验提示文案
一阔大白菜
校验提示文案
yhsih
校验提示文案
Willard
校验提示文案
让我先冷静一下
校验提示文案
可爱的排骨
校验提示文案
ZarDXeon
校验提示文案
值友6142758875
校验提示文案
Willard
校验提示文案
yhsih
校验提示文案
OWART
校验提示文案
东城伊织
校验提示文案
cc5233
校验提示文案
QCf4n
校验提示文案
nylqd
校验提示文案
kofkingsai
校验提示文案
值友2248507126
校验提示文案
bloodseeker
校验提示文案
一阔大白菜
校验提示文案
SARS虫虫
校验提示文案
QCf4n
首先开头聊到速度,举了一张图片是AnandTech的,去官网找了这个文章(t.cn/R88YD1m)首先这文章是古董网卡Bigfoot 1102评测不是什么“‘有线VS无线路由’测速大作战” 其次这文章11年10月的啊这都18年了,总不能拿七年前文章来说现在的事吧 文中“高级无线网卡传输只能达到150M-200M左右”,这句话拿到现在来说,不成立啊。
下面讲到产品本身硬件,其中有一个地方可能是neo疏忽了,我帮他改一下。5 port FastEthernet Switch+RGMII不是指千兆LAN。。。FE是百兆交换。RGMII是精简GMII。这个页面介绍的是7621系列,其中包括7621A与7621N,右下角Bundled Platform才是写明了7621A有一个嵌入式5p GpE Switch。当然这种问题无伤大雅,下笔难免有误嘛,多查查就好了。
还一个疑问就是安全性。官网写了上网行为管理这个东西,请问效果如何?第二个就是防火墙规则如何?规则粒度如何?防Flood Attack等肯定得有吧,rules来说OpenWRT都能设置Firewall,ASUSWRT甚至有IDS深度包检测。作为企业有线router,这方面评测必不可少吧。
校验提示文案
QCf4n
校验提示文案
QCf4n
首先开头聊到速度,举了一张图片是AnandTech的,去官网找了这个文章(t.cn/R88YD1m)首先这文章是古董网卡Bigfoot 1102评测不是什么“‘有线VS无线路由’测速大作战” 其次这文章11年10月的啊这都18年了,总不能拿七年前文章来说现在的事吧 文中“高级无线网卡传输只能达到150M-200M左右”,这句话拿到现在来说,不成立啊。
下面讲到产品本身硬件,其中有一个地方可能是neo疏忽了,我帮他改一下。5 port FastEthernet Switch+RGMII不是指千兆LAN。。FE是百兆交换。RGMII是精简GMII。这个页面介绍的是7621系列,其中包括7621A与7621N,右下角Bundled Platform才是写明了7621A有一个嵌入式5p GpE Switch。
还一个疑问就是安全性。官网写了上网行为管理这个东西,请问效果如何?第二个就是防火墙规则如何?规则粒度如何?防Flood Attack等肯定得有吧,rules来说OpenWRT都能设置Firewall,ASUSWRT甚至有IDS深度包检测。作为企业有线router,这方面评测必不可少吧。
校验提示文案
ZarDXeon
校验提示文案
李朝暮
校验提示文案
可爱的排骨
校验提示文案
aboil
校验提示文案