由于很多大型用戶應(yīng)用的復(fù)雜化， 使得網(wǎng)絡(luò)資源變得更加緊張， 在這樣的環(huán)境下， 網(wǎng)吧電腦掉線現(xiàn)象成為困擾網(wǎng)吧業(yè)主和網(wǎng)吧管理

員的心病， 而為了避免出現(xiàn)掉線， 各大網(wǎng)絡(luò)設(shè)備生產(chǎn)商也在網(wǎng)吧路由器產(chǎn)品上面下了不少功夫， 大家經(jīng)過長期對(duì)網(wǎng)吧網(wǎng)絡(luò)應(yīng)用環(huán)境的

研究分析， 開發(fā)出一系列針對(duì)復(fù)雜應(yīng)用環(huán)境下網(wǎng)絡(luò)應(yīng)用的優(yōu)化措施和高級(jí)功能， 下面我們就來看看很多大型用戶路由器上面都采用了

哪些特別的技術(shù)可以防止掉線:

　　內(nèi)部PC基于IP地址限速

　　現(xiàn)在網(wǎng)絡(luò)應(yīng)用眾多， BT、電驢、迅雷、FTP、在線視頻等， 都是非常占用帶寬， 以一個(gè)200臺(tái)規(guī)模的網(wǎng)吧為例， 出口帶寬為10M，

每臺(tái)內(nèi)部PC的平均帶寬為50K左右， 如果有幾個(gè)人在瘋狂的下載， 把帶寬都占用了， 就會(huì)影響其他人的網(wǎng)絡(luò)速度了， 另外， 下載的都

是大文件， IP報(bào)文最大可以達(dá)到1518個(gè)BYTE， 也就是1.5k， 下載應(yīng)用都是大報(bào)文， 在網(wǎng)絡(luò)傳輸中， 一般都是以數(shù)據(jù)包為單位進(jìn)行傳輸

， 如果幾個(gè)人在同時(shí)下載， 占用大量帶寬， 如果這時(shí)有人在玩網(wǎng)絡(luò)游戲， 就可能會(huì)出現(xiàn)卡的現(xiàn)象。

　　一個(gè)基于IP地址限速的功能， 可以給整個(gè)網(wǎng)吧內(nèi)部的所有PC進(jìn)行速度限制， 可以分別限制上傳和下載速度， 既可以統(tǒng)一限制內(nèi)部

所有PC的速度， 也可以分別設(shè)置內(nèi)部某臺(tái)指定PC的速度。 速度限制在多少比較合適呢?和具體的出口帶寬和網(wǎng)吧規(guī)模有關(guān)系， 不過最

低不要小于40K的帶寬， 可以設(shè)置在100-400K比較合適。

　　內(nèi)部PC限制NAT的鏈接數(shù)量

　　NAT功能是在網(wǎng)吧中應(yīng)用最廣的功能， 由于IP地址不足的原因， 運(yùn)營商提供給網(wǎng)吧的一般就是1個(gè)IP地址， 而網(wǎng)吧內(nèi)部有大量的PC

， 這么多的PC都要通過這唯一的一個(gè)IP地址進(jìn)行上網(wǎng)， 如何做到這點(diǎn)呢?答案就是NAT(網(wǎng)絡(luò)IP地址轉(zhuǎn)換)。 內(nèi)部PC訪問外網(wǎng)的時(shí)候， 在

路由器內(nèi)部建立一個(gè)對(duì)應(yīng)列表， 列表中包含內(nèi)部PCIP地址、訪問的外部IP地址， 內(nèi)部的IP端口， 訪問目的IP端口等信息， 所以每次的

ping、QQ、下載、WEB訪問， 都有在路由器上建立對(duì)應(yīng)關(guān)系列表， 如果該列表對(duì)應(yīng)的網(wǎng)絡(luò)鏈接有數(shù)據(jù)通訊， 這些列表會(huì)一直保留在路

由器中， 如果沒有數(shù)據(jù)通訊了， 也需要20-150秒才會(huì)消失掉。 (對(duì)于RG-NBR系列路由器來說， 這些時(shí)間都是可以設(shè)置的)

　　現(xiàn)在有幾種網(wǎng)絡(luò)病毒， 會(huì)在很短時(shí)間內(nèi)， 發(fā)出數(shù)以萬計(jì)連續(xù)的針對(duì)不同IP的鏈接請求， 這樣路由器內(nèi)部便要為這臺(tái)PC建立萬個(gè)以

