校园网实测网吧路由器之NBR2000篇

3887浏览 / 3回复

ypxh

ypxh

ypxh(ID:ypxh)

ypxh
  • 帖    子:683
  • 精    华:2
  • 粉    丝:0
  • Z 金 豆:0
  • 城    市:
  • 最后登录:2009-07-28
  • 注册时间:2007-04-16
榜眼 榜眼榜眼榜眼

当前经验5023分,升级还需7727

下一等级:状元状元状元状元状元如何升级?

  • 帖子:683
  • 精华:2
  • Z金豆:0
  • 城市:
  • 注册:2007-04-16
  • 登录:2009-07-28

所有帖子>>

发布于 2008-03-18 10:45:51
快速回复 只看楼主 收藏本帖 私信楼主
分享

    众所周知任何网络的设备选型都要遵循适用且适当拔高的原则,一方面避免不必要经费的浪费,另一方面也为日后网络升级留出一定的空间。对于大多数中小企业来说我们一定要从性价比出发选取设备,毕竟企业经费需要精打细算,盲目追求国际品牌产品不太现实。最近笔者拿到了一款网吧级路由器——NBR2000,在实际应用过程中感觉表现不错,下面就请各位看看笔者亲身经历的校园网实测网吧路由器之NBR2000篇吧。

  一,测试环境:

  笔者选择了一所规模适中的中学学校进行测试,因为就个人经验来说规模适中的中学网络结构和广大中小企业网络拓扑非常类似,测试结果更具备说服力。笔者将NBR2000路由器放置在学校外网出口处,负责连接网通光纤链路(光猫)以及学校内部核心交换机。这样NBR2000路由器就肩负着数据转发,路由选择以及数据传输的重要责任。他的表现如何将直接影响学校下连各个客户计算机以及服务器的性能和上网情况。

  另外笔者还要说明一点的是学校网络实际情况往往比中小企业或网吧网络更加麻烦,毕竟学校在网络安全和单机防病毒等方面做的远远不规范,一方面不如中小企业由专业技术人员专职负责管理网络,另一方面也不如普通网吧那样通过多种杀软,还原卡等措施提高安全性。因此笔者选择学校网络进行测试更能够体现NBR2000路由器的优越之处。

  二,产品介绍:

  下面我们就来介绍下本文的主角——NBR2000他的前世今生。RG-NBR2000是锐捷网络公司推出的一款针对大型网吧的千兆接入高性能宽带路由器,带有防病毒、防攻击功能,采用64位高性能Motorola PowerPC 8541 RISC CPU,主频高达833Mhz,缺省256M主频333Mhz的DDR内存,固化带有2个10/100/1000M以太口,1个10/100M快速以太口,所有的接口都可以自动的识别网线和交叉线。支持50万条超大容量的NAT会话数,典型带机数为1000台。(如图1)

  三,外观介绍:

  和大多数路由器类似,我们使用的NBR2000路由器具备WAN接口以及LAN接口,正面面板有两个10/100/1000M快速以太网口以及一个10/100M快速以太网口,支持千兆的接口分别是LAN0口以及WAN0口,而另外一个WAN1口则最高支持百兆。(如图2)

  在主面板上我们还可以看到用于管理的Console端口,还有多个状态指示灯。和传统路由器区别的是NBR2000提供了四个性能指示灯给管理人员,帮助管理者更加直观的了解当前设备的性能和负载,这四个指示灯也在主面板上,依次为“饱和”,“繁忙”,“正常”,“空闲”。在面板上还提供了告警灯,在受到攻击时告警灯亮,轻松知道网络是否受到攻击。另外正面还有一个RESET按钮,该按钮相当于重新启动设备并不会恢复出厂配置信息。在设备的背面则没有什么值得介绍的,背面主要是用于安装的支架以及电源插头。

  四,管理特性:

  NBR2000路由器在管理方面比较灵活,他提供了图形化管理界面以及命令行管理界面。这样对于那些不太熟悉路由器配置命令的网络管理员来说,图形化管理界面的出现极大的方便了他们配置和管理网络。

