史上最强的NAT软件横向评测
转自ISA中文站
Powered By NetIQ Chariot
前言:首先非常感谢北京泰策科技有限公司对此次评测的大力支持!NetIQ Chariot不愧为世界上最好的网络性能测试软件,使用简单,可测试的项目众多(通过测试配置文件实现),除了价格太太太太太太...此间省略N个太...贵外(基本配置报价12万$),我找不出它的缺点。
ISA中文站是独立的实体,作为一个纯技术性的网站,我们保持中立。对于这次评测,以ISA中文站名誉保证测试结果的真实有效性。在测试中,我们做到了公正公平,没有偏袒任何一方,也没有给任何一方制造问题导致其性能下降。
ISA中文站是独立的实体,作为一个纯技术性的网站,我们保持中立。对于这次评测,以ISA中文站名誉保证测试结果的真实有效性。在测试中,我们做到了公正公平,没有偏袒任何一方,也没有给任何一方制造问题导致其性能下降。
看见很多朋友都在问用哪种NAT软件好,相信大家都很疑惑,究竟谁是最强的NAT软件?ISA还是KWF?我的这个疑问也存在很久了,经过一段时间的酝酿,正逢KWF 6.01正式版和ISA Server 2004 RC测试版的推出,于是我做了一个详尽的NAT软件横向评测。
评测说明:
本评测分为性能测试和功能测试两部分:
性能测试使用NetIQ Chariot 5.0进行评测,测试环境网络拓朴结构如下图,在Computer A和Computer B上安装NetIQ Endpoint终端软件,其中Computer A作为Chariot控制台;然后在NAT Server上安装NAT软件,进行性能测试;每次安装不同的NAT软件前都对系统进行Ghost恢复后再进行安装,以确保没有NAT软件相互间的冲突和干扰。
图一 性能测试网络拓朴结构图
此次的测试项目基于最常用的的Internet应用服务,共有以下5项,每个测试项目中又分为吞吐量(Throughput)和反应时间(Response time)的两个单项测试:
-
一般性能测试;
-
DNS请求性能测试;
-
FTP下载性能测试;
-
HTTP文本数据下载测试;
-
POP3流量性能测试;
根据测试结果,得出其名次进行计分;另外再和双机直连评测得出的结果进行比较,计算NAT转换有效率。双击直连网络拓朴结构如下图:
图二 双机直连网络拓朴结构图
对于功能测试,根据不同的NAT软件功能特性的不同,计算其功能测试得分。
计分:性能测试和功能测试各占50分。但是计分方式不同:性能测试根据单项测试中所得的名次相加,然后用50减去该名次总和为性能测试得分;功能测试则按照是否具有对应功能而计分,计分总和为功能测试得分。性能测试得分和功能测试得分合计为总的得分。
一、性能测试
测试中使用的计算机及网络情况:
计算机配置情况如下:
Computer A: P4 3.06G/512M DDR 333/WD 80G 8M缓存,操作系统为Windows XP PRO 零售版+sp1
Computer B: IBM Thinkpad 770ED PⅡ 266Mhz /128 SDRAM 100/IBM 7G,操作系统为Windows 2000 PRO零售版+SP4
NAT Server: 联想扬天6100 P4 1.8G / 256M DDR 266 / WD 20G ,操作系统为Windows server 2003企业版(零售版)
网线:此次实验中使用了两段网线,一段为5M长,一段为2M长,均为AVAYA原装进口CAT 5e网线+AMP原装RJ45水晶头。考虑到Response time,此次测试中没有使用交换机。
网络连接均为全双工的100Mb/s的快速以太网连接,但是由于网线、网络适配器、接口等等的问题,实际网络传输数据不可能达到这个最高的理论值。所以最后通过NAT软件能达到的最大值和双机直连所得到的值相比得到NAT转换有效率。
NetIQ Chariot对于每种测试项目都是经过发送多个测试数据包然后取其平均值,其中对应的单项测试发送的数据包数量如下表,我们在此基础上,对每个单项测试都执行5次,最终结果取其最大值(在测试中发现,除了ISA Server 2004中文RC版外,其他软件的多次测试结果偏差都在5%以内)。
表一 NetIQ Chariot发送测试数据包数量
| 项目 | 单项 | 发送的测试数据包数量 | 发送的测试数据 字节数量 |
| 基本性能测试 | Response time | 200 | 20,000 |
