防止掉線的進階路由技術

目前，網吧使用者基于網絡的應用已經從簡單的網頁浏覽，擴充到視訊QQ聊天、VOD點播、網絡遊戲、教育教育訓練、IP電話等更為廣泛的領域，這些應用的增多對網絡的速度和穩定性提出了越來越高的要求，是以現在網吧對路由器的性能要求也在相應提高:首先，越來越多的功能要求以硬體方式來實作;其次，要求路由器采用分布式處理技術，以提高路由處理能力和速度;第三，逐漸抛棄易造成擁塞的共享式總線，采用交換式路由技術，保障網絡的穩定性。 

　　正是由于網吧應用的複雜化，使得網絡資源變得更加緊張，在這樣的環境下，網吧電腦掉線現象成為困擾網吧業主和網吧管理者的心病，而為了避免出現掉線，各大網絡裝置生産商也在網吧路由器産品上面下了不少功夫，大家經過長期對網吧網絡應用環境的研究分析，開發出一系列針對複雜應用環境下網絡應用的優化措施和進階功能，下面我們就來看看網吧路由器上面都采用了哪些特别的技術可以防止掉線: 

　　内部PC基于IP位址限速 

　　現在網絡應用衆多，BT、電驢、迅雷、FTP、線上視訊等，都是非常占用帶寬，以一個200台規模的網吧為例，出口帶寬為10M，每台内部PC的平均帶寬為50K左右，如果有幾個人在瘋狂的下載下傳，把帶寬都占用了，就會影響其他人的網絡速度了，另外，下載下傳的都是大檔案，IP封包最大可以達到1518個 BYTE，也就是1.5k，下載下傳應用都是大封包，在網絡傳輸中，一般都是以資料包為機關進行傳輸，如果幾個人在同時下載下傳，占用大量帶寬，如果這時有人在玩網絡遊戲，就可能會出現卡的現象。 

　　一個基于IP位址限速的功能，可以給整個網吧内部的所有PC進行速度限制，可以分别限制上傳和下載下傳速度，既可以統一限制内部所有PC的速度，也可以分别設定内部某台指定PC的速度。速度限制在多少比較合适呢?和具體的出口帶寬和網吧規模有關系，不過最低不要小于40K的帶寬，可以設定在100- 400K比較合适。 

　　内部PC限制NAT的連結數量 

　　NAT功能是在網吧中應用最廣的功能，由于IP位址不足的原因，營運商提供給網吧的一般就是1個IP位址，而網吧内部有大量的PC，這麼多的PC都要通過這唯一的一個IP位址進行上網，如何做到這點呢?答案就是NAT(網絡IP位址轉換)。内部PC通路外網的時候，在路由器内部建立一個對應清單，清單中包含内部PCIP位址、通路的外部IP位址，内部的IP端口，通路目的IP端口等資訊，是以每次的ping、QQ、下載下傳、WEB通路，都有在路由器上建立對應關系清單，如果該清單對應的網絡連結有資料通訊，這些清單會一直保留在路由器中，如果沒有資料通訊了，也需要20-150秒才會消失掉。(對于RG -NBR系列路由器來說，這些時間都是可以設定的) 

　　現在有幾種網絡病毒，會在很短時間内，發出數以萬計連續的針對不同IP的連結請求，這樣路由器内部便要為這台PC建立萬個以上的NAT的連結。 

　　由于路由器上的NAT的連結是有限的，如果都被這些病毒給占用了，其他人通路網絡，由于沒有NAT連結的資源了，就會無法通路網絡了，造成斷線的現象，其實這是被網絡病毒把所有的NAT資源給占用了。 

　　針對這種情況，不少網吧路由器提供了可以設定内部PC的最大的NAT連結數量的功能，可以統一的對内部的PC進行設定最大的NAT的連結數量設定，也可以給每台PC進行單獨限制。 

　　同時，這些路由器還可以檢視所有的NAT連結的内容，看看到底哪台PC占用的NAT連結數量最多，同時網絡病毒也有一些特殊的端口，可以通過檢視NAT連結具體内容，把到底哪台PC中毒了給揪出來。 

　　ACL防網絡病毒 

　　網絡病毒層出不窮，但是道高一尺，魔高一丈，所有的網絡病毒都是通過網絡傳輸的，網絡病毒的資料封包也一定遵循TCP/IP協定，一定有源IP位址，目的IP位址，源TCP/IP端口，目的TCP/IP端口，同一種網絡病毒，一般目的IP端口是相同的，比如疾風病毒的端口是135，震蕩波病毒的端口是445,隻要把這些端口在路由器上給限制了，那麼外部的病毒就無法通過路由器這個唯一的入口進入到内部網了，内部的網絡病毒發起的封包，由于在路由器上作了限制，路由器不加以處理，則可以降低病毒封包占據大量的網絡帶寬。 

