近段时间,市面上多WAN口网吧专用路由器出出现的越来越多。硬件网吧路由器除了在稳定性,可靠性,便于维护等方面比软路由有明显的优势外,在功能安排,性能实现,尤其是多WAN口处理上可谓成熟很多,专业化的厂商早已对多WAN口在网吧的应用做了很多的研究。
近段时间,市面上多WAN口网吧专用路由器出出现的越来越多。硬件网吧路由器除了在稳定性,可靠性,便于维护等方面比软路由有明显的优势外,在功能安排,性能实现,尤其是多WAN口处理上可谓成熟很多,专业化的厂商早已对多WAN口在网吧的应用做了很多的研究。
在使用了多款厂家的宽带路由器后,感觉以国内的生产厂商的产品最符合目前国内网吧的复杂需求。就拿其中一款上海艾泰科技有限公司的双线路宽带路由网关来说,它的功能中,有几方面对提升网通宽带用户的满意度有会有比较大的帮助:
一、接入线路
目前国内互联网络主要为两大ISP运营:中国网通和中国电信。当用户使用中国网通的光纤线路时。访问网通上的各类网站、游戏服务器等速度正常,而访问中国电信网络上的各类服务器时速度异常缓慢;使用中国电信的光纤线路也同样存在此交互访问的问题。此类问题主要是由于中国网通和中国电信两个ISP网络之间的互联互通不够通畅,带宽比较狭小,无法满足两大网络之间的互相访问需求。而网络游戏对网络环境的要求比较高,针对网吧就出现了这样的问题: 使用网通的光纤就无法流畅地玩在电信网络上的游戏;而使用电信的光纤就无法流畅地玩在网通网络上的游戏。
解决上述问题的办法只有分别接入网通和电信双线路,来满足网吧客户对于网游速度的要求。这样双WAN口路由器有了用武之地。网吧使用双WAN口路由器:
首先,减少了设备的投入,简化了网络结构,同时对客户机设置完全透明,客户机系统不需要做任何修改,设备智能分析判断客户机的外网访问请求,自动选择最优化的外网线路出口,使顾客无论玩哪里的网络游戏,或者浏览网站都能获得最佳的速度。
智能选择外网出口的路由设备的技术原理是通过分析比对客户机发出的外网目的IP地址,判断此IP所在的ISP运营商网络,为其数据流选择最佳的外网出口。最终实现访问网通站点只走网通线路,访问网通以外的站点走电信线路的方法,以解决南方电信和北方网通互联互通带来的问题。
网吧是一个大产业、大市场,对于南方的网通来说,如果互联互通这个问题解决了,那么在网吧市场中将能占有一席之地,同时能够拓展到其他的业务中,在激烈的市场竞争取得发展的空间。
其次,双线路接入还可以实现带宽汇聚:接入多条宽带线路,通过负载均衡的方式,满足网吧对于带宽不足的需求。可以根据下面的方式来做负载均衡:
◆根据NAT会话均衡多线路,保证内网用户多线程的应用可以同时使用两条线路的带宽资源;
◆根据带宽比均衡多线路,保证多线路接入带宽不一致的时候,可以按照带宽比例将流量合理的分配到多线路上;
◆根据内网IP(段)均衡多线路,用户可以指定内网的电脑使用指定的线路;
◆根据外网IP(段)均衡多线路,用户可以指定访问某些网站使用指定的线路。上面所说的解决互联互通的问题实际上是采用了这种方式来实现的。
第三,双线路可以相互备份:在某些情况下,主线路会发生断线或停止服务的情况,接入辅助线路做为备份,当主线路出现问题时,自动切换到备份线路,保障网络的不间断,网吧正常营业。做好线路的备份,最重要的前提是如何快速、准确的检测线路的通断和质量。可以通过下面的方式来检测:
◆ICMP检测网关--固定时间间隔向接入线路网关发出ICMP数据包;
◆ICMP检测公网地址:固定时间间隔向公网地址发出ICMP数据包,检测线路通断和质量,适用于接入线路网关禁ping的环境。
◆ARP检测网关:固定时间间隔向接入线路网关发出ARP请求,检测线路通断和质量,适用于接入线路全部禁ping的环境。
◆DNS解析检测:固定时间间隔向公网DNS服务器发出DNS请求,检测线路通断和质量,适用于接入线路不断,运行商对接入时间加以限制的环境。
二、带宽资源管理
