| 网管联盟 | 网管论坛 | 网管u家 | 网管博客 | 网管软件 | 网管求职 | 小游戏 | 网管搜索 | 网管原创 | 网管聚合 | 网管读摘 | 网管焦点 | 世界素材 | 会员投稿 | 会员中心 |
|
| Windows Linux Cisco 网络技术 数据库 黑客攻防 DotNet Java PHP 认证 新闻资讯 服务器 存储资讯 网络设备 网管学堂 技术专题 焦点 网吧频道 |
网管u家u.bitsCN.com
目前,网吧用户基于网络的应用已经从简单的网页浏览,扩展到视频QQ聊天、VOD点播、网络游戏、教育培训、IP电话等更为广泛的领域,这些应用的增多对网络的速度和稳定性提出了越来越高的要求,因此现在网吧对路由器的性能要求也在相应提高:首先,越来越多的功能要求以硬件方式来实现;其次,要求路由器采用分布式处理技术,以提高路由处理能力和速度;第三,逐渐抛弃易造成拥塞的共享式总线,采用交换式路由技术,保障网络的稳定性。 网管网www.bitscn.com
正是由于网吧应用的复杂化,使得网络资源变得更加紧张,在这样的环境下,网吧电脑掉线现象成为困扰网吧业主和网吧管理员的心病,有不掉线的路由器吗?很多被掉线困扰的网吧经营者一直在寻找这样的产品。而现实情况往往是,路由换了一个又一个,网吧该掉还是掉,现实面前,网吧经营者们带着太多的疑惑和失望。针对这种情况,成都欣联高科技有限公司经过长期对网吧网络应用环境的研究分析,开发出一系列的针对网吧的路由器产品,具有很多针对复杂应用环境下网络应用的优化措施和高级功能,大大的减少了网吧掉线的可能性,为了说明这些这些功能,下面我们来看看影响网吧掉线的主要原因有哪些?再看看欣联网吧路由器上面都采用了哪些特别的技术可以防止掉线:
网管联盟bitsCN_com
根据我们对网吧实际应用追踪,认为网吧掉线的原因较多为以下几种情况:
1、内网arp造成掉线
网管u家u.bitsCN.com
中国网管论坛bbs.bitsCN.com
Arp欺骗已经成为网络公害,几乎8成的网吧都发生过arp攻击造成的掉线故障。arp掉线是通过伪造MAC地址,欺骗路由、伪造网关进行的,其具体原理如下:
大家都知道,内部PC要上网,则要设置PC的IP地址,还有网关地址,这里的网关地址就是欣联NATEASY路由器的内网IP地址,内部PC是如何访问外部网络呢?就是把访问外部网的报文发送给NATEASY路由器的内部网,由NATEASY路由器进行NAT地址转发后,再把报文发送到外部网络上,同时又把外部回来的报文,去查询路由器内部的NAT链接,回送给相关的内部PC,完成一次网络的访问。 网管网www_bitscn_com
每台计算机在网络上,都存在两个地址,一个是IP地址,一个是MAC地址,MAC地址就是网络物理地址,这个地址在一个网络内是唯一的,在一个正常的通讯过程中,这个地址是对应并且不应改变的,内部PC要把报文发送到网关上,首先根据网关的IP地址,通过ARP去查询NATEASY路由器的MAC地址,然后把报文发送到该MAC地址上,MAC地址是物理层的地址,所有报文要发送,最终都是发送到相关的MAC地址上的。 网管网www_bitscn_com
中国网管联盟bitsCN.com
所以在每台PC上,都有ARP的对应关系,就是IP地址和MAC地址的对应表,这些对应关系就是通过ARP和RARP报文进行更新的。 网管联盟bitsCN_com
网管联盟bitsCN_com
目前在网络上的ARP病毒,会发送假冒的ARP报文,比如发送网关IP地址的ARP报文,把网关的IP对应到自己的MAC上,或者一个不存在的MAC地址上去,同时把这假冒的ARP报文在网络中广播,所有的内部PC就会更新了这个IP和 MAC的对应表,下次上网的时候,就会把本来发送给网关的MAC的报文,发送到一个不存在或者错误的MAC地址上去,这样就会造成断线了。
网管联盟bitsCN_com
中国网管联盟bitsCN.com
这就是ARP地址欺骗,该病毒在一段时间内特别的猖獗。针对这种情况,防ARP地址欺骗的功能也相继出现在一些专业路由器产品上,如欣联NR4000系列路由器产品。
欣联路由器对ARP的病毒防御主要通过以下几种手段解决: 网管论坛bbs_bitsCN_com
