防止掉线的高级路由技术

本文涉及的产品
传统型负载均衡 CLB,每月750个小时 15LCU
应用型负载均衡 ALB,每月750个小时 15LCU
EMR Serverless StarRocks,5000CU*H 48000GB*H
简介:
目前,网吧用户基于网络的应用已经从简单的网页浏览,扩展到视频QQ聊天、VOD点播、网络游戏、教育培训、IP电话等更为广泛的领域,这些应用的增多对网络的速度和稳定性提出了越来越高的要求,因此现在网吧对路由器的性能要求也在相应提高:首先,越来越多的功能要求以硬件方式来实现;其次,要求路由器采用分布式处理技术,以提高路由处理能力和速度;第三,逐渐抛弃易造成拥塞的共享式总线,采用交换式路由技术,保障网络的稳定性。 
  正是由于网吧应用的复杂化,使得网络资源变得更加紧张,在这样的环境下,网吧电脑掉线现象成为困扰网吧业主和网吧管理员的心病,而为了避免出现掉线,各大网络设备生产商也在网吧路由器产品上面下了不少功夫,大家经过长期对网吧网络应用环境的研究分析,开发出一系列针对复杂应用环境下网络应用的优化措施和高级功能,下面我们就来看看网吧路由器上面都采用了哪些特别的技术可以防止掉线: 
  内部PC基于IP地址限速 
  现在网络应用众多,BT、电驴、迅雷、FTP、在线视频等,都是非常占用带宽,以一个200台规模的网吧为例,出口带宽为10M,每台内部PC的平均带宽为50K左右,如果有几个人在疯狂的下载,把带宽都占用了,就会影响其他人的网络速度了,另外,下载的都是大文件,IP报文最大可以达到1518个 BYTE,也就是1.5k,下载应用都是大报文,在网络传输中,一般都是以数据包为单位进行传输,如果几个人在同时下载,占用大量带宽,如果这时有人在玩网络游戏,就可能会出现卡的现象。 
  一个基于IP地址限速的功能,可以给整个网吧内部的所有PC进行速度限制,可以分别限制上传和下载速度,既可以统一限制内部所有PC的速度,也可以分别设置内部某台指定PC的速度。速度限制在多少比较合适呢?和具体的出口带宽和网吧规模有关系,不过最低不要小于40K的带宽,可以设置在100- 400K比较合适。 
  内部PC限制NAT的链接数量 
  NAT功能是在网吧中应用最广的功能,由于IP地址不足的原因,运营商提供给网吧的一般就是1个IP地址,而网吧内部有大量的PC,这么多的PC都要通过这唯一的一个IP地址进行上网,如何做到这点呢?答案就是NAT(网络IP地址转换)。内部PC访问外网的时候,在路由器内部建立一个对应列表,列表中包含内部PCIP地址、访问的外部IP地址,内部的IP端口,访问目的IP端口等信息,所以每次的ping、QQ、下载、WEB访问,都有在路由器上建立对应关系列表,如果该列表对应的网络链接有数据通讯,这些列表会一直保留在路由器中,如果没有数据通讯了,也需要20-150秒才会消失掉。(对于RG -NBR系列路由器来说,这些时间都是可以设置的) 
  现在有几种网络病毒,会在很短时间内,发出数以万计连续的针对不同IP的链接请求,这样路由器内部便要为这台PC建立万个以上的NAT的链接。 
  由于路由器上的NAT的链接是有限的,如果都被这些病毒给占用了,其他人访问网络,由于没有NAT链接的资源了,就会无法访问网络了,造成断线的现象,其实这是被网络病毒把所有的NAT资源给占用了。 
  针对这种情况,不少网吧路由器提供了可以设置内部PC的最大的NAT链接数量的功能,可以统一的对内部的PC进行设置最大的NAT的链接数量设置,也可以给每台PC进行单独限制。 
  同时,这些路由器还可以查看所有的NAT链接的内容,看看到底哪台PC占用的NAT链接数量最多,同时网络病毒也有一些特殊的端口,可以通过查看NAT链接具体内容,把到底哪台PC中毒了给揪出来。 
  ACL防网络病毒 
  网络病毒层出不穷,但是道高一尺,魔高一丈,所有的网络病毒都是通过网络传输的,网络病毒的数据报文也一定遵循TCP/IP协议,一定有源IP地址,目的IP地址,源TCP/IP端口,目的TCP/IP端口,同一种网络病毒,一般目的IP端口是相同的,比如冲击波病毒的端口是135,震荡波病毒的端口是445,只要把这些端口在路由器上给限制了,那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了,内部的网络病毒发起的报文,由于在路由器上作了限制,路由器不加以处理,则可以降低病毒报文占据大量的网络带宽。 
  优秀的网吧路由器应该提供功能强大的ACL功能,可以在内部网接口上限制网络报文,也可以在外部王接口上限制病毒网络报文,既可以现在出去的报文,也可以限制进来的网络报文。 
  WAN口防ping功能 
  以前有一个帖子,为了搞跨某个网站,只要有大量的人去ping这个网站,这个网站就会跨了,这个就是所谓的拒绝服务的攻击,用大量的无用的数据请求,让他无暇顾及正常的网络请求。 
  网络上的黑客在发起攻击前,都要对网络上的各个IP地址进行扫描,其中一个常见的扫描方法就是ping,如果有应答,则说明这个ip地址是活动的,就是可以攻击的,这样就会暴露了目标,同时如果在外部也有大量的报文对RG-NBR系列路由器发起Ping请求,也会把网吧的RG-NBR系列路由器拖跨掉。 
  现在多数网吧路由器都设计了一个WAN口防止ping的功能,可以简单方便的开启,所有外面过来的ping的数据报文请求,都装聋作哑,这样既不会暴露自己的目标,同时对于外部的ping攻击也是一个防范。 

