之前我們提到過一款名為SSL-Explorer的軟體式開源SSL VPN方案，可以將網路上的一部PC轉變成功能強大的VPN網關。今天我們來看看這款ProSafe SSL VPN 集線器 25 SSL312。這是一款來自Netgear（網件）的硬體式遠程登陸SSL VPN新產品。圖1顯示了該產品的正面佈局，其中包括了乙太網端口，電源指示燈以及LED燈。

圖1: Netgear SSL312
　　在收到這款集線器的時候我就開始猜想：Juniper Netscreen SA700這種企業級SSL VPN就已經賣到大概$1500。而在$400這個價位上，網件是否真的能夠為我們提供企業級的SSL VPN？接下來讓我們看清楚這款SSL312到底是什麼回事。

這款SSL312的主要功能有：
· 硬體支援最多25個併發VPN通道
· 不對併發用戶進行限制
· 具備通過VPN portal瀏覽Windows 文件系統的能力
· 支援WebCIFS、Telnet、FTP、SSH、WebFTP接入
· 內置數據庫，支援MS Active Directory、LDAP以及RADIUS認證
· 可以通過終端服務和VPN進行遠程桌面控制
· 通過zero-footprint(零空間佔用) VPN客戶端登陸(ActiveX 控制)
· 支援任務中止後自動清理緩存(ActiveX 控制)
· 支援端口映射(ActiveX 控制)
· 任務超時設定

　　瀏覽器(如Internet Explorer)必須支援Microsoft ActiveX，因為此款產品大部分的端口映射功能是基於ActiveX。網件建議使用Internet Explorer 6.5.1或以上的版本。不過在安裝這款SSL312的時候不需要用到ActiveX控制，所以安裝時完全可以使用其他瀏覽器，如Mozilla Firefox。同時，網件把全部的ActiveX組件轉換為純JAVA，使得支援JAVA的瀏覽器也能使用。

　　SSL312使用的是200MHz Cavium NITROX Soho CN22X MIPS32 CPU。由於SSL312使用256-bit AES進行加密，Cavium晶片的VPN加速能力就更能得到保證。Cavium的官方網站上表示200MHz Cavium NITROX Soho CN22X MIPS32 CPU完全可以應付20Mbps的SSL VPN吞吐量。

　　我們用Qcheck對產品進行吞吐量的測試，報告顯示，一條active VPN隧道的吞吐量為6Mbps（上下行都一樣）。同時SSL312 也提供16MB 閃存以及 128MB SDRAM。通過端口掃描軟體得知，該設備使用的是Linux作業系統。和其他朋友們一樣，我也喜歡打開外殼，往集線器裏面看個究竟。
圖2就是該集線器外殼打開後的內部情況。

圖2：SSL312的內部狀況
　　圖3則顯示了主板上的具體佈置。我們可以看見Cavium CPU（中間黑色散熱片下面的就是），FLASH/SDRAM晶片，乙太網控制器，以及其他的組成部分。

圖3：SSL312內部的主板情況

安裝與配置

　　網件的這款SSL312安裝與配置的簡單易用性給我留下了深刻的印象。在使用之前僅僅花了15-20分鐘就把整個設備給配置好了，包括把所有東西連接好，添加幾個基本的網路及VPN參數。首先把SSL312從盒子裏拿出來（別嫌我囉嗦），把電源線插好。然後，把網線插入到SSL312前面的乙太網端口1上，網線的另一端則接到我的電腦上。打開電腦，把SSL312的背面把電源開關也打開。

　　為了連接SSL312並對其進行設置，必須為電腦添加一個IP地址，這樣才能和集線器處於同一個子網。由於SSL312的默認IP地址為192.168.1.1，網件則建議將已在網路上的電腦IP設置為192.168.1.10，子掩碼為255.255.255.0。

　　IP設置完畢後，打開瀏覽器，然後輸入地址https://192.168.1.1。如果網路設置正確的話則會顯示如圖4那樣的登陸介面。


圖4：SSL312－登陸介面
　　輸入admin為出廠默認用戶名而password為默認密碼。在接入互聯網之前記得把用戶名和密碼改得更安全。正確登陸之後，將會看到以下的畫面（圖5）。

圖5：SSL312－管理－狀態螢幕
　　開始設置網路的話則點擊System Configuration（系統配置）下的Network（網路）鏈結。進入了網路螢幕之後，選擇Interfaces（介面）。

