一、限制大法：終端機(jī)網(wǎng)速和NAT連接數(shù)

網(wǎng)吧用戶已經(jīng)從簡(jiǎn)單的網(wǎng)頁(yè)瀏覽擴(kuò)展到視頻聊天,、VOD點(diǎn)播,、網(wǎng)絡(luò)游戲、IP電話等更為廣泛的領(lǐng)域,，應(yīng)用方式的增多對(duì)網(wǎng)速和穩(wěn)定性提出了更高的要求,。在這樣的環(huán)境下，網(wǎng)吧掉線現(xiàn)象成為困擾網(wǎng)吧業(yè)主和網(wǎng)吧管理員的大問(wèn)題,。

經(jīng)過(guò)一些朋友長(zhǎng)期對(duì)網(wǎng)吧網(wǎng)絡(luò)應(yīng)用環(huán)境的研究,，分析出一系列針對(duì)復(fù)雜應(yīng)用環(huán)境下網(wǎng)絡(luò)應(yīng)用的優(yōu)化措施和高級(jí)功能,，下面我們就來(lái)看看網(wǎng)吧路由器都采用了哪些特別技術(shù)來(lái)防止掉線,。

1.限制每臺(tái)機(jī)器的網(wǎng)速

現(xiàn)在網(wǎng)絡(luò)應(yīng)用眾多，BT,、電驢,、迅雷、FTP,、在線視頻等,，都是非常占用帶寬，以一個(gè)200臺(tái)規(guī)模的網(wǎng)吧為例,，出口帶寬為10MB,，每臺(tái)內(nèi)部PC的平均帶寬為50KB左右，如果有幾個(gè)人在瘋狂的下載,，把帶寬都占用了,，就會(huì)影響其他人的網(wǎng)絡(luò)速度了。另外,，下載的都是大文件,，IP報(bào)文最大可以達(dá)到1518個(gè)BYTE，也就是1.5KB，下載應(yīng)用都是大報(bào)文,，在網(wǎng)絡(luò)傳輸中,，一般都是以數(shù)據(jù)包為單位進(jìn)行傳輸，如果幾個(gè)人在同時(shí)下載,，占用大量帶寬,，如果這時(shí)有人在玩網(wǎng)絡(luò)游戲，就可能會(huì)出現(xiàn)卡的現(xiàn)象,。

一個(gè)基于IP地址限速的功能,，可以給整個(gè)網(wǎng)吧內(nèi)部的所有PC進(jìn)行速度限制，可以分別限制上傳和下載速度,，既可以統(tǒng)一限制內(nèi)部所有PC的速度,，也可以分別設(shè)置內(nèi)部某臺(tái)指定PC的速度。速度限制在多少比較合適呢,？和具體的出口帶寬和網(wǎng)吧規(guī)模有關(guān)系,，不過(guò)最低不要小于40KB的帶寬，可以設(shè)置在100～400KB比較合適,。

2.限制NAT連接數(shù)量

NAT功能是在網(wǎng)吧中應(yīng)用最廣的功能,，由于IP地址不足的原因，運(yùn)營(yíng)商提供給網(wǎng)吧的一般就是1個(gè)IP地址,，而網(wǎng)吧內(nèi)部有大量的PC,，這么多的PC都要通過(guò)這唯一的一個(gè)IP地址進(jìn)行上網(wǎng)，如何做到這點(diǎn)呢,？答案就是NAT（網(wǎng)絡(luò)IP地址轉(zhuǎn)換）,。

內(nèi)部PC訪問(wèn)外網(wǎng)的時(shí)候，在路由器內(nèi)部建立一個(gè)對(duì)應(yīng)列表,，列表中包含內(nèi)部PCIP地址,、訪問(wèn)的外部IP地址，內(nèi)部的IP端口,，訪問(wèn)目的IP端口等信息,，所以每次的ping、QQ,、下載,、WEB訪問(wèn)，都有在路由器上建立對(duì)應(yīng)關(guān)系列表,，如果該列表對(duì)應(yīng)的網(wǎng)絡(luò)鏈接有數(shù)據(jù)通訊,，這些列表會(huì)一直保留在路由器中，如果沒(méi)有數(shù)據(jù)通訊了,，也需要20-150秒才會(huì)消失掉（對(duì)于RG-NBR系列路由器來(lái)說(shuō),，這些時(shí)間都是可以設(shè)置的）。