上的NAT的鏈接。

　　由于路由器上的NAT的鏈接是有限的， 如果都被這些病毒給占用了， 其他人訪問網(wǎng)絡(luò)， 由于沒有NAT鏈接的資源了， 就會(huì)無法訪問

網(wǎng)絡(luò)了， 造成斷線的現(xiàn)象， 其實(shí)這是被網(wǎng)絡(luò)病毒把所有的NAT資源給占用了。

　　針對(duì)這種情況， 不少網(wǎng)吧路由器提供了可以設(shè)置內(nèi)部PC的最大的NAT鏈接數(shù)量的功能， 可以統(tǒng)一的對(duì)內(nèi)部的PC進(jìn)行設(shè)置最大的NAT

的鏈接數(shù)量設(shè)置， 也可以給每臺(tái)PC進(jìn)行單獨(dú)限制。

　　同時(shí)， 這些路由器還可以查看所有的NAT鏈接的內(nèi)容， 看看到底哪臺(tái)PC占用的NAT鏈接數(shù)量最多， 同時(shí)網(wǎng)絡(luò)病毒也有一些特殊的端

口， 可以通過查看NAT鏈接具體內(nèi)容， 把到底哪臺(tái)PC中毒了給揪出來。

　　ACL防網(wǎng)絡(luò)病毒

　　網(wǎng)絡(luò)病毒層出不窮， 但是道高一尺， 魔高一丈， 所有的網(wǎng)絡(luò)病毒都是通過網(wǎng)絡(luò)傳輸?shù)模?網(wǎng)絡(luò)病毒的數(shù)據(jù)報(bào)文也一定遵循TCP/IP協(xié)

議， 一定有源IP地址， 目的IP地址， 源TCP/IP端口， 目的TCP/IP端口， 同一種網(wǎng)絡(luò)病毒， 一般目的IP端口是相同的， 比如沖擊波病毒

的端口是135， 震蕩波病毒的端口是445,只要把這些端口在路由器上給限制了， 那么外部的病毒就無法通過路由器這個(gè)唯一的入口進(jìn)

入到內(nèi)部網(wǎng)了， 內(nèi)部的網(wǎng)絡(luò)病毒發(fā)起的報(bào)文， 由于在路由器上作了限制， 路由器不加以處理， 則可以降低病毒報(bào)文占據(jù)大量的網(wǎng)絡(luò)帶

寬。

　　優(yōu)秀的網(wǎng)吧路由器應(yīng)該提供功能強(qiáng)大的ACL功能， 可以在內(nèi)部網(wǎng)接口上限制網(wǎng)絡(luò)報(bào)文， 也可以在外部王接口上限制病毒網(wǎng)絡(luò)報(bào)文

， 既可以現(xiàn)在出去的報(bào)文， 也可以限制進(jìn)來的網(wǎng)絡(luò)報(bào)文。

　　WAN口防ping功能

　　以前有一個(gè)帖子， 為了搞跨某個(gè)網(wǎng)站， 只要有大量的人去ping這個(gè)網(wǎng)站， 這個(gè)網(wǎng)站就會(huì)跨了， 這個(gè)就是所謂的拒絕服務(wù)的攻擊，

用大量的無用的數(shù)據(jù)請求， 讓他無暇顧及正常的網(wǎng)絡(luò)請求。

　　網(wǎng)絡(luò)上的黑客在發(fā)起攻擊前， 都要對(duì)網(wǎng)絡(luò)上的各個(gè)IP地址進(jìn)行掃描， 其中一個(gè)常見的掃描方法就是ping， 如果有應(yīng)答， 則說明這

個(gè)ip地址是活動(dòng)的， 就是可以攻擊的， 這樣就會(huì)暴露了目標(biāo)， 同時(shí)如果在外部也有大量的報(bào)文對(duì)RG-NBR系列路由器發(fā)起Ping請求， 也

會(huì)把網(wǎng)吧的RG-NBR系列路由器拖跨掉。

　　現(xiàn)在多數(shù)網(wǎng)吧路由器都設(shè)計(jì)了一個(gè)WAN口防止ping的功能， 可以簡單方便的開啟， 所有外面過來的ping的數(shù)據(jù)報(bào)文請求， 都裝聾

作啞， 這樣既不會(huì)暴露自己的目標(biāo)， 同時(shí)對(duì)于外部的ping攻擊也是一個(gè)防范。

　　防ARP地址欺騙功能

　　大家都知道， 內(nèi)部PC要上網(wǎng)， 則要設(shè)置PC的IP地址， 還有網(wǎng)關(guān)地址， 這里的網(wǎng)關(guān)地址就是NBR路由器的內(nèi)部網(wǎng)接口IP地址， 內(nèi)部

PC是如何訪問外部網(wǎng)絡(luò)呢?就是把訪問外部網(wǎng)的報(bào)文發(fā)送給NBR的內(nèi)部網(wǎng)， 由NBR路由器進(jìn)行NAT地址轉(zhuǎn)發(fā)后， 再把報(bào)文發(fā)送到外部網(wǎng)絡(luò)