  (1)连接命令行管理界面:

  连接命令行管理界面方便和传统路由器一样,通过Console线连接一台计算机的COM口以及NBR2000的Console接口,然后通过计算机系统的超级终端登录。具体配置命令我们可以通过“?”来查询,也可以参照帮助手册进行设置,当然笔者发现NBR2000配置命令和常见的Cisco公司产品类似,有过配置Cisco路由器经验的用户更容易上手。(如图3)

  (2)连接图形化管理界面:

  默认情况下NBR2000路由器图形化管理界面访问地址为192.168.1.1,管理员帐号和密码都是admin。我们只需要用普通网线连接其以太端口后在浏览器输入此管理地址即可连接图形化管理界面。(如图4)

  五,Web界面功能展示:

  做任何事情都不要轻易把简单问题复杂化,网络管理也是如此,所以在实际使用过程中我们也应该尽可能的通过图形化管理界面来配置各种参数,毕竟绝大多数命令行界面下可以实现的功能在Web界面中同样可以设置。下面我们来看看Web界面中各个功能如何大显身手帮助我们管理内网。

  (1)快速配置:
  在Web界面中有一个快速配置选项,他相当于一个设置向导帮助我们在最短时间内完成路由器的接口IP,接入信息以及外网接入方式等方面的设置,不过如果你需要高级设置或者安全管理功能的话还需要在执行快速配置后进行具体参数的设置。

  (2)系统监控界面:
  当我们登录到NBR2000设备后能看到两个选项,一个是进入设置界面,另一个则是进入监控界面。监控界面的出现也是NBR2000的特色之一,通过该界面我们可以轻松直观的了解当前NBR2000设备的工作状态,很多时候直接在此界面下就可以发现问题和故障所在。该界面显示包括接口状态,接口信息,IP流量,接口传输统计,各个功能运行状态等。一般来说当我们设置完毕出现问题后第一步要做的就是到此页面来查看故障信息。(如图5)

  (3)接口设置:
  接口设置主要针对LAN0接口(GigabitEthernet 0/0),WAN0接口(GigabitEthernet 0/1)以及WAN1接口(FastEthernet 0/2)信息进行配置,主要是设置他们的地址信息以及WAN口接入类型。WAN接口支持包括ADSL,自动获得IP信息,静态地址等多种方式的接入。整体设置非常简单,只要有过配置家用宽带路由器经验的用户都可以轻松完成。

  (4)端口监控:
  NBR2000路由器可以针对其具体端口进行监控,这样可以更有效的管理网络,及时发现流量异常。监控对象包括所有数据,接收的数据或者发送的数据。(如图6)

   (5)公网模式的引入:

  众所周知大多数路由器配置完毕后都采取了NAT方式来转发数据,所有下连计算机都被保护在内网之中,然而随之产生的问题就是很多应用无法顺利开展,网络传输速度也受到影响。虽然我们可以通过发布DMZ主机的方式来解决,但是DMZ设置往往只针对一台或两台计算机,无法对所有下连客户计算机实现DMZ发布。为了解决此问题在NBR2000中提供了公网模式,如果我们需要让所有客户端计算机处于公网状态下那么只需要到WEB管理界面中的“接口设置->公网模式配置”中修改即可。这样相当于我们做了通告所有下连主机为DMZ主机一样,不过这样修改后虽然很多应用可以使用了,客户端机器上网速度也明显加快,但是客户端不如NAT模式那么有保障了,即使实达NBR2000在公网模式中加入了安全保护功能也不如NAT模式下安全。所以具体是否选择还要由网管三思而后行。如果必须选择公网模式,那么下连服务器和客户端计算机的安全措施要做足。(如图7)

  (6)双线双路选择:

  目前国内网络存在一个现实问题,那就是网通线路与电信线路之间的互相访问速度非常缓慢,所以很多企业或网吧都采用了双线双路接入方式来解决访问网通网络与电信网络的问题。我们使用的NBR2000路由器也具备此功能,我们可以根据实际情况配置不同端口为不同网络线路,让网络访问两者速度都有保障。(如图8)

