綠色資源網(wǎng):您身邊最放心的安全下載站! 最新軟件|熱門排行|軟件分類|軟件專題|廠商大全

綠色資源網(wǎng)

技術教程
您的位置:首頁系統(tǒng)集成網(wǎng)絡管理 → 經(jīng)驗技巧:打造不掉線的網(wǎng)吧路由器

經(jīng)驗技巧:打造不掉線的網(wǎng)吧路由器

我要評論 2010/05/04 14:29:02 來源:綠色資源網(wǎng) 編輯:綠色軟件站 [ ] 評論:0 點擊:267次

目前,網(wǎng)吧用戶基于網(wǎng)絡的應用已經(jīng)從簡單的網(wǎng)頁瀏覽,擴展到視頻QQ聊天、VOD點播、網(wǎng)絡游戲、教育培訓、IP電話等更為廣泛的領域,這些應用的增多對網(wǎng)絡的速度和穩(wěn)定性提出了越來越高的要求,因此現(xiàn)在網(wǎng)吧對路由器的性能要求也在相應提高:首先,越來越多的功能要求以硬件方式來實現(xiàn);其次,要求路由器采用分布式處理技術,以提高路由處理能力和速度;第三,逐漸拋棄易造成擁塞的共享式總線,采用交換式路由技術,保障網(wǎng)絡的穩(wěn)定性。

正是由于網(wǎng)吧應用的復雜化,使得網(wǎng)絡資源變得更加緊張,在這樣的環(huán)境下,網(wǎng)吧電腦掉線現(xiàn)象成為困擾網(wǎng)吧業(yè)主和網(wǎng)吧管理員的心病,而為了避免出現(xiàn)掉線,各大網(wǎng)絡設備生產(chǎn)商也在網(wǎng)吧路由器產(chǎn)品上面下了不少功夫,大家經(jīng)過長期對網(wǎng)吧網(wǎng)絡應用環(huán)境的研究分析,開發(fā)出一系列針對復雜應用環(huán)境下網(wǎng)絡應用的優(yōu)化措施和高級功能,下面我們就來看看網(wǎng)吧路由器上面都采用了哪些特別的技術可以防止掉線:

對用戶基于IP地址限速

現(xiàn)在網(wǎng)絡應用眾多,BT、電驢、迅雷、FTP、在線視頻等,都是非常占用帶寬,以一個200臺規(guī)模的網(wǎng)吧為例,出口帶寬為10M,每臺內部PC的平均帶寬為50K左右,如果有幾個人在瘋狂的下載,把帶寬都占用了,就會影響其他人的網(wǎng)絡速度了,另外,下載的都是大文件,IP報文最大可以達到1518個BYTE,也就是1.5k,下載應用都是大報文,在網(wǎng)絡傳輸中,一般都是以數(shù)據(jù)包為單位進行傳輸,如果幾個人在同時下載,占用大量帶寬,如果這時有人在玩網(wǎng)絡游戲,就可能會出現(xiàn)卡的現(xiàn)象。

一個基于IP地址限速的功能,可以給整個網(wǎng)吧內部的所有PC進行速度限制,可以分別限制上傳和下載速度,既可以統(tǒng)一限制內部所有PC的速度,也可以分別設置內部某臺指定PC的速度。速度限制在多少比較合適呢?和具體的出口帶寬和網(wǎng)吧規(guī)模有關系,不過最低不要小于40K的帶寬,可以設置在100-400K比較合適。

網(wǎng)內用戶限制NAT的鏈接數(shù)量

NAT功能是在網(wǎng)吧中應用最廣的功能,由于IP地址不足的原因,運營商提供給網(wǎng)吧的一般就是1個IP地址,而網(wǎng)吧內部有大量的PC,這么多的PC都要通過這唯一的一個IP地址進行上網(wǎng),如何做到這點呢?答案就是NAT(網(wǎng)絡IP地址轉換)。內部PC訪問外網(wǎng)的時候,在路由器內部建立一個對應列表,列表中包含內部PCIP地址、訪問的外部IP地址,內部的IP端口,訪問目的IP端口等信息,所以每次的ping、QQ、下載、WEB訪問,都有在路由器上建立對應關系列表,如果該列表對應的網(wǎng)絡鏈接有數(shù)據(jù)通訊,這些列表會一直保留在路由器中,如果沒有數(shù)據(jù)通訊了,也需要20-150秒才會消失掉。(對于RG-NBR系列路由器來說,這些時間都是可以設置的)