現(xiàn)在有幾種網(wǎng)絡(luò)病毒，會(huì)在很短時(shí)間內(nèi),，發(fā)出數(shù)以萬(wàn)計(jì)連續(xù)的針對(duì)不同IP的鏈接請(qǐng)求,，這樣路由器內(nèi)部便要為這臺(tái)PC建立萬(wàn)個(gè)以上的NAT的鏈接。

由于路由器上的NAT的鏈接是有限的,，如果都被這些病毒給占用了,，其他人訪問(wèn)網(wǎng)絡(luò)，由于沒(méi)有NAT鏈接的資源了,，就會(huì)無(wú)法訪問(wèn)網(wǎng)絡(luò)了,，造成斷線的現(xiàn)象，其實(shí)這是被網(wǎng)絡(luò)病毒把所有的NAT資源給占用了,。

針對(duì)這種情況,，不少網(wǎng)吧路由器提供了可以設(shè)置內(nèi)部PC的最大的NAT鏈接數(shù)量的功能，可以統(tǒng)一的對(duì)內(nèi)部的PC進(jìn)行設(shè)置最大的NAT的鏈接數(shù)量設(shè)置,，也可以給每臺(tái)PC進(jìn)行單獨(dú)限制,。

同時(shí)，這些路由器還可以查看所有的NAT鏈接的內(nèi)容,，看看到底哪臺(tái)PC占用的NAT鏈接數(shù)量最多,，同時(shí)網(wǎng)絡(luò)病毒也有一些特殊的端口，可以通過(guò)查看NAT鏈接具體內(nèi)容,，把到底哪臺(tái)PC中毒了給揪出來(lái),。

二、不掉線還要做到防范病毒 防Ping 防欺騙

1.ACL防網(wǎng)絡(luò)病毒

網(wǎng)絡(luò)病毒層出不窮,，但是道高一尺,，魔高一丈，所有的網(wǎng)絡(luò)病毒都是通過(guò)網(wǎng)絡(luò)傳輸?shù)?，網(wǎng)絡(luò)病毒的數(shù)據(jù)報(bào)文也一定遵循TCP/IP協(xié)議,，一定有源IP地址,，目的IP地址,，源TCP/IP端口，目的TCP/IP端口,，同一種網(wǎng)絡(luò)病毒,，一般目的 IP端口是相同的，比如沖擊波病毒的端口是135,，震蕩波病毒的端口是445,只要把這些端口在路由器上給限制了,，那么外部的病毒就無(wú)法通過(guò)路由器這個(gè)唯一的入口進(jìn)入到內(nèi)部網(wǎng)了，內(nèi)部的網(wǎng)絡(luò)病毒發(fā)起的報(bào)文,，由于在路由器上作了限制,，路由器不加以處理，則可以降低病毒報(bào)文占據(jù)大量的網(wǎng)絡(luò)帶寬。

優(yōu)秀的網(wǎng)吧路由器應(yīng)該提供功能強(qiáng)大的ACL功能,，可以在內(nèi)部網(wǎng)接口上限制網(wǎng)絡(luò)報(bào)文,，也可以在外部王接口上限制病毒網(wǎng)絡(luò)報(bào)文，既可以現(xiàn)在出去的報(bào)文,，也可以限制進(jìn)來(lái)的網(wǎng)絡(luò)報(bào)文,。

