[摘要]由于很多大型用户应用的复杂化, 使得网络资源变得更加紧张, 在这样的环境下, 网吧电脑掉线现象成为困扰网吧业主和网吧管理员的心病, 而为了避免出现掉线, 各大网络设备生产商也在网吧路由器产品上面下了... 由于很多大型用户应用的复杂化, 使得网络资源变得更加紧张, 在这样的环境下, 网吧电脑掉线现象成为困扰网吧业主和网吧管理 员的心病, 而为了避免出现掉线, 各大网络设备生产商也在网吧路由器产品上面下了不少功夫, 大家经过长期对网吧网络应用环境的 研究分析, 开发出一系列针对复杂应用环境下网络应用的优化措施和高级功能, 下面我们就来看看很多大型用户路由器上面都采用了 哪些特别的技术可以防止掉线: 内部PC基于IP地址限速 现在网络应用众多, BT、电驴、迅雷、FTP、在线视频等, 都是非常占用带宽, 以一个200台规模的网吧为例, 出口带宽为10M, 每台内部PC的平均带宽为50K左右, 如果有几个人在疯狂的下载, 把带宽都占用了, 就会影响其他人的网络速度了, 另外, 下载的都 是大文件, IP报文最大可以达到1518个BYTE, 也就是1.5k, 下载应用都是大报文, 在网络传输中, 一般都是以数据包为单位进行传输 , 如果几个人在同时下载, 占用大量带宽, 如果这时有人在玩网络游戏, 就可能会出现卡的现象。 一个基于IP地址限速的功能, 可以给整个网吧内部的所有PC进行速度限制, 可以分别限制上传和下载速度, 既可以统一限制内部 所有PC的速度, 也可以分别设置内部某台指定PC的速度。 速度限制在多少比较合适呢?和具体的出口带宽和网吧规模有关系, 不过最 低不要小于40K的带宽, 可以设置在100-400K比较合适。 内部PC限制NAT的链接数量 NAT功能是在网吧中应用最广的功能, 由于IP地址不足的原因, 运营商提供给网吧的一般就是1个IP地址, 而网吧内部有大量的PC , 这么多的PC都要通过这唯一的一个IP地址进行上网, 如何做到这点呢?答案就是NAT(网络IP地址转换)。 内部PC访问外网的时候, 在 路由器内部建立一个对应列表, 列表中包含内部PCIP地址、访问的外部IP地址, 内部的IP端口, 访问目的IP端口等信息, 所以每次的 ping、QQ、下载、WEB访问, 都有在路由器上建立对应关系列表, 如果该列表对应的网络链接有数据通讯, 这些列表会一直保留在路 由器中, 如果没有数据通讯了, 也需要20-150秒才会消失掉。 (对于RG-NBR系列路由器来说, 这些时间都是可以设置的) 现在有几种网络病毒, 会在很短时间内, 发出数以万计连续的针对不同IP的链接请求, 这样路由器内部便要为这台PC建立万个以 上的NAT的链接。 由于路由器上的NAT的链接是有限的, 如果都被这些病毒给占用了, 其他人访问网络, 由于没有NAT链接的资源了, 就会无法访问 网络了, 造成断线的现象, 其实这是被网络病毒把所有的NAT资源给占用了。 针对这种情况, 不少网吧路由器提供了可以设置内部PC的最大的NAT链接数量的功能, 可以统一的对内部的PC进行设置最大的NAT 的链接数量设置, 也可以给每台PC进行单独限制。 同时, 这些路由器还可以查看所有的NAT链接的内容, 看看到底哪台PC占用的NAT链接数量最多, 同时网络病毒也有一些特殊的端 口, 可以通过查看NAT链接具体内容, 把到底哪台PC中毒了给揪出来。 ACL防网络病毒 网络病毒层出不穷, 但是道高一尺, 魔高一丈, 所有的网络病毒都是通过网络传输的, 网络病毒的数据报文也一定遵循TCP/IP协 议, 一定有源IP地址, 目的IP地址, 源TCP/IP端口, 目的TCP/IP端口, 同一种网络病毒, 一般目的IP端口是相同的, 比如冲击波病毒 的端口是135, 震荡波病毒的端口是445,只要把这些端口在路由器上给限制了, 那么外部的病毒就无法通过路由器这个唯一的入口进 入到内部网了, 内部的网络病毒发起的报文, 由于在路由器上作了限制, 路由器不加以处理, 则可以降低病毒报文占据大量的网络带 宽。 