网吧这个新兴的产业,带动了很多业务的发展,网吧路由器作为网吧的关键接入设备,必须要非常适合网吧使用的特点,具体情况如下:
1、规模大,用户多,设备不间断运行;一般的,网吧的机器数量少则一百多台,多则几百台,而运营商给的接入带宽在很多地方都不大,需要精打细算使用。网吧内部使用有游戏,浏览,聊天,视频,下载等。其中游戏的数据包比较小,因此需要比较高的包转发能力。
2、稳定性要求高;网吧是一个商业的运营环境,需要有高的稳定性。
3、线路接入和扩展带宽。由于ADSL接入的带宽局限性,一些地区的网吧需要多个线路接入,所以也需要有负载均衡和线路冗余备份的能力。
4、网络安全要求高;由于每个机器的操作者经常变化,因此,有些攻击是不可避免,接入设备需要有强的抗击打能力,同时还需要数据隔离功能
5、设备的端口镜像能力。根据政府部门的要求,网吧都使用了类似网吧110的系统,需要从网络中捕获数据,而交换机数量多,捕获的可行性比较差,因此,在接入设备上实现端口镜像是简单易用的方法。
6、需要比较强的管理和监控功能。上网者不固定,有问题的时候查找问题,而不是采用频繁重启设备的方式。设备的实时网络管理和监控功能对健康稳定运行非常重要。
一、关键需求分析
在西安地区,网吧用户同时申请了中国电信和中国网通两条宽带接入线路,此时用户希望实现当内网用户访问中国电信的IP范围时,内网流量全部通过电信线路流出;当内网用户访问中国网通的IP范围时,内网流量全部通过网通线路流出,即电信流量走电信线路,网通流量走网通线路。且在其中某条线路发生故障时能快速将发生故障线路上的流量转移到正常的线路上,以保障内网上网的正常进行。拓扑图如下:
二、实现步骤:
1、按照常规设置配置双线路正常上网,主线路为电信线路,备份线路为网通线路。
2、通过搜集中国网通目前所有的IP段范围的方式,在HiPER设备上添加到网通的静态路由,优先级别为60(Hiper设备默认的路由优先级别)。
3、在HiPER设备中设置线路组合方式为线路备份。
三、实现原理:
1、设置好1、2步时,此时内网流量当访问网通IP段的时候全部流向了网通线路。此时当内网流量有访问电信IP段的需求的时候,如果将线路组合方式设置为负载均衡(电信和网通的路由优先级都是60)那么访问电信的流量就好按照负载均衡的方式依次通过电信、网通,再电信、网通的负载均衡方式进行分配。
2、如果将线路组合方式调为线路备份方式,那么此时电信线路的路由优先级为60,网通线路的路由优先级别为61,此前由于加了通向网通地址段的静态路由(优先级为60),那么相当于在HiPER设备存在以下两种路由
(1)、通向网通的静态路由,优先级为60
(2)、通向非网通地址段的路由,优先级为60(因为为线路备份,其他流量不可能走网通线路) ,那么就可以实现访问电信的流量走电信线路,访问网通的流量走网通线路。
四、方案实施
测试环境:
用户申请两条固定IP线路接入Internet,一条电信线路,一条网通线路。如下:
主线路:电信线路:
IP地址:218.1.1.2
网关:218.1.1.1
子网掩码:255.255.255.0
备份线路:网通线路:
IP地址:221.1.1.2
网关:221.1.1.1
子网掩码:255.255.255.0
五、配置步骤:
1、设置主线路,在HiPER设备WEBUI-基本配置-ISP配置
2、设置备份线路,在HiPER设备WEBUI-基本配置-ISP配置
3、使用网通路由生成软件自动生成网通静态路由(软件可以联系艾泰科技客户服务部获得),其中eth2表示WAN口,eth3表示WAN2(DMZ),PPPOE、PPOE、PPPOE1均表示虚拟拨号连接。点击“生成路由配置”后将会跳出一记事本文件,自动生成了到网通静态路由的配置。选中所生成的全部静态路由配置,复制到粘贴板上。
4、使用命令行模式(telnet)或者串行口方式,进入HiPER设备的命令行模式,在出现的hiper%后粘贴刚才复制的所有静态路由配置。粘贴完毕后输入write回车保存配置。
5、进入WEBUI配置界面,依次进入 基本配置-线路组合,修改线路组合方式为线路备份。
六、测试案例
1、西安某网吧原来使用其他厂商路由器设备,采用双线路接入,其面临如下问题。
(1)、其遇到大量的外网攻击(网吧内部测试模拟外网攻击)的时此设备出现线路中断,无法正常使用的现象。
(2)、其中某条线路发生中断时,无法进行线路切换。
2、换上海艾泰科技有限公司的VPN安全网关设备HiPER 4520VF后,在4520VF进行如下配置
(1)、置HiPER 4520VF VPN安全网关为双线路接入。
(2)、HiPER 4520VF VPN安全网关配置封除常见病毒端口的策略,封掉的端口为 135、137、139、445、1025、5554、9996、1433。
3、相同的环境下对HiPER 4520VF VPN安全网关进行模拟外网攻击测试,发现其在承受原路由器无法工作时3倍的数据量时,仍能够稳健的正常运行,内网上网用户未感觉明显异常。
4、某条线路发生故障时,HiPER 4520VF VPN安全网关能在较短的时间内进行线路切换,以保障内网正常上网。
5、在西安某网吧中稳定运行一个月,未出现重大断网故障。