在网吧的日常开销中,除了设备折旧、人员工资以外,最大的支出莫过于宽带租用费了。如今互联网的带宽,70%以上被P2P的流量占据,如何在有限的带宽下,提升带宽的利用率,是一个提高网络质量和上座率的关键问题。
目前看到很多网吧业主在发现带宽不够的时候,无法查找引起带宽不足的原因究竟是带宽真的不足了,还是带宽被下载、P2P流量、病毒攻击给占据了,只能盲目的增加带宽,不仅多花了钱,而且往往解决不了问题。
HiPER宽带安全网关提供了强大的带宽监控功能,可以查询物理端口、每个用户的实时和累计上传流量、下载流量,配合上网监控功能,就可以监控到内网是谁在大量使用带宽资源,为什么使用了大量的带宽资源。
同时,HiPER宽带安全网关还有多种带宽管理功能,其中CBT带宽信用管理就是目前所知最有效的控制P2P下载的方法。利用CBT带宽信用管理可以为内网的用户定义一个下载和上传的最高速度和一定的信用,在信用额度内,用户可以自由的上传和下载,超过信用额度而继续使用带宽超过预设值的用户,将以50%为梯度向下降速。这样可以很好的限制P2P下载,从而保障内网其他用户可以公平、有效的使用带宽,而且CBT带宽信用管理几乎没有增加数据包的处理时延,可以保障游戏、语音等对时延非常敏感的应用。
三、维护、诊断管理
如何在快速诊断网吧接入中遇到诸如掉线、卡机等问题,也是困扰着网吧网管的一个很头疼的问题,普通共享设备和软件没有或者只有很少的监控和状态功能,出了问题往往只能重启了事,但是重启后很快又会发生故障。Cisco等厂商的路由器诊断命令倒是多,但是复杂的命令行让很多用户望而却步。
HiPER宽带安全网关很好的解决了这个问题,它既有博大精深的命令行配置、诊断界面,同时也在WEB界面上提供了强大配置、诊断功能,比如说:
◆用户统计:可以查询内网用户IP地址、MAC地址、收发数据包情况,发送广播包情况,并提供经验计算数据作为主机异常发包的诊断依据。
◆NAT统计:可以查询内网用户NAT的使用次数、失败次数、超限次数,以及NAT收发数据包的情况。
◆端口统计:可以查询HiPER宽带安全网关每个端口收发数据包的数量和大小统计,并提供经验计算数据作为内网、外网攻击的诊断依据。
◆系统信息:设备发现内网主机有异常行为,立即记录并且反映出来。
◆上网监控:可以实时查询内网用户访问的地址、端口,以及收发数据包情况。
四、网络安全
网络安全是一个大话题,怎样为用户提供简单、实用的安全服务确是每个网络厂商都该考虑的问题。堆叠数千种的网络安全规则,不仅大多数的用户在配置的时候茫然无从下手,而且很过攻击往往是千载难逢的,加上这些策略不仅影响产品的处理性能,而且也大大提高的产品的价格。
在防火墙上的简单+实用,则是艾泰科技追求的目标。
使用了HiPER宽带安全网关之后,对于来自外网的常见攻击可以直接起到屏蔽作用:
◆IP Fragments校验:检查 IP 碎片,当发现从外网发来企图攻击私有网络的恶意的IP交叠碎片,设备将检查这些数据报并将其丢弃。
◆防止IP 地址欺骗:检查源地址和目的地址是否是合法IP地址。如果发现这个地址是非法或是组播地址,设备将会将数据报丢弃。
◆禁止Ping 响应:不响应所有来自Internet的ICMP扫描。
◆禁止端口扫描。
◆禁止TCP SYN Flooding。
◆禁止ICMP Flooding。
◆禁止UDP Flooding。
对于内部用户的安全管理,HiPER宽带安全网关做得更加细致:
◆IP/MAC地址绑定,实现上网用户黑名单和白名单功能。
◆IP/MAC地址绑定,防止网吧内部最常见的ARP欺骗攻击。
◆专利技术的防止DdoS功能(专利号:200310122858.7)。
◆业务管理,可以为内网用户根据不同时间段设置不同的上网权限。
◆关键字过滤,可以屏蔽内网用户访问一些危险、黄色、下载的网站。
◆Port VLAN虚拟局域网,实现内部多个网络的安全。
◆交换端口实现端口镜像功能,让网吧监控服务器不再需要独立的HUB或者带镜像功能的交换机,消除了网络瓶颈,节约了用户投资。
网友评论