| Throughput | 200 | 20,000 | |
| DNS | Response time | 3000 | 105,000 |
| Throughput | 3000 | 105,000 | |
| FTP下载 | Response time | 100 | 6,000 |
| Throughput | 100 | 6,000 | |
| HTTP文本数据下载 | Response time | 750 | 225,000 |
| Throughput | 750 | 225,000 | |
| POP3流量 | Response time | 250 | 5,600 |
| Throughput | 250 | 5,600 |
下面介绍参赛选手:
- ICS :Internet连接共享(Internet Connection sharing),Windows自带的短小精悍的NAT软件,方便简单;测试使用的 版本为Windows server 2003企业版中所带的ICS。
- RRAS :路由和远程访问,Windows server级操作系统中所带的组件,含有NAT功能;测试使用的为Windows server 2003企业版中所带的RRAS。
- ISA 2000 :微软推出的著名企业级NAT防火墙;测试版本为ISA 2000+SP1(如果不安装SP1无法在Windows server 2003上使用),测试时在Computer A上加装了Firewall client。
- ISA 2004 RC英文版:ISA 2000的升级版,测试所用版本为RC build 4.0.2076.50。
- ISA 2004 RC中文版:测试所用版本为RC build 4.0.2160.50,比英文RC版更高,主要修改是在界面上由英文改为中文,核心驱动应该修改不大。
- Winroute :著名的NAT软件,有“软网关”的美誉。可惜在2002年其开发厂商kerio停止了其版本的更新 及技术的支持,使用KWF进行替代。测试使用版本为最后的4.25 PRO版。不过由于驱动程序比较老的原因,Winroute适合在Windows 2000 server上使用,Windows server 2003对其支持不够完美,所以这次的性能测试结果不太令人满意。
- KWF 5.1.10 :Kerio Winroute Firewall,Winroute的升级版本,Windows下唯一可以和ISA抗衡的路由器防火墙。5.1.10是5.x的最后一个版本。
- KWF 6.01 :6月23日推出的KWF 6.x的最新版,和KWF 5.1.10相比,最大的不同是增加了×××服务器的支持(6.x与5.x相比的更新具体见[url]http://www.isaservercn.org[/url])。可惜的是,在6.0正式版推出不超过10天的时间就推出此升级版本,而且修复了一堆bug(详见[url]http://www.isaservercn.org[/url]),希望这个版本能给我们一种惊喜。
很可惜的是,NAT软件的鼻祖Sygate在安装时要检查Internet的连通性,否则不会启动NAT功能。我们经过多次测试,尽了最大努力也无法将其NAT功能启动,最后只得放弃对Sygate的测试。
双机直连的各项测试结果如下,由于图片太大,我们进行了后期处理,把一些无用的内容进行了切除。由于图片太多(每个单项测试均有1张,每个NAT软件测试项目10张),其他的NAT软件我们在此Web页中不提供图片,只提供测试图片打包后的下载。
双机直连-一般性能测试反应时间(平均反应时间为11ms)
双机直连-一般性能测试吞吐量(平均带宽是75.520 Mbps,峰值为85.715Mbps)
双机直连-DNS请求反应时间(由于DNS使用UDP数据包进行发送,平均反应时间是0ms)
双机直连-DNS请求吞吐量(平均带宽为3.961Mbps)
双机直连-FTP下载反应时间(FTP连接速度要慢些,平均反应时间是34ms)
双机直连-FTP下载吞吐量(平均带宽为23.551Mbps)
双机直连-HTTP文本数据下载反应时间(平均反应时间是2ms)
双机直连-HTTP文本数据下载吞吐量(平均带宽是5.512Mbps)
双机直连-POP3流量反应时间(平均反应时间是200ms)
双机直连-POP3流量吞吐量(平均带宽是0.044Mbps,令人吃惊!)