現(xiàn)在有幾種網(wǎng)絡病毒,會在很短時間內,發(fā)出數(shù)以萬計連續(xù)的針對不同IP的鏈接請求,這樣路由器內部便要為這臺PC建立萬個以上的NAT的鏈接。

由于路由器上的NAT的鏈接是有限的,如果都被這些病毒給占用了,其他人訪問網(wǎng)絡,由于沒有NAT鏈接的資源了,就會無法訪問網(wǎng)絡了,造成斷線的現(xiàn)象,其實這是被網(wǎng)絡病毒把所有的NAT資源給占用了。

針對這種情況,不少網(wǎng)吧路由器提供了可以設置內部PC的最大的NAT鏈接數(shù)量的功能,可以統(tǒng)一的對內部的PC進行設置最大的NAT的鏈接數(shù)量設置,也可以給每臺PC進行單獨限制。

同時,這些路由器還可以查看所有的NAT鏈接的內容,看看到底哪臺PC占用的NAT鏈接數(shù)量最多,同時網(wǎng)絡病毒也有一些特殊的端口,可以通過查看NAT鏈接具體內容,把到底哪臺PC中毒了給揪出來。

防網(wǎng)絡病毒用ACL

網(wǎng)絡病毒層出不窮,但所有的網(wǎng)絡病毒都是通過網(wǎng)絡傳輸?shù)?,網(wǎng)絡病毒的數(shù)據(jù)報文也一定遵循TCP/IP協(xié)議,一定有源IP地址,目的IP地址,源TCP/IP端口,目的TCP/IP端口,同一種網(wǎng)絡病毒,一般目的IP端口是相同的,比如沖擊波病毒的端口是135,震蕩波病毒的端口是445,只要把這些端口在路由器上給限制了,那么外部的病毒就無法通過路由器這個唯一的入口進入到內部網(wǎng)了,內部的網(wǎng)絡病毒發(fā)起的報文,由于在路由器上作了限制,路由器不加以處理,則可以降低病毒報文占據(jù)大量的網(wǎng)絡帶寬。

優(yōu)秀的網(wǎng)吧路由器應該提供功能強大的ACL功能,可以在內部網(wǎng)接口上限制網(wǎng)絡報文,也可以在外部王接口上限制病毒網(wǎng)絡報文,既可以現(xiàn)在出去的報文,也可以限制進來的網(wǎng)絡報文。

WAN口防ping功能

眾所周知,拒絕服務攻擊的原理就是攻擊端發(fā)送大量無用的數(shù)據(jù)請求,使無暇顧及正常的網(wǎng)絡請求。網(wǎng)絡上的黑客在發(fā)起攻擊前,都要對網(wǎng)絡上的各個IP地址進行掃描,其中一個常見的掃描方法就是ping,如果有應答,則說明這個IP地址是活動的,就是可以攻擊的,這樣就會暴露了目標,同時如果在外部也有大量的報文對RG-NBR系列路由器發(fā)起Ping請求,也會把網(wǎng)吧的RG-NBR系列路由器拖跨掉。

現(xiàn)在多數(shù)網(wǎng)吧路由器都設計了一個WAN口防止ping的功能,可以簡單方便的開啟,所有外面過來的ping的數(shù)據(jù)報文請求,都忽略,這樣既不會暴露自己的目標,同時對于外部的ping攻擊也是一個防范。

關鍵詞:網(wǎng)吧路由器

閱讀本文后您有什么感想? 已有 人給出評價!

  • 0 歡迎喜歡
  • 0 白癡
  • 0 拜托
  • 0 哇
  • 0 加油
  • 0 鄙視