2.WAN口防ping功能

以前有一個(gè)帖子，為了搞跨某個(gè)網(wǎng)站,，只要有大量的人去ping這個(gè)網(wǎng)站,，這個(gè)網(wǎng)站就會(huì)跨了，這個(gè)就是所謂的拒絕服務(wù)的攻擊,，用大量的無(wú)用的數(shù)據(jù)請(qǐng)求,，讓他無(wú)暇顧及正常的網(wǎng)絡(luò)請(qǐng)求。

網(wǎng)絡(luò)上的黑客在發(fā)起攻擊前,，都要對(duì)網(wǎng)絡(luò)上的各個(gè)IP地址進(jìn)行掃描,，其中一個(gè)常見(jiàn)的掃描方法就是ping，如果有應(yīng)答,，則說(shuō)明這個(gè)IP地址是活動(dòng)的,，就是可以攻擊的，這樣就會(huì)暴露了目標(biāo),，同時(shí)如果在外部也有大量的報(bào)文對(duì)RG-NBR系列路由器發(fā)起Ping請(qǐng)求,，也會(huì)把網(wǎng)吧的RG-NBR列路由器拖跨掉。

現(xiàn)在多數(shù)網(wǎng)吧路由器都設(shè)計(jì)了一個(gè)WAN口防止ping的功能,，可以簡(jiǎn)單方便的開(kāi)啟,，所有外面過(guò)來(lái)的ping的數(shù)據(jù)報(bào)文請(qǐng)求，都裝聾作啞,，這樣既不會(huì)暴露自己的目標(biāo),，同時(shí)對(duì)于外部的ping攻擊也是一個(gè)防范。

3.防ARP地址欺騙功能

大家都知道,，內(nèi)部PC要上網(wǎng),，則要設(shè)置PC的IP地址，還有網(wǎng)關(guān)地址,，這里的網(wǎng)關(guān)地址就是NBR路由器的內(nèi)部網(wǎng)接口IP地址,，內(nèi)部PC是如何訪問(wèn)外部網(wǎng)絡(luò)呢？就是把訪問(wèn)外部網(wǎng)的報(bào)文發(fā)送給NBR的內(nèi)部網(wǎng),，由NBR路由器進(jìn)行NAT地址轉(zhuǎn)發(fā)后,，再把報(bào)文發(fā)送到外部網(wǎng)絡(luò)上，同時(shí)又把外部回來(lái)的報(bào)文,，去查詢路由器內(nèi)部的NAT鏈接,，回送給相關(guān)的內(nèi)部PC,，完成一次網(wǎng)絡(luò)的訪問(wèn)。

在網(wǎng)絡(luò)上,，存在兩個(gè)地址,，一個(gè)是IP地址，一個(gè)是MAC地址,，MAC地址就是網(wǎng)絡(luò)物理地址,，內(nèi)部PC要把報(bào)文發(fā)送到網(wǎng)關(guān)上，首先根據(jù)網(wǎng)關(guān)的IP地址,，通過(guò)ARP去查詢NBR的MAC地址,，然后把報(bào)文發(fā)送到該MAC地址上，MAC地址是物理層的地址,，所有報(bào)文要發(fā)送,，最終都是發(fā)送到相關(guān)的MAC地址上的。

所以在每臺(tái)PC上,，都有ARP的對(duì)應(yīng)關(guān)系,，就是IP地址和MAC地址的對(duì)應(yīng)表，這些對(duì)應(yīng)關(guān)系就是通過(guò)ARP和RARP報(bào)文進(jìn)行更新的,。

目前在網(wǎng)絡(luò)上有一種病毒,，會(huì)發(fā)送假冒的ARP報(bào)文，比如發(fā)送網(wǎng)關(guān)IP地址的ARP報(bào)文,，把網(wǎng)關(guān)的IP對(duì)應(yīng)到自己的MAC上,，或者一個(gè)不存在的MAC地址上去，同時(shí)把這假冒的ARP報(bào)文在網(wǎng)絡(luò)中廣播,，所有的內(nèi)部PC就會(huì)更新了這個(gè)IP和 MAC的對(duì)應(yīng)表,，下次上網(wǎng)的時(shí)候，就會(huì)把本來(lái)發(fā)送給網(wǎng)關(guān)的MAC的報(bào)文,，發(fā)送到一個(gè)不存在或者錯(cuò)誤的MAC地址上去,，這樣就會(huì)造成斷線了。

