經(jīng)驗技巧:打造不掉線的網(wǎng)吧路由器
目前,網(wǎng)吧用戶基于網(wǎng)絡(luò)的應(yīng)用已經(jīng)從簡單的網(wǎng)頁瀏覽,擴展到視頻QQ聊天、VOD點播、網(wǎng)絡(luò)游戲、教育培訓(xùn)、IP電話等更為廣泛的領(lǐng)域,這些應(yīng)用的增多對網(wǎng)絡(luò)的速度和穩(wěn)定性提出了越來越高的要求,因此現(xiàn)在網(wǎng)吧對路由器的性能要求也在相應(yīng)提高:首先,越來越多的功能要求以硬件方式來實現(xiàn);其次,要求路由器采用分布式處理技術(shù),以提高路由處理能力和速度;第三,逐漸拋棄易造成擁塞的共享式總線,采用交換式路由技術(shù),保障網(wǎng)絡(luò)的穩(wěn)定性。
正是由于網(wǎng)吧應(yīng)用的復(fù)雜化,使得網(wǎng)絡(luò)資源變得更加緊張,在這樣的環(huán)境下,網(wǎng)吧電腦掉線現(xiàn)象成為困擾網(wǎng)吧業(yè)主和網(wǎng)吧管理員的心病,而為了避免出現(xiàn)掉線,各大網(wǎng)絡(luò)設(shè)備生產(chǎn)商也在網(wǎng)吧路由器產(chǎn)品上面下了不少功夫,大家經(jīng)過長期對網(wǎng)吧網(wǎng)絡(luò)應(yīng)用環(huán)境的研究分析,開發(fā)出一系列針對復(fù)雜應(yīng)用環(huán)境下網(wǎng)絡(luò)應(yīng)用的優(yōu)化措施和高級功能,下面我們就來看看網(wǎng)吧路由器上面都采用了哪些特別的技術(shù)可以防止掉線:
對用戶基于IP地址限速
現(xiàn)在網(wǎng)絡(luò)應(yīng)用眾多,BT、電驢、迅雷、FTP、在線視頻等,都是非常占用帶寬,以一個200臺規(guī)模的網(wǎng)吧為例,出口帶寬為10M,每臺內(nèi)部PC的平均帶寬為50K左右,如果有幾個人在瘋狂的下載,把帶寬都占用了,就會影響其他人的網(wǎng)絡(luò)速度了,另外,下載的都是大文件,IP報文最大可以達到1518個BYTE,也就是1.5k,下載應(yīng)用都是大報文,在網(wǎng)絡(luò)傳輸中,一般都是以數(shù)據(jù)包為單位進行傳輸,如果幾個人在同時下載,占用大量帶寬,如果這時有人在玩網(wǎng)絡(luò)游戲,就可能會出現(xiàn)卡的現(xiàn)象。
一個基于IP地址限速的功能,可以給整個網(wǎng)吧內(nèi)部的所有PC進行速度限制,可以分別限制上傳和下載速度,既可以統(tǒng)一限制內(nèi)部所有PC的速度,也可以分別設(shè)置內(nèi)部某臺指定PC的速度。速度限制在多少比較合適呢?和具體的出口帶寬和網(wǎng)吧規(guī)模有關(guān)系,不過最低不要小于40K的帶寬,可以設(shè)置在100-400K比較合適。
網(wǎng)內(nèi)用戶限制NAT的鏈接數(shù)量
NAT功能是在網(wǎng)吧中應(yīng)用最廣的功能,由于IP地址不足的原因,運營商提供給網(wǎng)吧的一般就是1個IP地址,而網(wǎng)吧內(nèi)部有大量的PC,這么多的PC都要通過這唯一的一個IP地址進行上網(wǎng),如何做到這點呢?答案就是NAT(網(wǎng)絡(luò)IP地址轉(zhuǎn)換)。內(nèi)部PC訪問外網(wǎng)的時候,在路由器內(nèi)部建立一個對應(yīng)列表,列表中包含內(nèi)部PCIP地址、訪問的外部IP地址,內(nèi)部的IP端口,訪問目的IP端口等信息,所以每次的ping、QQ、下載、WEB訪問,都有在路由器上建立對應(yīng)關(guān)系列表,如果該列表對應(yīng)的網(wǎng)絡(luò)鏈接有數(shù)據(jù)通訊,這些列表會一直保留在路由器中,如果沒有數(shù)據(jù)通訊了,也需要20-150秒才會消失掉。(對于RG-NBR系列路由器來說,這些時間都是可以設(shè)置的)