圖6：SSL312－管理－網路介面
　　接下來把SSL312的IP更改為局域網上的一個公開IP，同時設置子掩碼，以便把集線器添加到網路上。要完成這步只要在Interfaces（介面）的Ethernet Port 1(乙太網端口1)上輸入公開IP的IP地址以及子掩碼就可以了。具體可見圖6，這裡我把IP地址設置為192.168.0.25，子掩碼為255.255.255.0。

　　為了定義默認網路路由，則選擇Static Routes（靜態路由）。在Default Gateway Address（默認網關地址）部分，輸入局域網連接到互聯網上的網關地址。如圖7，這裡我設置了默認網關為192.168.0.1。

圖7：SSL312－管理－網路靜態路由
　　設置DNS伺服器地址的話則選擇DNS Settings（DNS設置）。在螢幕上輸入適當的主次要DNS伺服器的IP地址，如圖8。



圖8：SSL312－管理－網路DNS設置

　　若要設定時區，日期和時間的話，則點擊Date and Time（日期與時間）鏈結。正確的時間和日期很重要，因為這將關係到日誌上的時間。當日期與時間畫面出現後，選擇正確的時區，如圖9。然後點擊Use Network Time Protocol (NTP)，使設備的時間和NTP伺服器的時間同步。當然，手工輸入也可以。


圖9：SSL312－管理－時間日期
　　然後我們為SSL312添加用戶,點擊Access Administration （登陸管理）下的Users and Groups（用戶與組）鏈結。然後點擊Add User（添加用戶）。如圖10，為新用戶填寫相關的資訊。在文章的後面我們會需要使用到添加的用戶來登陸VPN。

圖10：SSL312－管理－用戶與組
　　若要細化SSL312如何連接網路的話，則點擊VPN Tunnel（VPN隧道）鏈結，進入VPN Tunnel Client（VPN隧道客戶端）介面。

圖11：SSL312－管理－VPN隧道
　　這裡需要注意，客戶端的起始和結束IP地址需要正確填好，否則IP範圍外的電腦將無法連接到網路。例如，如果我們的網路起始IP為192.168.250.1，結束IP為192.168.250.254的話，那網路上的電腦就應該把IP設置為這兩個IP之間。

　　同時還需要為VPN隧道客戶端添加路由。如圖11，我添加了192.168.0.x網路進來，這樣一來，192.168.250.x網路就能與其建立起連接了。

　　非常重要的一點，我們還要為192.168.250.x網路的防火牆或者路由器上設置好靜態路由，並指向SSL312的IP地址。如果沒有在防火牆或路由器上正確設置回SSL312的靜態路由的話，數據包可能會丟失，整個VPN隧道也可能無法正確運作。

　　還有一點需要確認的是從互聯網連接到SSL312的443 端口(HTTPS)的連接性。大部分的防火牆或者路由器都需要設置規則來允許外部網路連接到SSL312所在的網路上。具體設置會根據不同防火牆或路由器而有所不同。

VPN隧道的使用

　　好了，接下來我們在遠程的電腦上打開打開瀏覽器來看看VPN portal。在瀏覽器上輸入portal的地址，這裡是https://192.168.0.25/portal/SSL-VPN。 192.168.0.25就是我們之前為集線器所設置的IP地址。正常情況下我們可以打開以下的登陸頁面。



圖12：SSL312－登陸頁面
　　用我們剛才在“用戶和組”步驟添加的用戶登陸。登陸之後頁面跳轉到了VPN Tunnel（VPN隧道）。如圖13。

圖13：SSL312－Portal－VPN隧道
　　點擊那張黃金鎖圖片，建立一個VPN隧道。如果彈出安裝ActiveX組建窗口的話就得把組建安裝了，否則這個鏈結就打不開。建立連接之後，系統托盤上就會出現了一個新圖標。雙擊圖標，打開VPN Tunnel Connection Status（VPN隧道連接狀態）窗口。在這裡可以看到具體的VPN隧道連接資訊。

圖14：SSL312－ActiveX控制－VPN隧道
　　許多朋友可能遇到過這樣的問題，當因為某些原因需要經常變換網路的時候，就不得不先把原來的Ipsec客戶端卸載，讓人非常頭疼。 不過，SSL312並沒有遺留這樣煩人的問題。打從一開始就進行的非常順暢和明確。在我們登陸的時候就可以發現，SSL312在portal頁面提供了一個內置的VNC客戶端。我們在設置多個集線器的時候也變得相對簡便了。