1、 主动广播正确的网关地址,有很多路由器一接到网络上,就无法正常访问,这种情况一般是因为内网中有一台机器在伪造网关,不信的向内网其他机器发送虚假网关信息,欣联的路由器支持广播正确网关地址的功能,只需勾取此功能,即可对以上第一种ARP欺骗进行防范。
2、 提供IP地址和MAC地址双向绑定的功能,双向绑定能够彻底解决ARP病毒欺骗的问题。目前在市面上宣传有此功能的厂家不少,但是在实际测试过程中发现一般有以下几个问题:
1) 有些品牌的路由器不提供自动扫描功能,这样需使用其他软件扫描后,再将对应的IP/MAC绑定表复制到路由器中,操作起来非常麻烦,且容易出错,一般人员无法进行。
网管bitscn_com
2) 有些品牌的路由器产品虽然提供了自动扫描功能,但其对所扫描的MAC地址不做判断,导致所扫描出来的MAC地址本身就有很多是重复的,同样解决不了ARP欺骗的问题。
3) 一般的路由器在做双向绑定到100条左右路由器就会崩溃,出现频繁的掉线,重启等现象,这是因为软件算法不同造成的,而欣联的路由器在实际工作中绑定了300条以上照样非常稳定的工作。
3、 病毒隔离功能。常见的宽带路由器并无此防范功能,欣联的“病毒隔离”智能将内网“中毒”主机自动进行隔离免疫,有效的防止“一台机器中毒,整个网络遭殃”的局面出现。
中国网管联盟bitsCN.com
4、 内网广播风暴抑制,synFlooding,UDPFlooding的防御,外网的synFlooding、DDOS攻击防御
5、 使用欣联的路由器,支持自动扫描,并且能够对扫描的MAC地址进行判断,不会出现误扫的情况,因为欣联软件算法优秀,在实际使用过程中,绑定到300个以上的IP/MAC地址,同时做了300个以上的主机流控,仍然非常稳定的运行。
中国网管论坛bbs.bitsCN.com
2、内外网攻击
网管u家u.bitscn@com
网吧经营竞争激烈,有外网的攻击、同行的捣乱、设备厂商危机销售式的恶性破坏,病毒的样本在网上随手一抓一把,防不胜防。大多数网吧没有配置昂贵的防火墙,对外网攻击无能为力,而内网的洪水攻击等却又因为上网环境人群复杂。很难排查。主要常见的有以下几种: 网管下载dl.bitscn.com
内网洪水攻击
外网DDOS攻击
网管联盟bitsCN@com
内网病毒及一些软件大量建立NAT连接,耗尽路由器NAT资源
网管论坛bbs_bitsCN_com
内网网络应用大量占用带宽
网管网www.bitscn.com
具体现象: 中国网管论坛bbs.bitsCN.com
现在网络应用众多,BT、电驴、迅雷、FTP、在线视频等,都是非常占用带宽,以一个200台规模的网吧为例,出口带宽为
NAT功能是在网吧中应用最广的功能,由于IP地址不足的原因,运营商提供给网吧的一般就是1个IP地址,而网吧内部有大量的PC,这么多的PC都要通过这唯一的一个IP地址进行上网,如何做到这点呢?答案就是NAT(网络IP地址转换)。内部PC访问外网的时候,在路由器内部建立一个对应列表,列表中包含内部PC的IP地址、访问的外部IP地址,内部的IP端口,访问目的IP端口等信息,所以每次的ping、QQ、下载、WEB访问,都有在路由器上建立对应关系列表。 网管bitscn_com
现在有几种网络病毒,会在很短时间内,发出数以万计连续的针对不同IP的链接请求,这样路由器内部便要为这台PC建立万个以上的NAT的链接。由于路由器上的NAT的链接是有限的,如果都被这些病毒给占用了,其他人访问网络,由于没有NAT链接的资源了,就会无法访问网络了,造成断线的现象,其实这是被网络病毒把所有的NAT资源给占用了。路由器的NAT资源很快就被耗尽,导致了其他正常上网的计算机无法与外网通讯,从而产生网速慢或网络卡的现象。
网管网www_bitscn_com
欣联路由器对内外网病毒攻击的解决方案
网管网www.bitscn.com
1、欣联NATEASY路由器基于IP地址限速的功能,可以给整个网吧内部的所有PC进行速度限制,可以分别限制上传和下载速度,既可以统一限制内部所有PC的速度,也可以分别设置内部某台指定PC的速度。速度限制在多少比较合适呢?和具体的出口带宽和网吧规模有关系,不过一般来讲,最好不要小于40K的带宽,可以设置在60-400K比较合适。
2、内部PC限制NAT的链接数量
路由器提供了可以设置内部PC的最大的NAT链接数量的功能,可以统一的对内部的PC进行设置最大的NAT的链接数量设置,也可以给每台PC进行单独限制。
