目前,網吧用戶基于網絡的應用已經從簡單的網頁瀏覽,擴展到視頻QQ聊天、VOD點播、網絡游戲、教育培訓、IP電話等更為廣泛的領域,這些應用的增多對網絡的速度和穩定性提出了越來越高的要求,因此現在網吧對路由器的性能要求也在相應提高:首先,越來越多的功能要求以硬件方式來實現;其次,要求路由器采用分布式處理技術,以提高路由處理能力和速度;第三,逐漸拋棄易造成擁塞的共享式總線,采用交換式路由技術,保障網絡的穩定性。
正是由于網吧應用的復雜化,使得網絡資源變得更加緊張,在這樣的環境下,網吧電腦掉線現象成為困擾網吧業主和網吧管理員的心病,而為了避免出現掉線,各大網絡設備生產商也在網吧路由器產品上面下了不少功夫,大家經過長期對網吧網絡應用環境的研究分析,開發出一系列針對復雜應用環境下網絡應用的優化措施和高級功能,下面我們就來看看網吧路由器上面都采用了哪些特別的技術可以防止掉線:
內部PC基于IP地址限速
現在網絡應用眾多,BT、電驢、迅雷、FTP、在線視頻等,都是非常占用帶寬,以一個200臺規模的網吧為例,出口帶寬為10M,每臺內部PC的平均帶寬為50K左右,如果有幾個人在瘋狂的下載,把帶寬都占用了,就會影響其他人的網絡速度了,另外,下載的都是大文件,IP報文最大可以達到1518個BYTE,也就是1.5k,下載應用都是大報文,在網絡傳輸中,一般都是以數據包為單位進行傳輸,如果幾個人在同時下載,占用大量帶寬,如果這時有人在玩網絡游戲,就可能會出現卡的現象。
一個基于IP地址限速的功能,可以給整個網吧內部的所有PC進行速度限制,可以分別限制上傳和下載速度,既可以統一限制內部所有PC的速度,也可以分別設置內部某臺指定PC的速度。速度限制在多少比較合適呢?和具體的出口帶寬和網吧規模有關系,不過最低不要小于40K的帶寬,可以設置在100-400K比較合適。
內部PC限制NAT的鏈接數量
NAT功能是在網吧中應用最廣的功能,由于IP地址不足的原因,運營商提供給網吧的一般就是1個IP地址,而網吧內部有大量的PC,這么多的PC都要通過這唯一的一個IP地址進行上網,如何做到這點呢?答案就是NAT(網絡IP地址轉換)。內部PC訪問外網的時候,在路由器內部建立一個對應列表,列表中包含內部PCIP地址、訪問的外部IP地址,內部的IP端口,訪問目的IP端口等信息,所以每次的ping、QQ、下載、WEB訪問,都有在路由器上建立對應關系列表,如果該列表對應的網絡鏈接有數據通訊,這些列表會一直保留在路由器中,如果沒有數據通訊了,也需要20-150秒才會消失掉。(對于RG-NBR系列路由器來說,這些時間都是可以設置的)
現在有幾種網絡病毒,會在很短時間內,發出數以萬計連續的針對不同IP的鏈接請求,這樣路由器內部便要為這臺PC建立萬個以上的NAT的鏈接。
由于路由器上的NAT的鏈接是有限的,如果都被這些病毒給占用了,其他人訪問網絡,由于沒有NAT鏈接的資源了,就會無法訪問網絡了,造成斷線的現象,其實這是被網絡病毒把所有的NAT資源給占用了。
針對這種情況,不少網吧路由器提供了可以設置內部PC的最大的NAT鏈接數量的功能,可以統一的對內部的PC進行設置最大的NAT的鏈接數量設置,也可以給每臺PC進行單獨限制。
同時,這些路由器還可以查看所有的NAT鏈接的內容,看看到底哪臺PC占用的NAT鏈接數量最多,同時網絡病毒也有一些特殊的端口,可以通過查看NAT鏈接具體內容,把到底哪臺PC中毒了給揪出來。
ACL防網絡病毒
網絡病毒層出不窮,但是道高一尺,魔高一丈,所有的網絡病毒都是通過網絡傳輸的,網絡病毒的數據報文也一定遵循TCP/IP協議,一定有源IP地址,目的IP地址,源TCP/IP端口,目的TCP/IP端口,同一種網絡病毒,一般目的IP端口是相同的,比如沖擊波病毒的端口是135,震蕩波病毒的端口是445,只要把這些端口在路由器上給限制了,那么外部的病毒就無法通過路由器這個唯一的入口進入到內部網了,內部的網絡病毒發起的報文,由于在路由器上作了限制,路由器不加以處理,則可以降低病毒報文占據大量的網絡帶寬。