  防ARP地址欺骗功能 
  大家都知道,内部PC要上网,则要设置PC的IP地址,还有网关地址,这里的网关地址就是NBR路由器的内部网接口IP地址,内部PC是如何访问外部网络呢?就是把访问外部网的报文发送给NBR的内部网,由NBR路由器进行NAT地址转发后,再把报文发送到外部网络上,同时又把外部回来的报文,去查询路由器内部的NAT链接,回送给相关的内部PC,完成一次网络的访问。 
  在网络上,存在两个地址,一个是IP地址,一个是MAC地址,MAC地址就是网络物理地址,内部PC要把报文发送到网关上,首先根据网关的IP地址,通过ARP去查询NBR的MAC地址,然后把报文发送到该MAC地址上,MAC地址是物理层的地址,所有报文要发送,最终都是发送到相关的MAC地址上的。 
  所以在每台PC上,都有ARP的对应关系,就是IP地址和MAC地址的对应表,这些对应关系就是通过ARP和RARP报文进行更新的。 
  目前在网络上有一种病毒,会发送假冒的ARP报文,比如发送网关IP地址的ARP报文,把网关的IP对应到自己的MAC上,或者一个不存在的MAC地址上去,同时把这假冒的ARP报文在网络中广播,所有的内部PC就会更新了这个IP和MAC的对应表,下次上网的时候,就会把本来发送给网关的MAC的报文,发送到一个不存在或者错误的MAC地址上去,这样就会造成断线了。 
  这就是ARM地址欺骗,这就是造成内部PC和外部网的断线,该病毒在前一段时间特别的猖獗。针对这种情况,防ARP地址欺骗的功能也相继出现在一些专业路由器产品上。 
  负载均衡和线路备份 
  举例来说,如锐捷RG-NBR系列路由器全部支持VRRP热备份协议,最多可以设定2-255台的NBR路由器,同时链接2-255条宽带线路,这些 NBR和宽带线路之间,实现负载均衡和线路备份,万一线路断线或者网络设备损坏,可以自动实现的备份,在线路和网络设备都正常的情况下,便可以实现负载均衡。该功能在锐捷的所有的路由器上都支持。 
  而RG-NBR系列路由器中的RG-NBR1000E,更是提供了2个WAN口,如果有需要,还有一个模块扩展插槽,可以插上电口或者光接口模块,同时链接3条宽带线路,这3条宽带线路之间,可以实现负载均衡和线路备份,可以基于带宽的负载均衡,也可以对内部PC进行分组的负载均衡,还可以设置访问网通资源走网通线路,访问电信资源走电信线路的负载均衡。 
  综合性能 
  网吧路由器承担的任务非常繁杂,所以单是某方面突出是不行的,还需要性能、功能、安全性等各个方面的全面发展才能良好的发挥其优势,简述为“多、快、好、省、稳、简、静、强”,8条腿走路,四平八稳,上万条NAT并发链接,线速下载的性能,简单的配置方式,安静的使用特点,对于恶劣使用环境的适应性,可以对内部进行限速功能,电信级的网络操作系统,在要求苛刻的环境的稳定应用等等,这些强大综合性能,才能成就一款出色的网吧路由器。 