测试结果图片压缩包下载:
ICS、RRAS、ISA2000、ISA2004 en 、ISA2004 cn、Winroute、KWF5.1.10、KWF6.01
各种NAT软件的最终性能测试情况如下(单位:吞吐量Mb/s,反应时间s):
表二 NAT软件性能比较表
| 项目 | 吞吐量(单位Mb/s) | 反应时间(单位s) | 小计 | 得分合计 | |||||||||||
| 一般性能 | DNS解析 | FTP下载 | HTTP文本 | POP3 | 小计 | 一般性能 | DNS解析 | FTP下载 | HTTP文本 | POP3 | |||||
| 双机直连 | 75.520 | 3.961 | 23.551 | 5.512 | 0.044 | 0.011 | 0.000 | 0.034 | 0.002 | 0.200 | |||||
| ICS | 得分 | 74.258 | 3.125 | 23.250 | 4.771 | 0.044 | 得分 | 0.011 | 0.000 | 0.034 | 0.002 | 0.200 | |||
| 排名 | 2 | 1 | 2 | 2 | 2 | 9 | 排名 | 1 | 1 | 1 | 1 | 1 | 5 | 36 | |
| NAT转换有效率 | 98.33% | 78.89% | 98.72% | 86.56% | 100.00% | 延迟 | 0.000 | 0.000 | 0.000 | 0.000 | 0.000 | ||||
| RRAS | 得分 | 74.340 | 3.053 | 23.325 | 4.784 | 0.044 | 得分 | 0.011 | 0.000 | 0.034 | 0.002 | 0.200 | |||
| 排名 | 1 | 3 | 1 | 1 | 2 | 8 | 排名 | 1 | 1 | 1 | 1 | 1 | 5 | 37 | |
| NAT转换有效率 | 98.44% | 77.08% | 99.04% | 86.79% | 100.00% | 延迟 | 0.000 | 0.000 | 0.000 | 0.000 | 0.000 | ||||
| ISA2000 | 得分 | 61.374 | 2.407 | 14.533 | 0.669 | 0.041 | 得分 | 0.013 | 0.001 | 0.055 | 0.016 | 0.219 | |||
| 排名 | 5 | 6 | 8 | 8 | 3 | 30 | 排名 | 2 | 2 | 5 | 4 | 2 | 15 | 5 | |
| NAT转换有效率 | 81.27% | 60.77% | 61.71% | 12.14% | 93.18% | 延迟 | 0.002 | 0.001 | 0.021 | 0.014 | 0.019 | ||||
| ISA2004 RC en | 得分 | 72.159 | 3.114 | 23.196 | 4.626 | 0.044 | 得分 | 0.011 | 0.000 | 0.035 | 0.002 | 0.200 | |||
| 排名 | 3 | 2 | 3 | 3 | 2 | 13 | 排名 | 1 | 1 | 2 | 1 | 1 | 6 | 31 | |
| NAT转换有效率 | 95.55% | 78.62% | 98.49% | 83.93% | 100.00% | 延迟 | 0.000 | 0.000 | 0.001 | 0.000 | 0.000 | ||||
| ISA2004 RC cn | 得分 | 55.827 | 2.590 | 22.311 | 3.951 | 0.045 | 得分 | 0.014 | 0.001 | 0.036 | 0.003 | 0.200 | |||
| 排名 | 6 | 5 | 5 | 4 | 1 | 21 | 排名 | 3 | 2 | 3 | 2 | 1 | 11 | 18 | |
| NAT转换有效率 | 73.92% | 65.39% | 94.73% | 71.68% | 102.27% | 延迟 | 0.003 | 0.001 | 0.002 | 0.001 | 0.000 | ||||
| Winroute | 得分 | 70.053 | 2.596 | 22.742 | 3.327 | 0.044 | 得分 | 0.011 | 0.001 | 0.035 | 0.003 | 0.200 | |||
| 排名 | 4 | 4 | 4 | 5 | 2 | 19 | 排名 | 1 | 2 | 2 | 2 | 1 | 8 | 23 | |
| NAT转换有效率 | 92.76% | 65.54% | 96.56% | 60.36% | 100.00% | 延迟 | 0.000 | 0.001 | 0.001 | 0.001 | 0.000 | ||||
