步步為營(yíng) 打造永不掉線網(wǎng)吧網(wǎng)絡(luò)環(huán)境

一、限制大法：終端機(jī)網(wǎng)速和NAT連接數(shù)

　　網(wǎng)吧用戶已經(jīng)從簡(jiǎn)單的網(wǎng)頁(yè)瀏覽擴(kuò)展到視頻聊天、VOD點(diǎn)播、網(wǎng)絡(luò)游戲、IP電話等更為廣泛的領(lǐng)域， 應(yīng)用方式的增多對(duì)網(wǎng)速和穩(wěn)定性提出了更高的要求。 在這樣的環(huán)境下， 網(wǎng)吧掉線現(xiàn)象成為困擾網(wǎng)吧業(yè)主和網(wǎng)吧管理員的大問(wèn)題。

　　經(jīng)過(guò)一些朋友長(zhǎng)期對(duì)網(wǎng)吧網(wǎng)絡(luò)應(yīng)用環(huán)境的研究， 分析出一系列針對(duì)復(fù)雜應(yīng)用環(huán)境下網(wǎng)絡(luò)應(yīng)用的優(yōu)化措施和高級(jí)功能， 下面我們就來(lái)看看網(wǎng)吧路由器都采用了哪些特別技術(shù)來(lái)防止掉線。

　　1.限制每臺(tái)機(jī)器的網(wǎng)速

　　現(xiàn)在網(wǎng)絡(luò)應(yīng)用眾多， BT、電驢、迅雷、FTP、在線視頻等， 都是非常占用帶寬， 以一個(gè)200臺(tái)規(guī)模的網(wǎng)吧為例， 出口帶寬為10MB， 每臺(tái)內(nèi)部PC的平均帶寬為50KB左右， 如果有幾個(gè)人在瘋狂的下載， 把帶寬都占用了， 就會(huì)影響其他人的網(wǎng)絡(luò)速度了。 另外， 下載的都是大文件， IP報(bào)文最大可以達(dá)到1518個(gè)BYTE， 也就是1.5KB， 下載應(yīng)用都是大報(bào)文， 在網(wǎng)絡(luò)傳輸中， 一般都是以數(shù)據(jù)包為單位進(jìn)行傳輸， 如果幾個(gè)人在同時(shí)下載， 占用大量帶寬， 如果這時(shí)有人在玩網(wǎng)絡(luò)游戲， 就可能會(huì)出現(xiàn)卡的現(xiàn)象。

　　一個(gè)基于IP地址限速的功能， 可以給整個(gè)網(wǎng)吧內(nèi)部的所有PC進(jìn)行速度限制， 可以分別限制上傳和下載速度， 既可以統(tǒng)一限制內(nèi)部所有PC的速度， 也可以分別設(shè)置內(nèi)部某臺(tái)指定PC的速度。 速度限制在多少比較合適呢?和具體的出口帶寬和網(wǎng)吧規(guī)模有關(guān)系， 不過(guò)最低不要小于40KB的帶寬， 可以設(shè)置在100～400KB比較合適。

　　2.限制NAT連接數(shù)量

　　NAT功能是在網(wǎng)吧中應(yīng)用最廣的功能， 由于IP地址不足的原因， 運(yùn)營(yíng)商提供給網(wǎng)吧的一般就是1個(gè)IP地址， 而網(wǎng)吧內(nèi)部有大量的PC， 這么多的PC都要通過(guò)這唯一的一個(gè)IP地址進(jìn)行上網(wǎng)， 如何做到這點(diǎn)呢?答案就是NAT(網(wǎng)絡(luò)IP地址轉(zhuǎn)換)。