同时,欣联NATEASY路由器还可以查看所有的NAT链接的内容,看看到底哪台PC占用的NAT链接数量最多,同时网络病毒也有一些特殊的端口,可以通过查看NAT链接具体内容,把到底哪台PC中毒了给揪出来。
网管联盟bitsCN@com
网管u家u.bitsCN.com
3、ACL防网络病毒 网管bitscn_com
网络病毒层出不穷,但是道高一尺,魔高一丈,所有的网络病毒都是通过网络传输的,网络病毒的数据报文也一定遵循TCP/IP协议,一定有源IP地址,目的IP地址,源TCP/IP端口,目的TCP/IP端口,同一种网络病毒,一般目的 IP端口是相同的,比如冲击波病毒的端口是135,震荡波病毒的端口是445,只要把这些端口在路由器上给限制了,那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了,内部的网络病毒发起的报文,由于在路由器上作了限制,路由器不加以处理,则可以降低病毒报文占据大量的网络带宽。
欣联NATEASY网吧路由器提供功能强大的ACL功能,可以在内部网接口上限制网络报文,也可以在外部王接口上限制病毒网络报文,既可以现在出去的报文,也可以限制进来的网络报文。
4、WAN口ping攻击
网管u家u.bitsCN.com
以前有一个帖子,为了搞跨某个网站,只要有大量的人去ping这个网站,这个网站就会跨了,这个就是所谓的拒绝服务的攻击,用大量的无用的数据请求,让他无暇顾及正常的网络请求。
网管论坛bbs_bitsCN_com
网络上的黑客在发起攻击前,都要对网络上的各个IP地址进行扫描,其中一个常见的扫描方法就是ping,如果有应答,则说明这个ip地址是活动的,就是可以攻击的,这样就会暴露了目标,同时如果在外部也有大量的报文对欣联NATEASY系列路由器发起Ping请求,由于计算机的Ping请求数量过多的原因,也会把网吧的NATEASY系列路由器拖跨掉。
网管下载dl.bitscn.com
欣联的网吧路由器都设计了一个WAN口防止ping的功能,可以通过简单勾选方便的开启,所有外部网络过来的ping的数据报文请求,都装聋作哑,这样既不会暴露自己的目标,同时对于外部的ping攻击也是一个防范。
5、其他方面
负载均衡和线路备份 网管u家u.bitsCN.com
举例来说,如欣联NATEASY系列路由器全部线路互为备份,即在WAN1和WAN2之间进行线路的相互备份,网吧可根据自身情况进行双线路接入,当一条线路因为故障而无法通讯时,欣联路由器内置的负载均衡和线路备份功能可以自动实现的备份,将此条线路的请求转移到另外一条线路上,在线路和网络设备都正常的情况下,便可以实现双线负载均衡。该功能在欣联的所有的多WAN口路由器上都支持。 网管u家u.bitscn@com
网管联盟bitsCN_com
而NATEASY系列路由器中的NATEAS4000系列,提供了2-4个WAN口,如果有需要,可同时接入多达4条宽带线路,这4条宽带线路之间,可以实现负载均衡和线路备份,可以基于带宽的负载均衡,也可以对内部PC进行分组的负载均衡,还可以设置访问网通资源走网通线路,访问电信资源走电信线路的负载均衡。
网管联盟bitsCN_com
6、综合性能 网管u家u.bitscn@com
中国网管联盟bitsCN.com
网吧路由器承担的任务非常繁杂,所以单是某方面突出是不行的,还需要性能、功能、安全性等各个方面的全面发展才能良好的发挥其优势,简述为“多、快、好、省、稳、简、静、强”,8条腿走路,四平八稳,上万条NAT并发链接,线速下载的性能,简单的配置方式,安静的使用特点,对于恶劣使用环境的适应性,可以对内部进行限速功能,电信级的网络操作系统,在要求苛刻的环境的稳定应用等等,这些强大综合性能,才能成就一款出色的网吧路由器。
欣联做为一个积极进取的路由器厂商,也在在不断改善自己的软件设计以适应网吧应用的发展变化,以上的这些功能当然是非常实用的,但同时还是需要网吧管理和技术人员也更多的了解网吧路由器的新功能新技术,提高自己的能力,对网络进行更为科学合理的管理设置,这样才能借助一款不掉线的网吧路由器合力打造一个不掉线的网吧。
网管下载dl.bitscn.com
网管bitscn_com
|
3
|
评论加载中…