現(xiàn)在有幾種網(wǎng)絡(luò)病毒,會在很短時間內(nèi),發(fā)出數(shù)以萬計連續(xù)的針對不同IP的鏈接請求,這樣路由器內(nèi)部便要為這臺PC建立萬個以上的NAT的鏈接。
由于路由器上的NAT的鏈接是有限的,如果都被這些病毒給占用了,其他人訪問網(wǎng)絡(luò),由于沒有NAT鏈接的資源了,就會無法訪問網(wǎng)絡(luò)了,造成斷線的現(xiàn)象,其實這是被網(wǎng)絡(luò)病毒把所有的NAT資源給占用了。
針對這種情況,不少網(wǎng)吧路由器提供了可以設(shè)置內(nèi)部PC的最大的NAT鏈接數(shù)量的功能,可以統(tǒng)一的對內(nèi)部的PC進行設(shè)置最大的NAT的鏈接數(shù)量設(shè)置,也可以給每臺PC進行單獨限制。
同時,這些路由器還可以查看所有的NAT鏈接的內(nèi)容,看看到底哪臺PC占用的NAT鏈接數(shù)量最多,同時網(wǎng)絡(luò)病毒也有一些特殊的端口,可以通過查看NAT鏈接具體內(nèi)容,把到底哪臺PC中毒了給揪出來。
防網(wǎng)絡(luò)病毒用ACL
網(wǎng)絡(luò)病毒層出不窮,但所有的網(wǎng)絡(luò)病毒都是通過網(wǎng)絡(luò)傳輸?shù)?,網(wǎng)絡(luò)病毒的數(shù)據(jù)報文也一定遵循TCP/IP協(xié)議,一定有源IP地址,目的IP地址,源TCP/IP端口,目的TCP/IP端口,同一種網(wǎng)絡(luò)病毒,一般目的IP端口是相同的,比如沖擊波病毒的端口是135,震蕩波病毒的端口是445,只要把這些端口在路由器上給限制了,那么外部的病毒就無法通過路由器這個唯一的入口進入到內(nèi)部網(wǎng)了,內(nèi)部的網(wǎng)絡(luò)病毒發(fā)起的報文,由于在路由器上作了限制,路由器不加以處理,則可以降低病毒報文占據(jù)大量的網(wǎng)絡(luò)帶寬。
優(yōu)秀的網(wǎng)吧路由器應(yīng)該提供功能強大的ACL功能,可以在內(nèi)部網(wǎng)接口上限制網(wǎng)絡(luò)報文,也可以在外部王接口上限制病毒網(wǎng)絡(luò)報文,既可以現(xiàn)在出去的報文,也可以限制進來的網(wǎng)絡(luò)報文。
WAN口防ping功能
眾所周知,拒絕服務(wù)攻擊的原理就是攻擊端發(fā)送大量無用的數(shù)據(jù)請求,使無暇顧及正常的網(wǎng)絡(luò)請求。網(wǎng)絡(luò)上的黑客在發(fā)起攻擊前,都要對網(wǎng)絡(luò)上的各個IP地址進行掃描,其中一個常見的掃描方法就是ping,如果有應(yīng)答,則說明這個IP地址是活動的,就是可以攻擊的,這樣就會暴露了目標(biāo),同時如果在外部也有大量的報文對RG-NBR系列路由器發(fā)起Ping請求,也會把網(wǎng)吧的RG-NBR系列路由器拖跨掉。
現(xiàn)在多數(shù)網(wǎng)吧路由器都設(shè)計了一個WAN口防止ping的功能,可以簡單方便的開啟,所有外面過來的ping的數(shù)據(jù)報文請求,都忽略,這樣既不會暴露自己的目標(biāo),同時對于外部的ping攻擊也是一個防范。
關(guān)鍵詞:網(wǎng)吧路由器
閱讀本文后您有什么感想? 已有 人給出評價!
- 0
- 0
- 0
- 0
- 0
- 0