  (7)网络安全设置:

  NBR2000在网络安全防范方面采取了一些措施,具体包括“防火墙设置”,“病毒检测”,“防攻击”三类。防火墙设置就是针对各个应用添加ACL访问控制功能,当然这些都是在图形化界面完成的,省去了一条条配置命令的麻烦。“病毒检测”则是针对内网络进行扫描,扫描是否存在冲击波或震荡波等通过系统漏洞传播的蠕虫病毒,检测结果将提示可疑PC的IP信息。不过由于该功能只能够扫描冲击波和震荡波病毒,所以个人感觉实际使用上受到的局限。(如图9)

  而在内网外网防攻击方面则比较实用,我们可以针对包括SYN-FLOOD攻击在内的11种危害比较大的攻击进行过滤,还能够智能的将攻击者列入黑名单。(如图10)

   (8)ARP安全让企业网络更塌实:

  ARP欺骗蠕虫病毒是最让企业和学校网络管理员头疼的病毒了,实际使用过程中如果没有额外的防范措施的话,网络中有一台计算机感染了ARP病毒后整个网络的性能都将受到影响,严重的所有计算机均无法访问外部网络。所以在NBR2000路由器中专门针对ARP安全进行了设定,而且这些参数和功能容许我们在WEB管理界面下轻松配置和实现。具体措施包括“免费ARP设置”,“可信任ARP设置”,“ARP表查看”,“ARP欺骗嫌疑主机”。我们将在下面内容中详细讲解这几个功能的具体实际使用效果。

  (9)网络管理更轻松:

  NBR2000提供了多个网络管理功能,包括IP限速,NAT会话数限制,弹性带宽全局设置,流量均衡,游戏带宽保证等。其中IP限速容许我们针对某IP地址的客户端做限制速度操作,从而更好的管理网络,将网络带宽吞噬大户进行封杀。(如图11)

  另外有时企业网络会采取NAT地址转换方式提供接入服务,但是NAT这种方式对于设备的负载要求很高,为了减少NAT对设备性能的过多影响,我们可以针对NAT参数进行设置,包括对其总会话数进行限制,针对IP会话数限制或MAC会话数限制。总之通过这三个参数可以将NAT对设备的负载和性能影响降低到一个合理值。(如图12)

  当现实网络有多条WAN出口时NBR2000还提供了自动流量均衡的功能,我们可以针对报文目的地址或源地址进行负载均衡,从而让网络资源更加合理的分配,也保证了客户端网络访问速度。(如图13)

  (10)设备联动功能:

  NBR2000还提供了设备联动功能,我们可以针对其下连交换机,内网地址等信息设置联动功能。配置交换机联动功能后我们这台路由器将可以统一管理被联动设置的交换机,当然交换机必须也是锐捷公司的。通过联动功能可以让设备更加智能,更加自动化的优化网络应对各种网络攻击。(如图14)

  六,功能性测试一:防内网ARP欺骗

  内网ARP欺骗病毒的泛滥如何解决?NBR2000替我们想到了解决方法,在其WEB管理界面中的ARP安全中有四项参数提供给用户来防范ARP欺骗。首先用户可以通过“免费ARP设置”来设置ARP发送频率以及个数,我们可以设定为NBR2000路由器自身每秒钟发送一个ARP广播包(最高可支持每秒发送100个),这样设置后就可以解决危害性小的ARP欺骗病毒攻击了,ARP欺骗数据包将被此处设置的正确数据包而替代,客户计算机也不会被虚假ARP包欺骗了。(如图15)

  不过笔者在实际使用中发现“免费ARP设置”对于中高级ARP欺骗病毒来说不太有效,因为这类病毒发送ARP虚假包的频率远远高于每秒一个,这时我们能够做的就是提前防患了,通过“可信任ARP设置”将正确信息进行添加,“可信任ARP”能够验证ARP信息的真实性,即使网络中已经ARP欺骗病毒,通过可信任ARP功能一样可以鉴别并接绑定正确的IP/MAC对应关系,不需要进行手工绑定,还可以自动更新绑定。 当然调整正确的ARP数据包发送频率也是可以的,NBR2000支持最快频率为每秒100个ARP广播包。不过如果网络中已经出现了ARP欺骗病毒,那么我们就需要通过“ARP表”功能来手工扫描当前网络的ARP信息了,另外手工设置让MAC地址信息与IP地址的绑定也可以有效解决欺骗问题。(如图16)