  现在做网吧路由器的厂商都在不断改善自己的软件设计以适应网吧应用的发展变化,我们今天为大家介绍的这些功能当然是非常实用的,不过同时还是需要网吧管理和技术人员也更多的了解网吧路由器的新功能新技术,提高自己的能力,对网络进行更为科学合理的管理设置,这样才能借助一款不掉线的网吧路由器合力打造一个不掉线的网吧。

















本文转自loveme2351CTO博客,原文链接:http://blog.51cto.com/loveme23/8016,如需转载请自行联系原作者


相关实践学习
SLB负载均衡实践
本场景通过使用阿里云负载均衡 SLB 以及对负载均衡 SLB 后端服务器 ECS 的权重进行修改,快速解决服务器响应速度慢的问题
负载均衡入门与产品使用指南
负载均衡(Server Load Balancer)是对多台云服务器进行流量分发的负载均衡服务,可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。 本课程主要介绍负载均衡的相关技术以及阿里云负载均衡产品的使用方法。
相关文章
|
3月前
|
存储 监控 测试技术
交换机性能指标全解析:选择最佳交换机的实用指南
【8月更文挑战第22天】交换机是网络的核心组件,选型关乎网络性能与稳定性。主要考量包括端口数量与速度、背板带宽、转发率、MAC地址表大小、管理功能、QoS支持、冗余电源、堆叠能力和PoE支持等。购买时应根据网络规模与预算选择知名品牌和型号,考虑端口配置、管理特性、安全性和扩展性,并进行性能测试与兼容性验证。
191 1
|
6月前
|
网络协议 网络架构
【计网·湖科大·思科】实验六 IP数据报的发送和转发流程、默认路由和特定主机路由
【计网·湖科大·思科】实验六 IP数据报的发送和转发流程、默认路由和特定主机路由
182 0
|
6月前
|
运维 网络协议 安全
【专栏】30个必备的思科设备巡检命令,涵盖设备基本信息、性能、网络连接、安全及其它重要方面
【4月更文挑战第28天】本文列举了30个必备的思科设备巡检命令,涵盖设备基本信息、性能、网络连接、安全及其它重要方面。这些命令包括`show version`、`show running-config`、`show ip route`、`show access-lists`等,对监控设备状态、排查故障及优化性能至关重要。熟悉并运用这些命令能提升网络工程师的工作效率,确保网络稳定运行。不断学习新命令以适应网络技术发展是网络工程师的必修课。
579 0
|
算法 C#
《c# 实现p2p文件分享与传输系统》 二、 设计 - 续(NAT穿透)
《c# 实现p2p文件分享与传输系统》 二、 设计 - 续(NAT穿透)
118 0
|
负载均衡 网络安全 网络架构
网络工程师经常搞混的路由策略和策略路由,两者到底有啥区别?
网络工程师经常搞混的路由策略和策略路由,两者到底有啥区别?
224 0
|
网络协议 Unix Go
sockfwd 一个数据转发的小工具
一个在socket之间转发数据的小工具。
|
前端开发 数据挖掘 5G
云无线接入网络的前向回传感知设计 | 带你读《5G系统关键技术详解》之十一
云无线接入网络(C-RAN,Cloud Radio Access Network)是第五代(5G,Fifth Generation)无线蜂窝网络的新兴范例,传统的物理层基站(BS,Base Station)传输和接 收基础设施使用云计算技术进行虚拟化。
云无线接入网络的前向回传感知设计  | 带你读《5G系统关键技术详解》之十一
|
网络协议 数据管理 大数据
5G 组网部署策略 | 带你读《5G时代的承载网》之十四
5G 网络部署有两种策略:SA(独立组网)和 NSA(非独立组网)。如果采用 SA 方式,则将形成一个新的网络,包括核心网、回程链路和新基站;而 NSA 方式则是利用现有的 4G 基础设施,将 5G 微小站部署在高业务密度区域, 以分流 4G 网络压力,满足激增的移动数据流量需求。
5G 组网部署策略  | 带你读《5G时代的承载网》之十四
2019年7月29日阿里小程序云应用故障通告
2019年7月29日 由于系统原因导致部分客户在免费试用期间产生了小额度收费账单,对于额度不足的用户可能会有停机操作。目前系统问题已经修复,由于我们的原因给客户带来了不好的体验,为了表达我们的歉意,我们将会给您补偿 10 元阿里云无门槛通用代金券(3个工作日内到账),您可以在收到代金券后支付欠费,自发放之日起有效期30天,随后我们将为您在8月8日-8月9日开启48小时重启免押金功能,重新启动服务即可正常使用。
1349 0