| KWF5.1.10 | 得分 | 36.249 | 1.911 | 21.963 | 3.077 | 0.044 | 得分 | 0.022 | 0.001 | 0.036 | 0.003 | 0.200 | |||
| 排名 | 7 | 7 | 6 | 6 | 2 | 28 | 排名 | 4 | 2 | 3 | 2 | 1 | 12 | 10 | |
| NAT转换有效率 | 48.00% | 48.25% | 93.26% | 55.82% | 100.00% | 延迟 | 0.011 | 0.001 | 0.002 | 0.001 | 0.000 | ||||
| KWF6.01 | 得分 | 29.896 | 1.655 | 21.068 | 2.517 | 0.044 | 得分 | 0.027 | 0.001 | 0.038 | 0.004 | 0.200 | |||
| 排名 | 8 | 8 | 7 | 7 | 2 | 32 | 排名 | 5 | 2 | 4 | 3 | 1 | 15 | 3 | |
| NAT转换有效率 | 39.59% | 41.78% | 89.46% | 45.66% | 100.00% | 延迟 | 0.016 | 0.001 | 0.004 | 0.002 | 0.000 | ||||
看了上面的这张表,你是不是很吃惊?KWF 6.01只得了区区的3分!我当时以为我是不是看错了,然后经过了N次测试(N大于20),才确定我没有看错。其实我本来不想再找KWF 5.1.10来测试的,正是看到KWF 6.01那么差劲,所以我又赶紧把它找出来进行测试,结果它的得分也比KWF6.01高(不过也只能排到倒数第三,郁闷ing)。看来,版本新不代表性能好。同时我也对ISA 2000的表现感到失望,它和KWF 6.01一样,成为了这次评测的“黑马”,可能安装了Firewall client影响了它的性能,但是以Computer A高达3.06G的CPU运算能力,这不该是充分的理由。而且在这次测试中,我对三台计算机都打开了任务管理器来监测CPU的Processor time,三台电脑都非常低。只有在初始化连接的时候,Computer B的Processor time可以达到80%,其他时候大概平均在10%左右;而其他两台就算在在初始化连接的时候都是在5%以内。
另外,我对ISA Server 2004 RC cn的表现也感到非常的以外,按理说它应该和RC en是同样的核心,但是差距怎么那么大呢?
从NAT利用的有效带宽来看,最强的RRAS的基本性能测试中NAT有效率达到了惊人的98.44%,就连最低的KWF 6.01都达到了39.59%。看来,目前的NAT软件已经足够应付高流量的NAT网络(就算最低的KWF 6.01,100Mb/S的网络用它也可以达到39.59Mb/s,这个数字已经超过了绝大部分NAT网络的出口带宽)。
从反应时间来看,大部分软件的反应时间都和双机直连一样,就算有的软件有延迟也大多在几ms以内。从结果可以看出,NAT软件完全可以做到线速的NAT转换。
由于ISA、KWF具有大量的协议检查器,所以在吞吐上比不上单纯NAT转换的ICS、RRAS和Winroute。不过同是路由级的软件防火墙,ISA2000、KWF离ISA 2004的表现还有一定距离。
二、功能测试
经过对NAT软件功能特性的分析,我们得出以下结果:
表三 NAT软件功能比较
| 产品 | ICS | RRAS | ISA2000 | ISA2004 en | ISA2004 cn | KWF 5.1.10 | KWF 6.01 | WinRoute Pro 4.25 | 计分说明 |
| 防火墙特性 | 同种功能比较中按照功能实现的完整性,从下到上从0开始递加实行计分 | ||||||||
| 包过滤 | NO | NO | YES | YES | YES | YES | YES | YES | |
| 统一的传输策略 | NO | NO | YES | YES | YES | YES | YES | NO | |
| 增强的协议检查 | NO | NO | YES | YES | YES | YES | YES | NO | |
| DMZ 能力 | NO | NO | YES | YES | YES | YES | YES | YES | |
| 路由 | |||||||||
| 网络地址转换(NAT) | YES | YES | YES | YES | YES | YES | YES | YES | |
| 端口映射(服务器发布) | YES | YES | YES | YES | YES | YES | YES | YES | |
| 代理服务器 | NO | NO | YES | YES | YES | YES | YES | YES | |
| 缓存 | |||||||||
| 透明缓存 | NO | NO | YES | YES | YES | YES | YES | NO | |