  另外NBR2000还提供了“ARP欺骗嫌疑主机的定位功能”,通过该功能可以在一定程度上扫描到问题主机的存在以及其地址信息。笔者在实际使用过程中发现此功能不错,能够快速找到问题严重的主机,但是如果网络内感染ARP欺骗病毒机器过多,则需要我们进行多次反复扫描检测,将感染主机分批分次定位。(如图17)

  总之我们通过NBR2000提供的ARP安全选项下的四大功能,可以有效的解决和处理ARP欺骗病毒在网络中的泛滥,在第一时间发现病毒对其进行隔离。笔者实际测试也验证了此结论,只要合理的设置这四大参数几乎可以百分之百的杜绝ARP病毒在内网的传播。

  七,功能性测试二:带宽管理

  带宽管理方面NBR2000除了提供了上述功能外,还具备两大特性功能。第一是弹性带宽管理,第二是针对网吧的游戏带宽保证。

  前者可以在带宽紧张时适当降低大带宽占用者的带宽,从而保证给每个用户分配的带宽不低于保留带宽,在带宽富余时给每个用户分配的带宽最大可达到设定的最大允许带宽。同时可自行设定弹性带宽的停止条件,停止条件包括带宽利用率限制和最大用户数限制,此功能有效的利用了网络带宽,避免了因为一两个带宽大户而影响其他客户端问题的发生。笔者在实际测试过程中故意在两台计算机上开启了BT下载,开始BT下载速度很快而其他客户机都受到了影响,拖慢了速度,在笔者执行了弹性带宽设置后BT下载者速度降低下来了,而其他用户的访问速度得到了提升。(如图18)

  后者主要是针对游戏流量进行管理,主要在网吧中使用,他容许我们为每个游戏保留固定带宽,并针对实际接口带宽为非游戏流量进行限速。比如我们的带宽是20M,那么可以拿出最低2M给游戏使用,说白了就是网络负载再大也要让游戏流量带宽达到2M,毕竟网吧中游戏流量占据比较大的比重,剩下的18M用于非游戏流量,从而保证了网络游戏的稳定和速度,为游戏保证2M带宽。笔者也查询了下命令行下的显示,通过游戏带宽保证设置后实际上是对NBR2000路由器配置了QOS策略优先转发处理这些游戏报文,从而实现了此功能。(如图19)

  八,实际使用感受:

  笔者在学校实际测试了半个月,下面谈谈个人感受。总体来讲NBR2000路由器有很多让人眼前一亮的功能,这些功能都能够简化我们网络管理工作,特别是在图形化管理界面中轻松设置减少了我们输入一条条烦琐指令并调试的麻烦。NBR2000路由器在网络安全与网络管理方面添加的功能尤为出彩,笔者比较看重他的ARP攻击防范以及带宽管理功能,这些都能够实打实的提升网络性能。在实际使用的半个月时间里学校网络没有出现任何外部连接问题,设备运行一切良好,传输数据比较稳定。曾经出现过一次冗余ADSL线路故障,笔者在凌晨两点拨打了NBR2000技术服务热线电话,当时还有工作人员值班并耐心讲解直到问题解决,这点让笔者大为赞赏,毕竟现在很多服务热线18点后就无人接听了,而NBR2000技术热线电话24小时值班不得不让人钦佩。

  当然任何设备都存在不足,笔者在实际使用中发现NBR2000对ADSL线路支持存在一定问题,不知道是自己的原因还是设备的原因,ADSL线路总是出现时断时续的问题,询问技术支持也没有能够解决。当然这也不排除是自身线路问题造成的。(如图20)

1楼 发表于 2008-05-18 15:10:59
谢谢楼主!

cocowt

cocowt

cocowt(ID:cocowt)

cocowt
  • 帖    子:3
  • 精    华:0
  • 粉    丝:0
  • Z 金 豆:0
  • 城    市:浙江
  • 最后登录:2010-03-12
  • 注册时间:2010-03-12
考生 考生

当前经验4分,升级还需146

下一等级:秀才秀才秀才如何升级?