　　內(nèi)部PC訪問(wèn)外網(wǎng)的時(shí)候， 在路由器內(nèi)部建立一個(gè)對(duì)應(yīng)列表， 列表中包含內(nèi)部PCIP地址、訪問(wèn)的外部IP地址， 內(nèi)部的IP端口， 訪問(wèn)目的IP端口等信息， 所以每次的ping、QQ、下載、WEB訪問(wèn)， 都有在路由器上建立對(duì)應(yīng)關(guān)系列表， 如果該列表對(duì)應(yīng)的網(wǎng)絡(luò)鏈接有數(shù)據(jù)通訊， 這些列表會(huì)一直保留在路由器中， 如果沒(méi)有數(shù)據(jù)通訊了， 也需要20-150秒才會(huì)消失掉(對(duì)于RG-NBR系列路由器來(lái)說(shuō)， 這些時(shí)間都是可以設(shè)置的)。

　　現(xiàn)在有幾種網(wǎng)絡(luò)病毒， 會(huì)在很短時(shí)間內(nèi)， 發(fā)出數(shù)以萬(wàn)計(jì)連續(xù)的針對(duì)不同IP的鏈接請(qǐng)求， 這樣路由器內(nèi)部便要為這臺(tái)PC建立萬(wàn)個(gè)以上的NAT的鏈接。

　　由于路由器上的NAT的鏈接是有限的， 如果都被這些病毒給占用了， 其他人訪問(wèn)網(wǎng)絡(luò)， 由于沒(méi)有NAT鏈接的資源了， 就會(huì)無(wú)法訪問(wèn)網(wǎng)絡(luò)了， 造成斷線的現(xiàn)象， 其實(shí)這是被網(wǎng)絡(luò)病毒把所有的NAT資源給占用了。

　　針對(duì)這種情況， 不少網(wǎng)吧路由器提供了可以設(shè)置內(nèi)部PC的最大的NAT鏈接數(shù)量的功能， 可以統(tǒng)一的對(duì)內(nèi)部的PC進(jìn)行設(shè)置最大的NAT的鏈接數(shù)量設(shè)置， 也可以給每臺(tái)PC進(jìn)行單獨(dú)限制。

　　同時(shí)， 這些路由器還可以查看所有的NAT鏈接的內(nèi)容， 看看到底哪臺(tái)PC占用的NAT鏈接數(shù)量最多， 同時(shí)網(wǎng)絡(luò)病毒也有一些特殊的端口， 可以通過(guò)查看NAT鏈接具體內(nèi)容， 把到底哪臺(tái)PC中毒了給揪出來(lái)。

　　二、不掉線還要做到防范病毒 防Ping 防欺騙

　　1.ACL防網(wǎng)絡(luò)病毒

　　網(wǎng)絡(luò)病毒層出不窮， 但是道高一尺， 魔高一丈， 所有的網(wǎng)絡(luò)病毒都是通過(guò)網(wǎng)絡(luò)傳輸?shù)模?網(wǎng)絡(luò)病毒的數(shù)據(jù)報(bào)文也一定遵循TCP/IP協(xié)議， 一定有源IP地址， 目的IP地址， 源TCP/IP端口， 目的TCP/IP端口， 同一種網(wǎng)絡(luò)病毒， 一般目的 IP端口是相同的， 比如沖擊波病毒的端口是135， 震蕩波病毒的端口是445,只要把這些端口在路由器上給限制了， 那么外部的病毒就無(wú)法通過(guò)路由器這個(gè)唯一的入口進(jìn)入到內(nèi)部網(wǎng)了， 內(nèi)部的網(wǎng)絡(luò)病毒發(fā)起的報(bào)文， 由于在路由器上作了限制， 路由器不加以處理， 則可以降低病毒報(bào)文占據(jù)大量的網(wǎng)絡(luò)帶寬。

　　優(yōu)秀的網(wǎng)吧路由器應(yīng)該提供功能強(qiáng)大的ACL功能， 可以在內(nèi)部網(wǎng)接口上限制網(wǎng)絡(luò)報(bào)文， 也可以在外部王接口上限制病毒網(wǎng)絡(luò)報(bào)文， 既可以現(xiàn)在出去的報(bào)文， 也可以限制進(jìn)來(lái)的網(wǎng)絡(luò)報(bào)文。

