扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年11月21日
关键字: 路由器
一、接入线路
目前国内互联网络主要为两大ISP运营:中国网通和中国电信。当用户使用中国网通的光纤线路时。访问网通上的各类网站、游戏服务器等速度正常,而访问中国电信网络上的各类服务器时速度异常缓慢;使用中国电信的光纤线路也同样存在此交互访问的问题。此类问题主要是由于中国网通和中国电信两个ISP网络之间的互联互通不够通畅,带宽比较狭小,无法满足两大网络之间的互相访问需求。而网络游戏对网络环境的要求比较高,针对网吧就出现了这样的问题: 使用网通的光纤就无法流畅地玩在电信网络上的游戏;而使用电信的光纤就无法流畅地玩在网通网络上的游戏。
解决上述问题的办法只有分别接入网通和电信双线路,来满足网吧客户对于网游速度的要求。这样双WAN口路由器有了用武之地。网吧使用双WAN口路由器:
首先,减少了设备的投入,简化了网络结构,同时对客户机设置完全透明,客户机系统不需要做任何修改,设备智能分析判断客户机的外网访问请求,自动选择最优化的外网线路出口,使顾客无论玩哪里的网络游戏,或者浏览网站都能获得最佳的速度。
智能选择外网出口的路由设备的技术原理是通过分析比对客户机发出的外网目的IP地址,判断此IP所在的ISP运营商网络,为其数据流选择最佳的外网出口。最终实现访问网通站点只走网通线路,访问网通以外的站点走电信线路的方法,以解决南方电信和北方网通互联互通带来的问题。
其次,双线路接入还可以实现带宽汇聚:接入多条宽带线路,通过负载均衡的方式,满足网吧对于带宽不足的需求。可以根据下面的方式来做负载均衡:
◆根据NAT会话均衡多线路,保证内网用户多线程的应用可以同时使用两条线路的带宽资源;
◆根据带宽比均衡多线路,保证多线路接入带宽不一致的时候,可以按照带宽比例将流量合理的分配到多线路上;
◆根据内网IP(段)均衡多线路,用户可以指定内网的电脑使用指定的线路;
◆根据外网IP(段)均衡多线路,用户可以指定访问某些网站使用指定的线路。上面所说的解决互联互通的问题实际上是采用了这种方式来实现的。
第三,双线路可以相互备份:在某些情况下,主线路会发生断线或停止服务的情况,接入辅助线路做为备份,当主线路出现问题时,自动切换到备份线路,保障网络的不间断,网吧正常营业。做好线路的备份,最重要的前提是如何快速、准确的检测线路的通断和质量。可以通过下面的方式来检测:
◆ICMP检测网关--固定时间间隔向接入线路网关发出ICMP数据包;
◆ICMP检测公网地址:固定时间间隔向公网地址发出ICMP数据包,检测线路通断和质量,适用于接入线路网关禁ping的环境。
◆ARP检测网关:固定时间间隔向接入线路网关发出ARP请求,检测线路通断和质量,适用于接入线路全部禁ping的环境。
◆DNS解析检测:固定时间间隔向公网DNS服务器发出DNS请求,检测线路通断和质量,适用于接入线路不断,运行商对接入时间加以限制的环境。
二、带宽资源管理
在网吧的日常开销中,除了设备折旧、人员工资以外,最大的支出莫过于宽带租用费了。如今互联网的带宽,70%以上被P2P的流量占据,如何在有限的带宽下,提升带宽的利用率,是一个提高网络质量和上座率的关键问题。
目前看到很多网吧业主在发现带宽不够的时候,无法查找引起带宽不足的原因究竟是带宽真的不足了,还是带宽被下载、P2P流量、病毒攻击给占据了,只能盲目的增加带宽,不仅多花了钱,而且往往解决不了问题。
HiPER宽带安全网关提供了强大的带宽监控功能,可以查询物理端口、每个用户的实时和累计上传流量、下载流量,配合上网监控功能,就可以监控到内网是谁在大量使用带宽资源,为什么使用了大量的带宽资源。
三、维护、诊断管理
如何在快速诊断网吧接入中遇到诸如掉线、卡机等问题,也是困扰着网吧网管的一个很头疼的问题,普通共享设备和软件没有或者只有很少的监控和状态功能,出了问题往往只能重启了事,但是重启后很快又会发生故障。Cisco等厂商的路由器诊断命令倒是多,但是复杂的命令行让很多用户望而却步。
HiPER宽带安全网关很好的解决了这个问题,它既有博大精深的命令行配置、诊断界面,同时也在WEB界面上提供了强大配置、诊断功能,比如说:
◆用户统计:可以查询内网用户IP地址、MAC地址、收发数据包情况,发送广播包情况,并提供经验计算数据作为主机异常发包的诊断依据。
◆NAT统计:可以查询内网用户NAT的使用次数、失败次数、超限次数,以及NAT收发数据包的情况。
◆端口统计:可以查询HiPER宽带安全网关每个端口收发数据包的数量和大小统计,并提供经验计算数据作为内网、外网攻击的诊断依据。
◆系统信息:设备发现内网主机有异常行为,立即记录并且反映出来。
◆上网监控:可以实时查询内网用户访问的地址、端口,以及收发数据包情况。
四、网络安全
使用了HiPER宽带安全网关之后,对于来自外网的常见攻击可以直接起到屏蔽作用:
◆IP Fragments校验:检查 IP 碎片,当发现从外网发来企图攻击私有网络的恶意的IP交叠碎片,设备将检查这些数据报并将其丢弃。
◆防止IP 地址欺骗:检查源地址和目的地址是否是合法IP地址。如果发现这个地址是非法或是组播地址,设备将会将数据报丢弃。
◆禁止Ping 响应:不响应所有来自Internet的ICMP扫描。
◆禁止端口扫描。
◆禁止TCP SYN Flooding。
◆禁止ICMP Flooding。
◆禁止UDP Flooding。
对于内部用户的安全管理,HiPER宽带安全网关做得更加细致:
◆IP/MAC地址绑定,实现上网用户黑名单和白名单功能。
◆IP/MAC地址绑定,防止网吧内部最常见的ARP欺骗攻击。
◆专利技术的防止DdoS功能(专利号:200310122858.7)。
◆业务管理,可以为内网用户根据不同时间段设置不同的上网权限。
◆关键字过滤,可以屏蔽内网用户访问一些危险、黄色、下载的网站。
◆Port VLAN虚拟局域网,实现内部多个网络的安全。
◆交换端口实现端口镜像功能,让网吧监控服务器不再需要独立的HUB或者带镜像功能的交换机,消除了网络瓶颈,节约了用户投资。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。