  • 帖子:3
  • 精华:0
2楼 发表于 2010-03-12 09:49:32

打400电话嘛!打400电话嘛!

gaoshou508

gaoshou508

gaoshou508(ID:gaoshou508)

gaoshou508
  • 帖    子:1
  • 精    华:0
  • 粉    丝:0
  • Z 金 豆:0
  • 城    市:湖南
  • 最后登录:2016-07-13
  • 注册时间:2010-04-18
考生 考生

当前经验22分,升级还需128

下一等级:秀才秀才秀才如何升级?

  • 帖子:1
  • 精华:0
3楼 发表于 2010-04-21 08:46:03


自从互联网开始普及,普通计算机和笔记本电脑的CPU性能就开始进入了高速进化的阶段,从最初的奔腾、赛扬、酷睿双核一直到目前最新的i5、i7系列,可以说是经历了“质”的飞跃。但是,与此相关联的网络设备,尤其是作为内外网数据转发核心的路由器CPU性能,近10年来却没有标志性的变革。为了突破路由器的现有性能水平,CPU的多核化趋势,已成为网络应用和时代发展的双重需求。

网吧,作为互联网上应用环境最为复杂、流量负载最为巨大、网络安全最易受损的典型代表,对路由器的综合性能要求尤为严格。无论从网络数据处理的效能、从网络安全的防御上,还是从应用软件和硬件的扩展性等方面进行考量,多核路由器都已成为网吧行业在当前及未来几年的必然选择。

那么,现代网吧为什么一定需要多核路由器?笔者认为,其必要性主要有以下三点。

一、 多核CPU有助于网吧的综合网络效能N倍提升

从2000年开始,互联网开始逐渐流行起来,但当时网络带宽较窄、数据量不够庞大、网络服务较为单一、网络安全威胁较少。在当时来说,大多数网吧路由器使用的Intel IXP CPU,是比较先进的硬件配置,它完全能处理网吧的那些普通的网络应用与服务。但是,经过了将近10年的发展,网吧时代迎来了大带宽应用普及(高清影视、P2P下载、网络3D游戏)、网络应用丰富化(资讯、数据、视频、语音、“云”)、更多网络安全挑战(病毒木马、ARP及DDOS攻击)等现状,而这些应用需要耗费路由器大量的CPU效能。因此,网吧行业现在使用的Intel IXP路由器CPU,只能勉强“维持生计”,一旦需要扩充更多的应用与服务或遭遇黑客的网络攻击,路由器本身根本无法招架,很可能导致全网崩溃的局面。这种情况,可以说对网吧的未来发展是致命的。

使用多核路由器,是网吧解决这些问题最为有效的途径。以在市场上第一个推出具备多核CPU路由器的侠诺科技为例,在今年1月份它推出了基于MIPS多核CPU的系列新品。其中,魔兽机GQF650就是针对网吧的复杂应用环境而开发的专用机型。它采用了64位MIPS双核处理器,通过在NAT加速模式下进行的测试,其CPU效能在Intel IXP处理器的基础上进行了“三级跳”(如图一),综合效能跨越式的提升了10~20倍。由于效能上升到了全新的高度,这也就意味着网吧更快的网游数据包、高清电影数据包转发,内网数据传输也更加快速,而且路由器可以用多余的效能“养精蓄锐”,轻松自如。