　　SSL312對Windows 2000 Server, 2003 Server 或者XP Pro系統的終端服務以及遠程桌面協議（RDP）支援得非常完美。而Windows XP Home並不支援RDP，除非你能遠程式控制制其他支援RDP 的機器。遠程桌面協議（RDP）是微軟專有的協議，允許用戶進行遠程桌面控制，跟VNC很相似。終端服務則允許獨有環境下的單一電腦建立起獨立的遠程桌面任務。

　　用戶也可以設置終端服務為應用程式模式。為應用程式添加書籤後可以在SSL312 VPN portal頁面找到它們。也就相當於我們桌面的快捷方式，只不過這是供給遠程用戶使用而已。可惜我沒有Windows伺服器，沒能對其RDP功能進行測試。圖15顯示了終端服務的應用程式頁面。

圖15：SSL312－Portal－應用程式
　　圖16則顯示了遠程登陸頁面以及內置遠程登陸客戶端的資訊（RDP和VNC）。

圖16：SSL312－Portal－遠程登陸

網路瀏覽與端口映射

　　接下來讓我們看看WebCIFS的功能性，如網路瀏覽、VPN隧道運作情況等。我的網路上連有一個Linksys NSLU2的 NAS，所以我打算通過隧道連接一下這個網路存儲伺服器。在SSL VPN portal的頁面上我們可以通過點擊Network Places（網路位置）來查看共用的網路。而在我的對共用文件的操作過程中，遇到的問題少之又少。上傳文件、刪除文件、新建文件夾都沒有問題。上傳的文件從250kb到50MB大小的都有。

　　當上傳操作完成後，SSL312會自動跳轉到共用文件的根目錄下，而不是停留在原來的路徑，這給用戶帶來一個細小的麻煩。WebCIFS介面上具有一個體貼的功能，能夠為任何機器的共用建立快捷方式，並能在點擊Network Places（網路位置）的時候顯示各個機器的共用目錄。

　　總的來說WebCIFS的功能性是非常不錯的。有些時候上傳和下傳會顯得有些慢，不過估計這主要和我的互聯網連接有關，而不是SSL312本身。如果能夠在介面提供一個上傳和下傳“進程條”那就更好了，這樣就不用老是擔心傳輸是否成功了。圖17顯示了WebCIFS介面的一個例子。


圖17：SSL312－Portal網路位置
　　傑出的端口映射能力是SSL312的另外一個亮點。SSL312的端口映射功能支援使用TCP連接的程式進行映射。而各項功能都是通過ActiveX控制，跟VPN隧道非常相像。Netgear說如果用戶僅僅希望映射TCP連接，而不需要一個完全的VPN隧道的話，用戶將會喜歡使用這個端口映射功能，因其不會像完全VPN隧道那麼繁複。

　　我用這個端口映射功能將Mozilla Thunderbird的IMAP (TCP 143)連接映射到我的Linux郵件伺服器上，以及將MySQL (TCP 3306)數據庫連接映射到Linux數據庫伺服器上。我們可以在SSL312的管理頁面上設置端口映射的參數。如圖18。

圖18：SSL312－管理－端口映射
　　這樣一來，普通用戶沒有許可權胡亂映射程式，只能選擇管理員預先設定的規則。進入portal之後，點擊Port Forwarding（端口映射）鏈結，下載ActiveX控制器並啟用端口映射功能。系統托盤上會出現一個相關的小圖標。雙擊圖標，將會出現端口映射窗口，顯示了具體的映射資訊。

圖19：SSL312－ActiveX控制－端口映射
　　測試Mozilla Thunderbird和MySQL的時候，SSL312的表現令人滿意。我可以找回郵件，其他所有跟郵件相關的日常任務都沒有任何問題。對較大的MySQL數據庫進行多條複雜查詢的時候也沒出現任何毛病。數據庫對網路的要求特別苛刻，特別是執行冗長複雜的交換的時候。不過SSL312卻表現得應付自如。

　　SSL312的表現已經非常不錯，但如果能夠為特別的幾個用戶提供“特權”的功能的話就更靈活了，他們可以自行設置端口映射，這樣就不用管理員事事都親歷親為。可能這樣的功能可以通過User and Groups（用戶與組）設置而實現，不過我沒有進一步研究。

其他特點

　　除了以上的一些基本功能之外，在這我仍想提一下其他SSL312的選項/設置，因為它們提供了大量的設置，功效以及資訊。SSL312的管理頁面System Configuration（系統配置）的連接下面，我們可以發現有：以SSL證書登陸，更改登陸設置，備份SSL312配置，以及升級固件的選項。