優秀的網吧路由器應該提供功能強大的ACL功能,可以在內部網接口上限制網絡報文,也可以在外部王接口上限制病毒網絡報文,既可以現在出去的報文,也可以限制進來的網絡報文。
WAN口防ping功能
以前有一個帖子,為了搞跨某個網站,只要有大量的人去ping這個網站,這個網站就會跨了,這個就是所謂的拒絕服務的攻擊,用大量的無用的數據請求,讓他無暇顧及正常的網絡請求。
網絡上的黑客在發起攻擊前,都要對網絡上的各個IP地址進行掃描,其中一個常見的掃描方法就是ping,如果有應答,則說明這個ip地址是活動的,就是可以攻擊的,這樣就會暴露了目標,同時如果在外部也有大量的報文對RG-NBR系列路由器發起Ping請求,也會把網吧的RG-NBR系列路由器拖跨掉。
現在多數網吧路由器都設計了一個WAN口防止ping的功能,可以簡單方便的開啟,所有外面過來的ping的數據報文請求,都裝聾作啞,這樣既不會暴露自己的目標,同時對于外部的ping攻擊也是一個防范。
防ARP地址欺騙功能
大家都知道,內部PC要上網,則要設置PC的IP地址,還有網關地址,這里的網關地址就是NBR路由器的內部網接口IP地址,內部PC是如何訪問外部網絡呢?就是把訪問外部網的報文發送給NBR的內部網,由NBR路由器進行NAT地址轉發后,再把報文發送到外部網絡上,同時又把外部回來的報文,去查詢路由器內部的NAT鏈接,回送給相關的內部PC,完成一次網絡的訪問。
在網絡上,存在兩個地址,一個是IP地址,一個是MAC地址,MAC地址就是網絡物理地址,內部PC要把報文發送到網關上,首先根據網關的IP地址,通過ARP去查詢NBR的MAC地址,然后把報文發送到該MAC地址上,MAC地址是物理層的地址,所有報文要發送,最終都是發送到相關的MAC地址上的。
所以在每臺PC上,都有ARP的對應關系,就是IP地址和MAC地址的對應表,這些對應關系就是通過ARP和RARP報文進行更新的。
目前在網絡上有一種病毒,會發送假冒的ARP報文,比如發送網關IP地址的ARP報文,把網關的IP對應到自己的MAC上,或者一個不存在的MAC地址上去,同時把這假冒的ARP報文在網絡中廣播,所有的內部PC就會更新了這個IP和MAC的對應表,下次上網的時候,就會把本來發送給網關的MAC的報文,發送到一個不存在或者錯誤的MAC地址上去,這樣就會造成斷線了。
這就是ARM地址欺騙,這就是造成內部PC和外部網的斷線,該病毒在前一段時間特別的猖獗。針對這種情況,防ARP地址欺騙的功能也相繼出現在一些專業路由器產品上。
負載均衡和線路備份
舉例來說,如銳捷RG-NBR系列路由器全部支持VRRP熱備份協議,最多可以設定2-255臺的NBR路由器,同時鏈接2-255條寬帶線路,這些NBR和寬帶線路之間,實現負載均衡和線路備份,萬一線路斷線或者網絡設備損壞,可以自動實現的備份,在線路和網絡設備都正常的情況下,便可以實現負載均衡。該功能在銳捷的所有的路由器上都支持。
而RG-NBR系列路由器中的RG-NBR1000E,更是提供了2個WAN口,如果有需要,還有一個模塊擴展插槽,可以插上電口或者光接口模塊,同時鏈接3條寬帶線路,這3條寬帶線路之間,可以實現負載均衡和線路備份,可以基于帶寬的負載均衡,也可以對內部PC進行分組的負載均衡,還可以設置訪問網通資源走網通線路,訪問電信資源走電信線路的負載均衡。
綜合性能
網吧路由器承擔的任務非常繁雜,所以單是某方面突出是不行的,還需要性能、功能、安全性等各個方面的全面發展才能良好的發揮其優勢,簡述為“多、快、好、省、穩、簡、靜、強”,8條腿走路,四平八穩,上萬條NAT并發鏈接,線速下載的性能,簡單的配置方式,安靜的使用特點,對于惡劣使用環境的適應性,可以對內部進行限速功能,電信級的網絡操作系統,在要求苛刻的環境的穩定應用等等,這些強大綜合性能,才能成就一款出色的網吧路由器。
現在做網吧路由器的廠商都在不斷改善自己的軟件設計以適應網吧應用的發展變化,我們今天為大家介紹的這些功能當然是非常實用的,不過同時還是需要網吧管理和技術人員也更多的了解網吧路由器的新功能新技術,提高自己的能力,對網絡進行更為科學合理的管理設置,這樣才能借助一款不掉線的網吧路由器合力打造一個不掉線的網吧。