上， 同時(shí)又把外部回來的報(bào)文， 去查詢路由器內(nèi)部的NAT鏈接， 回送給相關(guān)的內(nèi)部PC， 完成一次網(wǎng)絡(luò)的訪問。

　　在網(wǎng)絡(luò)上， 存在兩個(gè)地址， 一個(gè)是IP地址， 一個(gè)是MAC地址， MAC地址就是網(wǎng)絡(luò)物理地址， 內(nèi)部PC要把報(bào)文發(fā)送到網(wǎng)關(guān)上， 首先根

據(jù)網(wǎng)關(guān)的IP地址， 通過ARP去查詢NBR的MAC地址， 然后把報(bào)文發(fā)送到該MAC地址上， MAC地址是物理層的地址， 所有報(bào)文要發(fā)送， 最終

都是發(fā)送到相關(guān)的MAC地址上的。

　　所以在每臺(tái)PC上， 都有ARP的對(duì)應(yīng)關(guān)系， 就是IP地址和MAC地址的對(duì)應(yīng)表， 這些對(duì)應(yīng)關(guān)系就是通過ARP和RARP報(bào)文進(jìn)行更新的。

　　目前在網(wǎng)絡(luò)上有一種病毒， 會(huì)發(fā)送假冒的ARP報(bào)文， 比如發(fā)送網(wǎng)關(guān)IP地址的ARP報(bào)文， 把網(wǎng)關(guān)的IP對(duì)應(yīng)到自己的MAC上， 或者一個(gè)

不存在的MAC地址上去， 同時(shí)把這假冒的ARP報(bào)文在網(wǎng)絡(luò)中廣播， 所有的內(nèi)部PC就會(huì)更新了這個(gè)IP和MAC的對(duì)應(yīng)表， 下次上網(wǎng)的時(shí)候，

就會(huì)把本來發(fā)送給網(wǎng)關(guān)的MAC的報(bào)文， 發(fā)送到一個(gè)不存在或者錯(cuò)誤的MAC地址上去， 這樣就會(huì)造成斷線了。

　　這就是ARM地址欺騙， 這就是造成內(nèi)部PC和外部網(wǎng)的斷線， 該病毒在前一段時(shí)間特別的猖獗。 針對(duì)這種情況， 防ARP地址欺騙的功

能也相繼出現(xiàn)在一些專業(yè)路由器產(chǎn)品上。

　　負(fù)載均衡和線路備份

　　舉例來說， 如銳捷RG-NBR系列路由器全部支持VRRP熱備份協(xié)議， 最多可以設(shè)定2-255臺(tái)的NBR路由器， 同時(shí)鏈接2-255條寬帶線路

， 這些NBR和寬帶線路之間， 實(shí)現(xiàn)負(fù)載均衡和線路備份， 萬一線路斷線或者網(wǎng)絡(luò)設(shè)備損壞， 可以自動(dòng)實(shí)現(xiàn)的備份， 在線路和網(wǎng)絡(luò)設(shè)備

都正常的情況下， 便可以實(shí)現(xiàn)負(fù)載均衡。 該功能在銳捷的所有的路由器上都支持。

　　而RG-NBR系列路由器中的RG-NBR1000E， 更是提供了2個(gè)WAN口， 如果有需要， 還有一個(gè)模塊擴(kuò)展插槽， 可以插上電口或者光接口

模塊， 同時(shí)鏈接3條寬帶線路， 這3條寬帶線路之間， 可以實(shí)現(xiàn)負(fù)載均衡和線路備份， 可以基于帶寬的負(fù)載均衡， 也可以對(duì)內(nèi)部PC進(jìn)行

分組的負(fù)載均衡， 還可以設(shè)置訪問網(wǎng)通資源走網(wǎng)通線路， 訪問電信資源走電信線路的負(fù)載均衡。

　　綜合性能

　　網(wǎng)吧路由器承擔(dān)的任務(wù)非常繁雜， 所以單是某方面突出是不行的， 還需要性能、功能、安全性等各個(gè)方面的全面發(fā)展才能良好的

發(fā)揮其優(yōu)勢， 簡述為“多、快、好、省、穩(wěn)、簡、靜、強(qiáng)”， 8條腿走路， 四平八穩(wěn)， 上萬條NAT并發(fā)鏈接， 線速下載的性能， 簡單的

配置方式， 安靜的使用特點(diǎn)， 對(duì)于惡劣使用環(huán)境的適應(yīng)性， 可以對(duì)內(nèi)部進(jìn)行限速功能， 電信級(jí)的網(wǎng)絡(luò)操作系統(tǒng)， 在要求苛刻的環(huán)境的

穩(wěn)定應(yīng)用等等

     呵呵很詳細(xì)， 希望對(duì)大家有幫助啊。