| HTTP缓存 | NO | NO | YES | YES | YES | YES | YES | YES(启用代理服务器时) | |
| FTP缓存 | NO | NO | YES | YES | YES | NO | NO | NO | |
| 缓存监控 | NO | NO | YES | YES | YES | YES | YES | NO | |
| 内容过滤 | |||||||||
| URL过滤 | NO | NO | NO | NO | NO | YES | YES | YES(启用代理服务器时) | |
| 通过categories过滤URL | NO | NO | NO | NO | NO | YES | YES | NO | |
| 内容过滤 | NO | NO | YES | YES | YES | YES | YES | NO | |
| 禁止的词语过滤 | NO | NO | NO | NO | NO | YES | YES | NO | |
| FTP 下载过滤 | NO | NO | NO | NO | NO | YES | YES | NO | |
| 禁止FTP上传 | NO | NO | NO | YES | YES | NO | YES | NO | |
| E-mail过滤 | NO | NO | NO | YES | YES | NO | NO | NO | |
| Active-X 过滤 | NO | NO | YES | YES | YES | YES | YES | NO | |
| JavaScript过滤 | NO | NO | YES | YES | YES | YES | YES | NO | |
| 用户可以取消过滤规则 | NO | NO | NO | NO | NO | YES | YES | NO | |
| 服务器特性 | |||||||||
| ×××服务器 | NO | YES | YES | YES | YES | NO | YES | NO | |
| 邮件服务器 | NO | NO | NO | NO | NO | NO | NO | YES | |
| DHCP服务器 | YES | YES | NO | NO | NO | YES | YES | YES | |
| DNS转发 | YES | YES | NO | NO | NO | YES | YES | YES | |
| 用户身份验证 | |||||||||
| 用户身份验证支持 | NO | NO | YES | YES | YES | YES | YES | NO | |
| Active Directory支持 | NO | NO | YES | YES | YES | YES | YES | NO | |
| 独立用户数据库支持 | NO | NO | NO | NO | NO | YES | YES | YES | |
| 基本身份认证 | NO | NO | YES | YES | YES | YES | YES | NO | |
| Windows集成身份认证 | NO | NO | YES | YES | YES | YES | YES | NO | |
| 病毒扫描支持特性 | |||||||||
| 病毒防护支持(集成插件提供) | NO | NO | NO | YES | YES | YES | YES | NO | |
| HTTP扫描 | NO | NO | NO | YES | YES | YES | YES | NO | |
| FTP扫描 | NO | NO | NO | YES | YES | YES | YES | NO | |
| EMAIL扫描 | NO | NO | NO | NO | NO | NO | YES | NO | |
| 日志系统 | |||||||||
| 流量实时监控图表 | NO | NO | NO | NO | NO | YES | YES | NO | |
| 客户实时连接图表 | NO | NO | YES | YES | YES | YES | YES | NO | |
| 日志记录 | YES | YES | YES | YES | YES | YES | YES | YES | |
| 日志分析报告 | NO | NO | NO | YES | YES | NO | NO | NO | |
| 告警系统 | NO | NO | NO | YES | YES | NO | YES | NO | |
| 帮助与支持系统 | |||||||||
| 官方技术支持 | YES | YES | YES | YES | YES | YES | YES | NO | |
| 中文界面 | YES | YES | NO | NO | YES | NO | NO | NO | |