　　優秀的網吧路由器應該提供功能強大的ACL功能，可以在内部網接口上限制網絡封包，也可以在外部王接口上限制病毒網絡封包，既可以現在出去的封包，也可以限制進來的網絡封包。 

　　WAN口防ping功能 

　　以前有一個文章，為了搞跨某個網站，隻要有大量的人去ping這個網站，這個網站就會跨了，這個就是所謂的拒絕服務的攻擊，用大量的無用的資料請求，讓他無暇顧及正常的網絡請求。 

　　網絡上的黑客在發起攻擊前，都要對網絡上的各個IP位址進行掃描，其中一個常見的掃描方法就是ping，如果有應答，則說明這個ip位址是活動的，就是可以攻擊的，這樣就會暴露了目标，同時如果在外部也有大量的封包對RG-NBR系列路由器發起Ping請求，也會把網吧的RG-NBR系列路由器拖跨掉。 

　　現在多數網吧路由器都設計了一個WAN口防止ping的功能，可以簡單友善的開啟，所有外面過來的ping的資料封包請求，都裝聾作啞，這樣既不會暴露自己的目标，同時對于外部的ping攻擊也是一個防範。 

　　防ARP位址欺騙功能 

　　大家都知道，内部PC要上網，則要設定PC的IP位址，還有網關位址，這裡的網關位址就是NBR路由器的内部網接口IP位址，内部PC是如何通路外部網絡呢?就是把通路外部網的封包發送給NBR的内部網，由NBR路由器進行NAT位址轉發後，再把封包發送到外部網絡上，同時又把外部回來的封包，去查詢路由器内部的NAT連結，回送給相關的内部PC，完成一次網絡的通路。 

　　在網絡上，存在兩個位址，一個是IP位址，一個是MAC位址，MAC位址就是網絡實體位址，内部PC要把封包發送到網關上，首先根據網關的IP位址，通過ARP去查詢NBR的MAC位址，然後把封包發送到該MAC位址上，MAC位址是實體層的位址，所有封包要發送，最終都是發送到相關的MAC位址上的。 

　　是以在每台PC上，都有ARP的對應關系，就是IP位址和MAC位址的對應表，這些對應關系就是通過ARP和RARP封包進行更新的。 

　　目前在網絡上有一種病毒，會發送假冒的ARP封包，比如發送網關IP位址的ARP封包，把網關的IP對應到自己的MAC上，或者一個不存在的MAC位址上去，同時把這假冒的ARP封包在網絡中廣播，所有的内部PC就會更新了這個IP和MAC的對應表，下次上網的時候，就會把本來發送給網關的MAC的封包，發送到一個不存在或者錯誤的MAC位址上去，這樣就會造成斷線了。 

　　這就是ARM位址欺騙，這就是造成内部PC和外部網的斷線，該病毒在前一段時間特别的猖獗。針對這種情況，防ARP位址欺騙的功能也相繼出現在一些專業路由器産品上。 

　　負載均衡和線路備份 

　　舉例來說，如銳捷RG-NBR系列路由器全部支援VRRP熱備份協定，最多可以設定2-255台的NBR路由器，同時連結2-255條寬帶線路，這些 NBR和寬帶線路之間，實作負載均衡和線路備份，萬一線路斷線或者網絡裝置損壞，可以自動實作的備份，線上路和網絡裝置都正常的情況下，便可以實作負載均衡。該功能在銳捷的所有的路由器上都支援。 

　　而RG-NBR系列路由器中的RG-NBR1000E，更是提供了2個WAN口，如果有需要，還有一個子產品擴充插槽，可以插上電口或者光接口子產品，同時連結3條寬帶線路，這3條寬帶線路之間，可以實作負載均衡和線路備份，可以基于帶寬的負載均衡，也可以對内部PC進行分組的負載均衡，還可以設定通路網通資源走網通線路，通路電信資源走電信線路的負載均衡。 

　　綜合性能 

　　網吧路由器承擔的任務非常繁雜，是以單是某方面突出是不行的，還需要性能、功能、安全性等各個方面的全面發展才能良好的發揮其優勢，簡述為“多、快、好、省、穩、簡、靜、強”，8條腿走路，四平八穩，上萬條NAT并發連結，線速下載下傳的性能，簡單的配置方式，安靜的使用特點，對于惡劣使用環境的适應性，可以對内部進行限速功能，電信級的網絡作業系統，在要求苛刻的環境的穩定應用等等，這些強大綜合性能，才能成就一款出色的網吧路由器。 

　　現在做網吧路由器的廠商都在不斷改善自己的軟體設計以适應網吧應用的發展變化，我們今天為大家介紹的這些功能當然是非常實用的，不過同時還是需要網吧管理和技術人員也更多的了解網吧路由器的新功能新技術，提高自己的能力，對網絡進行更為科學合理的管理設定，這樣才能借助一款不掉線的網吧路由器合力打造一個不掉線的網吧。

本文轉自loveme2351CTO部落格，原文連結：http://blog.51cto.com/loveme23/8016，如需轉載請自行聯系原作者