　　2.WAN口防ping功能

　　以前有一個(gè)帖子， 為了搞跨某個(gè)網(wǎng)站， 只要有大量的人去ping這個(gè)網(wǎng)站， 這個(gè)網(wǎng)站就會(huì)跨了， 這個(gè)就是所謂的拒絕服務(wù)的攻擊， 用大量的無(wú)用的數(shù)據(jù)請(qǐng)求， 讓他無(wú)暇顧及正常的網(wǎng)絡(luò)請(qǐng)求。

　　網(wǎng)絡(luò)上的黑客在發(fā)起攻擊前， 都要對(duì)網(wǎng)絡(luò)上的各個(gè)IP地址進(jìn)行掃描， 其中一個(gè)常見(jiàn)的掃描方法就是ping， 如果有應(yīng)答， 則說(shuō)明這個(gè)IP地址是活動(dòng)的， 就是可以攻擊的， 這樣就會(huì)暴露了目標(biāo)， 同時(shí)如果在外部也有大量的報(bào)文對(duì)RG-NBR系列路由器發(fā)起Ping請(qǐng)求， 也會(huì)把網(wǎng)吧的RG-NBR列路由器拖跨掉。

　　現(xiàn)在多數(shù)網(wǎng)吧路由器都設(shè)計(jì)了一個(gè)WAN口防止ping的功能， 可以簡(jiǎn)單方便的開(kāi)啟， 所有外面過(guò)來(lái)的ping的數(shù)據(jù)報(bào)文請(qǐng)求， 都裝聾作啞， 這樣既不會(huì)暴露自己的目標(biāo)， 同時(shí)對(duì)于外部的ping攻擊也是一個(gè)防范。

　　3.防ARP地址欺騙功能

　　大家都知道， 內(nèi)部PC要上網(wǎng)， 則要設(shè)置PC的IP地址， 還有網(wǎng)關(guān)地址， 這里的網(wǎng)關(guān)地址就是NBR路由器的內(nèi)部網(wǎng)接口IP地址， 內(nèi)部PC是如何訪問(wèn)外部網(wǎng)絡(luò)呢?就是把訪問(wèn)外部網(wǎng)的報(bào)文發(fā)送給NBR的內(nèi)部網(wǎng)， 由NBR路由器進(jìn)行NAT地址轉(zhuǎn)發(fā)后， 再把報(bào)文發(fā)送到外部網(wǎng)絡(luò)上， 同時(shí)又把外部回來(lái)的報(bào)文， 去查詢路由器內(nèi)部的NAT鏈接， 回送給相關(guān)的內(nèi)部PC， 完成一次網(wǎng)絡(luò)的訪問(wèn)。

　　在網(wǎng)絡(luò)上， 存在兩個(gè)地址， 一個(gè)是IP地址， 一個(gè)是MAC地址， MAC地址就是網(wǎng)絡(luò)物理地址， 內(nèi)部PC要把報(bào)文發(fā)送到網(wǎng)關(guān)上， 首先根據(jù)網(wǎng)關(guān)的IP地址， 通過(guò)ARP去查詢NBR的MAC地址， 然后把報(bào)文發(fā)送到該MAC地址上， MAC地址是物理層的地址， 所有報(bào)文要發(fā)送， 最終都是發(fā)送到相關(guān)的MAC地址上的。

　　所以在每臺(tái)PC上， 都有ARP的對(duì)應(yīng)關(guān)系， 就是IP地址和MAC地址的對(duì)應(yīng)表， 這些對(duì)應(yīng)關(guān)系就是通過(guò)ARP和RARP報(bào)文進(jìn)行更新的。

　　目前在網(wǎng)絡(luò)上有一種病毒， 會(huì)發(fā)送假冒的ARP報(bào)文， 比如發(fā)送網(wǎng)關(guān)IP地址的ARP報(bào)文， 把網(wǎng)關(guān)的IP對(duì)應(yīng)到自己的MAC上， 或者一個(gè)不存在的MAC地址上去， 同時(shí)把這假冒的ARP報(bào)文在網(wǎng)絡(luò)中廣播， 所有的內(nèi)部PC就會(huì)更新了這個(gè)IP和 MAC的對(duì)應(yīng)表， 下次上網(wǎng)的時(shí)候， 就會(huì)把本來(lái)發(fā)送給網(wǎng)關(guān)的MAC的報(bào)文， 發(fā)送到一個(gè)不存在或者錯(cuò)誤的MAC地址上去， 這樣就會(huì)造成斷線了。