| 中文帮助 | YES | YES | NO | NO | YES | NO | NO | NO | |
| 知识库及相关文章 | YES | YES | YES | YES | YES | YES | YES | YES | |
| 其他特性 | |||||||||
| 启用路由表 | NO | NO | NO | NO | NO | YES | YES | NO | |
| UPnP支持 | NO | NO | NO | NO | NO | YES(不完善) | YES | NO | |
| 完全远程管理 | NO | NO | YES | YES | YES | YES | YES | YES | |
| NAT下的IPSec支持 | YES,不够完善 | YES,不够完善 | YES | YES | YES | YES | YES | YES | |
| TTL时限支持 | NO | NO | YES | YES | YES | YES | YES | YES | |
| P2P禁止 | NO | NO | NO | NO | NO | NO | YES | NO | |
| 预定义协议 | NO | NO | YES | YES | YES | YES | YES | NO | |
| 易用度 | 高 | 高 | 低 | 中 | 中 | 中 | 中 | 高 | |
| 支持系统 | Win 2k , XP, 2003 | Win 2k server series, 2003 | Win 2k server series, 2003 | Win 2k server series,2003 | Win 2k server series,2003 | Win NT 4.0, 2k , XP, 2003 | Win NT 4.0, 2k , XP, 2003 | Win NT 4.0, 2k , XP, 2003 | |
| 得分小计 | 12 | 12 | 28 | 36 | 38 | 44 | 48 | 20 | |
和在性能测试中大放异彩不同,ICS、RRAS在这个功能测试中难望ISA、KWF项背。
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
最终两个项目的总分统计如下;
![]()
表四 评测最终得分
| 名称 | ICS | RRAS | ISA2000 | ISA2004 en | ISA2004 cn | KWF 5.1.10 | KWF 6.01 | WinRoute Pro 4.25 |
| 性能测试得分 | 36 | 37 | 5 | 31 | 18 | 10 | 3 | 23 |
| 功能测试得分 | 12 | 12 | 28 | 36 | 38 | 44 | 48 | 20 |
| 合计 | 48 | 49 | 33 | 67 | 56 | 54 | 51 | 43 |
ISA Server 2004 en以它几乎完美的表现,无可争议的成为了此次NAT软件横向评测的冠军,ISA Server 2004 cn也以38的功能测试得分跃居亚军。虽然KWF 6.01的功能测试得分高达48,但是性能测试上得分太少,只能排在第四,而KWF 5.1.10也以44分的功能测试得分跃居第三。
通过这次测试,希望大家能够明白目前的NAT软件的区别,能够根据自己的需要进行选择。如果你只是简单的NAT,对其他功能不需要太多要求,那么ICS和RRAS完全足够,而且可以提供很好的网络性能(不过ICS和RRAS和操作系统有关,所以可能其他版本的ICS和RRAS不一定有和Windows server 2003的ICS和RRAS有相同的NAT性能);如果你需要一些功能,则你可以根据上面的功能测试表,选择一款具有你要求功能的而且性能良好的NAT软件。
最后谈点自己的感受,我对KWF的表现实在的失望 :(。虽然它们的功能确实很多,但是从性能测试看,它们分别位于倒数的冠军、季军。KWF自诞生以来已经三次更新了网络驱动库,可惜,NAT性能还是比不上老的Winroute PRO,真搞不懂Kerio是如何更新的。希望下次的升级版本中,能够提高NAT的性能。
不过KWF的fans也无需挂怀,你的NAT网络出口带宽有39.59Mb/s吗?所以,根本不需要担心KWF会不能完全利用完你的带宽。这个测试,只是对技术上的一次终极追求而已。
ISA Server 2004的表现无愧于我对它的喜爱。非常期待ISA Server 2004正式版的诞生!
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
举报文章
请选择举报类型
内容侵权
涉嫌营销
内容抄袭
违法信息
其他
补充说明
0/200
上传截图
格式支持JPEG/PNG/JPG,图片不超过1.9M
如有误判或任何疑问,可联系 「小助手微信:cto51cto」申诉及反馈。
我知道了