因此,对于大中型的现代网吧来说,具备多核CPU的路由器,它就是优质网络的保证,也是顾客满意的基础。



二、 多核CPU提供的高性能有助于更有效的网络安全防御

在网吧行业初步发展的几年里,针对网吧的网络攻击少有耳闻。但随着网吧“蛋糕”的壮大,基于相关的利益链,专门进行盗号的病毒木马、ARP/DDOS等等网吧攻击行为越来越多,它们已成为网吧经营的“天敌”。面对千变万化层出不穷的安全威胁,路由器不得不花费大量的资源对各种应用的安全深入分析,这也就导致了现有的Intel IXP CPU路由器出现“顾此失彼”的效能短缺病症,不但无法保障正常的应用效能,也会使网吧的网络很容易就掉进一个巨大的安全窟窿。有了多核CPU,这个问题就将迎刃而解。

举个例子。3月中下旬,全国的网吧业界遭遇了一个“死神”:鬼影病毒。它寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒,就象“鬼影”一样在中毒电脑上“阴魂不散”。网吧在感染此病毒后,它会自动盗取用户的网游、网银等帐号,同时也会对网吧内网发动DDOS攻击。由于“鬼影病毒”的攻击包密度非常高,可以说已经超过了普通IntelIXP单核路由器的性能承受极限,如若中了这个病毒,10个网吧中有9个都会全网崩溃,因此全国很多网吧都蒙受了巨大的损失。

但是,在侠诺GQF650的网吧用户中,就不存在这样的问题。由于GQF650装载的是MIPS双核CPU,加上其内置的大容量内存,就使得整个路由器的效能跨越上了一个新台阶。因此,即使鬼影病毒的DDOS攻击频率非常高,但是GQF650的承受力更高,“道高一尺魔高一丈”,加上它的强效防火墙功能,也就不存在网络掉线的问题了!湖南的众多GQF650网吧用户便是如此,而这也让他们颇为惊喜。

三、 多核CPU有助于增强网络的扩展性,提供更多的网吧服务;

将网吧比作一个习武之人,那么CPU就好比人的内功,假如人的内功不够强大,那他就只能练习一些基本的招式,网吧也就只能为顾客提供一些基本的常规应用与服务。但若他具备了深厚的内功,才能练就更加丰富、更加细腻的招式,网吧也才能为顾客提供更多的应用与服务项目(如720P在线电影、远程应用服务等),对网吧本身而言,也能进行更多的管理动作(例如扩展全网监控、深度安全检测等)。

除此之外,一般多核CPU还可能会遭遇是否适用于一般单核软件的问题,例如联机数的分配管理等。以往的程序只供单核CPU执行,但是,真正的多核心CPU,在效率上的发挥,必须植基于多核硬件与多核软件相辅相成,否则单凭多核硬件,效率将无法配合发挥,便会落入“假多核”之名。侠诺的做法是,在推出多核硬件之前,先行研发好与之“般配”的应用软件,不但可使效能高效发挥,同时也更加节省CPU效能,便于扩展更多同步的网吧应用。

效能提升、更加安全、方便扩展的三个优点,决定了多核路由器具有广阔的应用前景。路由器应用技术在不断向前发展,用多核取代单核,就是它向前发展的基础之一,也是互联网不断进化的基础之一。笔者相信,正如当年酷睿双核取代赛扬系列CPU的疯狂程度一样,用多核路由器取代单核路由器,也将迎来一个崭新的时代。
侠诺双核路由器GQF650,为网吧量身打造,有效防御鬼影病毒与DDOS的攻击,性能强劲不容错过!
长沙傲翔网络(QNO侠诺湖南总代理)15802599881 0731-84159882 QQ:714632460

回复本帖:校园网实测网吧路由器…… 高级回复表情
看完了感觉怎样?评论两句再走吧
Ctrl+Enter 快捷发布积分规则

针对ZOL论坛您有任何使用问题和建议 您可以 联系论坛管理员查看帮助  或  给我提意见

http://techbbs.zol.com.cn true http://techbbs.zol.com.cn/1/51_7901.html report 11301     众所周知任何网络的设备选型都要遵循适用且适当拔高的原则,一方面避免不必要经费的浪费,另一方面也为日后网络升级留出一定的空间。对于大多数中小企业来说我们一定要从性价比出发选取设备,毕竟
我的ZOL
免费抽奖

每日大转盘

免费抽奖
上一个 下一个

    回复3| 当前关注:0人