這就是arm地址欺騙,，這就是造成內(nèi)部PC和外部網(wǎng)的斷線,，該病毒在前一段時(shí)間特別的猖獗。針對(duì)這種情況,，防ARP地址欺騙的功能也相繼出現(xiàn)在一些專業(yè)路由器產(chǎn)品上,。

三、把負(fù)載均衡起來(lái)

負(fù)載均衡和線路備份

舉例來(lái)說(shuō),，如銳捷RG-NBR系列路由器全部支持VRRP熱備份協(xié)議，最多可以設(shè)定2～255臺(tái)的NBR路由器,，同時(shí)鏈接2～255條寬帶線路,，這些NBR和寬帶線路之間,，實(shí)現(xiàn)負(fù)載均衡和線路備份，萬(wàn)一線路斷線或者網(wǎng)絡(luò)設(shè)備損壞,，可以自動(dòng)實(shí)現(xiàn)的備份,，在線路和網(wǎng)絡(luò)設(shè)備都正常的情況下，便可以實(shí)現(xiàn)負(fù)載均衡,。該功能在銳捷的所有的路由器上都支持,。

而RG-NBR系列路由器中的RG-NBR1000E與飛魚星5000系列或6000系列路由器，RG-NBR1000E提供了2個(gè)WAN口,，飛魚星5000系列與6000系列更是提供了4個(gè)WAN口,。而RG-NBR1000E如果有需要，還有一個(gè)模塊擴(kuò)展插槽,，可以插上電口或者光接口模塊,，同時(shí)鏈接3條寬帶線路，這3條寬帶線路之間,，可以實(shí)現(xiàn)負(fù)載均衡和線路備份,，可以基于帶寬的負(fù)載均衡，也可以對(duì)內(nèi)部PC進(jìn)行分組的負(fù)載均衡,，還可以設(shè)置訪問(wèn)網(wǎng)通資源走網(wǎng)通線路,，訪問(wèn)電信資源走電信線路的負(fù)載均衡。

綜合性能

網(wǎng)吧路由器承擔(dān)的任務(wù)非常繁雜,，所以單是某方面突出是不行的,，還需要性能、功能,、安全性等各個(gè)方面的全面發(fā)展才能良好的發(fā)揮其優(yōu)勢(shì),，簡(jiǎn)述為“多、快,、好,、省、穩(wěn),、簡(jiǎn),、靜、強(qiáng)”,，8條腿走路,，四平八穩(wěn)，上萬(wàn)條NAT并發(fā)鏈接,，線速下載的性能,，簡(jiǎn)單的配置方式，安靜的使用特點(diǎn),，對(duì)于惡劣使用環(huán)境的適應(yīng)性,，可以對(duì)內(nèi)部進(jìn)行限速功能,，電信級(jí)的網(wǎng)絡(luò)操作系統(tǒng)，在要求苛刻的環(huán)境的穩(wěn)定應(yīng)用等等,，這些強(qiáng)大綜合性能,，才能成就一款出色的網(wǎng)吧路由器。

現(xiàn)在做網(wǎng)吧路由器的廠商都在不斷改善自己的軟件設(shè)計(jì)以適應(yīng)網(wǎng)吧應(yīng)用的發(fā)展變化,，今天為大家介紹的這些功能當(dāng)然是非常實(shí)用的,，不過(guò)同時(shí)還是需要網(wǎng)吧管理和技術(shù)人員也更多的了解網(wǎng)吧路由器的新功能新技術(shù)，提高自己的能力,，對(duì)網(wǎng)絡(luò)進(jìn)行更為科學(xué)合理的管理設(shè)置,，這樣才能借助一款不掉線的網(wǎng)吧路由器合力打造一個(gè)不掉線的網(wǎng)吧！