　　這就是arm地址欺騙， 這就是造成內(nèi)部PC和外部網(wǎng)的斷線， 該病毒在前一段時(shí)間特別的猖獗。 針對(duì)這種情況， 防ARP地址欺騙的功能也相繼出現(xiàn)在一些專業(yè)路由器產(chǎn)品上。

　　三、把負(fù)載均衡起來(lái)

　　負(fù)載均衡和線路備份

　　舉例來(lái)說(shuō)， 如銳捷RG-NBR系列路由器全部支持VRRP熱備份協(xié)議， 最多可以設(shè)定2～255臺(tái)的NBR路由器， 同時(shí)鏈接2～255條寬帶線路， 這些NBR和寬帶線路之間， 實(shí)現(xiàn)負(fù)載均衡和線路備份， 萬(wàn)一線路斷線或者網(wǎng)絡(luò)設(shè)備損壞， 可以自動(dòng)實(shí)現(xiàn)的備份， 在線路和網(wǎng)絡(luò)設(shè)備都正常的情況下， 便可以實(shí)現(xiàn)負(fù)載均衡。 該功能在銳捷的所有的路由器上都支持。

　　而RG-NBR系列路由器中的RG-NBR1000E與飛魚(yú)星5000系列或6000系列路由器， RG-NBR1000E提供了2個(gè)WAN口， 飛魚(yú)星5000系列與6000系列更是提供了4個(gè)WAN口。 而RG-NBR1000E如果有需要， 還有一個(gè)模塊擴(kuò)展插槽， 可以插上電口或者光接口模塊， 同時(shí)鏈接3條寬帶線路， 這3條寬帶線路之間， 可以實(shí)現(xiàn)負(fù)載均衡和線路備份， 可以基于帶寬的負(fù)載均衡， 也可以對(duì)內(nèi)部PC進(jìn)行分組的負(fù)載均衡， 還可以設(shè)置訪問(wèn)網(wǎng)通資源走網(wǎng)通線路， 訪問(wèn)電信資源走電信線路的負(fù)載均衡。

　　綜合性能

　　網(wǎng)吧路由器承擔(dān)的任務(wù)非常繁雜， 所以單是某方面突出是不行的， 還需要性能、功能、安全性等各個(gè)方面的全面發(fā)展才能良好的發(fā)揮其優(yōu)勢(shì)， 簡(jiǎn)述為“多、快、好、省、穩(wěn)、簡(jiǎn)、靜、強(qiáng)”， 8條腿走路， 四平八穩(wěn)， 上萬(wàn)條NAT并發(fā)鏈接， 線速下載的性能， 簡(jiǎn)單的配置方式， 安靜的使用特點(diǎn)， 對(duì)于惡劣使用環(huán)境的適應(yīng)性， 可以對(duì)內(nèi)部進(jìn)行限速功能， 電信級(jí)的網(wǎng)絡(luò)操作系統(tǒng)， 在要求苛刻的環(huán)境的穩(wěn)定應(yīng)用等等， 這些強(qiáng)大綜合性能， 才能成就一款出色的網(wǎng)吧路由器。

　　現(xiàn)在做網(wǎng)吧路由器的廠商都在不斷改善自己的軟件設(shè)計(jì)以適應(yīng)網(wǎng)吧應(yīng)用的發(fā)展變化， 今天為大家介紹的這些功能當(dāng)然是非常實(shí)用的， 不過(guò)同時(shí)還是需要網(wǎng)吧管理和技術(shù)人員也更多的了解網(wǎng)吧路由器的新功能新技術(shù)， 提高自己的能力， 對(duì)網(wǎng)絡(luò)進(jìn)行更為科學(xué)合理的管理設(shè)置， 這樣才能借助一款不掉線的網(wǎng)吧路由器合力打造一個(gè)不掉線的網(wǎng)吧!