优秀的网吧路由器应该提供功能强大的ACL功能, 可以在内部网接口上限制网络报文, 也可以在外部王接口上限制病毒网络报文 , 既可以现在出去的报文, 也可以限制进来的网络报文。 WAN口防ping功能 以前有一个帖子, 为了搞跨某个网站, 只要有大量的人去ping这个网站, 这个网站就会跨了, 这个就是所谓的拒绝服务的攻击, 用大量的无用的数据请求, 让他无暇顾及正常的网络请求。 网络上的黑客在发起攻击前, 都要对网络上的各个IP地址进行扫描, 其中一个常见的扫描方法就是ping, 如果有应答, 则说明这 个ip地址是活动的, 就是可以攻击的, 这样就会暴露了目标, 同时如果在外部也有大量的报文对RG-NBR系列路由器发起Ping请求, 也 会把网吧的RG-NBR系列路由器拖跨掉。 现在多数网吧路由器都设计了一个WAN口防止ping的功能, 可以简单方便的开启, 所有外面过来的ping的数据报文请求, 都装聋 作哑, 这样既不会暴露自己的目标, 同时对于外部的ping攻击也是一个防范。 防ARP地址欺骗功能 大家都知道, 内部PC要上网, 则要设置PC的IP地址, 还有网关地址, 这里的网关地址就是NBR路由器的内部网接口IP地址, 内部 PC是如何访问外部网络呢?就是把访问外部网的报文发送给NBR的内部网, 由NBR路由器进行NAT地址转发后, 再把报文发送到外部网络 上, 同时又把外部回来的报文, 去查询路由器内部的NAT链接, 回送给相关的内部PC, 完成一次网络的访问。 在网络上, 存在两个地址, 一个是IP地址, 一个是MAC地址, MAC地址就是网络物理地址, 内部PC要把报文发送到网关上, 首先根 据网关的IP地址, 通过ARP去查询NBR的MAC地址, 然后把报文发送到该MAC地址上, MAC地址是物理层的地址, 所有报文要发送, 最终 都是发送到相关的MAC地址上的。 所以在每台PC上, 都有ARP的对应关系, 就是IP地址和MAC地址的对应表, 这些对应关系就是通过ARP和RARP报文进行更新的。 目前在网络上有一种病毒, 会发送假冒的ARP报文, 比如发送网关IP地址的ARP报文, 把网关的IP对应到自己的MAC上, 或者一个 不存在的MAC地址上去, 同时把这假冒的ARP报文在网络中广播, 所有的内部PC就会更新了这个IP和MAC的对应表, 下次上网的时候, 就会把本来发送给网关的MAC的报文, 发送到一个不存在或者错误的MAC地址上去, 这样就会造成断线了。 这就是ARM地址欺骗, 这就是造成内部PC和外部网的断线, 该病毒在前一段时间特别的猖獗。 针对这种情况, 防ARP地址欺骗的功 能也相继出现在一些专业路由器产品上。 负载均衡和线路备份 举例来说, 如锐捷RG-NBR系列路由器全部支持VRRP热备份协议, 最多可以设定2-255台的NBR路由器, 同时链接2-255条宽带线路 , 这些NBR和宽带线路之间, 实现负载均衡和线路备份, 万一线路断线或者网络设备损坏, 可以自动实现的备份, 在线路和网络设备 都正常的情况下, 便可以实现负载均衡。 该功能在锐捷的所有的路由器上都支持。 而RG-NBR系列路由器中的RG-NBR1000E, 更是提供了2个WAN口, 如果有需要, 还有一个模块扩展插槽, 可以插上电口或者光接口 模块, 同时链接3条宽带线路, 这3条宽带线路之间, 可以实现负载均衡和线路备份, 可以基于带宽的负载均衡, 也可以对内部PC进行 分组的负载均衡, 还可以设置访问网通资源走网通线路, 访问电信资源走电信线路的负载均衡。 综合性能 网吧路由器承担的任务非常繁杂, 所以单是某方面突出是不行的, 还需要性能、功能、安全性等各个方面的全面发展才能良好的 发挥其优势, 简述为“多、快、好、省、稳、简、静、强”, 8条腿走路, 四平八稳, 上万条NAT并发链接, 线速下载的性能, 简单的 配置方式, 安静的使用特点, 对于恶劣使用环境的适应性, 可以对内部进行限速功能, 电信级的网络操作系统, 在要求苛刻的环境的 稳定应用等等 呵呵很详细, 希望对大家有帮助啊。
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。
|