论文部分内容阅读
路由器(Router)是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号的设备。路由器是互联网络的枢纽、“交通警察”。目前路由器已经广泛应用于各行各业,各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由和交换之间的主要区别就是交换发生在OSI参考模型第二层(数据链路层),而路由发生在第三层,即网络层。这一区别决定了路由和交换在移动信息的过程中需使用不同的控制信息,所以两者实现各自功能的方式是不同的。路由器是互联网的主要结点设备。路由器通过路由决定数据的转发。转发策略称为路由选择(routing),这也是路由器名称的由来(router,转发者)。作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络,也可以说,路由器构成了Internet的骨架。它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互连的质量。因此,在校园网、乃至整个Internet研究领域中,路由器技术始终处于核心地位。随着学校信息化水平的不断提高,以及不少地方教育城域网的建设,校园网对于路由器的要求越来越高。
我发现在校园内电脑总数超过100台以后,以前一直正常使用的路由器就频繁地出现问题,表现是几乎每天都要断线,重启路由后只能短时间内正常使用。应该是学校原来使用的家用级路由带机数超过了本身的能力,以及内网ARP攻击造成的。
校园网内当时的网络环境是:教学用电脑50台,办公电脑10台,教师家用电脑50台。几个月后,新综合楼和教师周转房建好后教学用电脑要增加到150台,教师家用电脑要增加到100台以上。校园网内电脑不仅是数量多,构成也比一般单纯的办公网、教学网、网吧等网络情况要复杂得多。多种用途的电脑在一个局域网内,不少的电脑使用BT,迅雷等软件下载占用过多的网络资源。大部分教师对电脑知识了解不多,只是会简单的使用,不会维护,电脑易中病毒。网络使用中速度慢,断线,被ARP攻击等问题经常发生。由此分析新的路由器应该具有以下功能:负载能力大,能够承受300台以上电脑大流量的使用;能够实现对校园网内每台电脑的限速;能够简便地实现防止局域网内ARP病毒的破坏。在电脑市场上询问后发现,只有专业级的路由能满足这些要求,但是售价是在几千元以上。这个价格是学校不能接受的。唯一的办法就只能采用软路由的方案解决问题。
所謂硬路由就是以特用的硬设备,包括处理器、电源供应、嵌入式软件,提供设定的路由器功能。硬路由的做法为配置专用机,像PC机一样,硬路由器包括电源、内部总线、主存、闪存、处理器和操作系统等,专为路由功能而设计,成本较低。路由器中的软件都是深嵌入到硬件中,包括对各种器件驱动的优化,不同体系cpu的不同优化策略等等,这个软件不是应用软件,而是系统软件,和硬件不能分开的。
由于架构设计考虑了长时间运作,所以稳定性有更高保证,再加上重要的功能大部份都已在内置系统设计中完成,所以人工管理设定的地方非常少,可节省技术或网络管理人员的时间。但相对的,如果某一款硬件规格不强大,扩充性不宽,因此将有可能无法满足需求。尤其是需要加进持别功能时,如果厂商没有提供,那么技术或网络管理人员也无法解决。
软路由就是台式机或服务器配合软件形成路由解决方案,主要靠软件的设置,达成路由器的功能。软路由的好处有很多,如使用便宜的台式机,配合免费的Linux软件,软路由弹性较大,而且台式机处理器性能强大,所以处理效能不错,也较容易扩充。但对应地也要求技术人员许掌握更多的例如设置方法、参数设计等专业知识,同时设定也比较复杂,而且需技术人员具备一定应变技术能力。同时台式机的硬件配置如果选择不好或不合理长期工作,故障的机率将很高。
通过在网上查找相关的资料后,在几种软路由软件中选择MikroTik RouterOS (简称为ROS)作为学校的路由解决方案。MikroTik RouterOS基于路由、PPPoE认证、Web认证、流量控制、Web-proxy、专业无线 等于一身,可以根据需要增加或删除相应的功能。选择ROS主要看中了ROS能够方便的实现PPPoE认证,准备利用PPPoE认证来防止ARP攻击和对网内计算机上网进行限速。
一般路由只能用IP和MAC地址双向绑定来防止内网ARP攻击。要在路由上绑定所有网内电脑的MAC地址,又要在所有网内电脑上绑定MAC地址。一但校园网内有电脑增加或者更换网卡都要进行操作,非常麻烦。并且路由要不断进行ARP广播,造成网络中大量传递无效数据从而降低网络效率。而利用PPPoE协议拨号上网,直接绕过ARP协议一劳永逸地解决所有的ARP问题。
软路由对硬件性能的要求很低。我们是使用早些年学校淘汰的旧电脑,CPU是赛扬1.7G,内存256M,主板是品牌机用的INTER845芯片的主板(普通路由一般CPU 1~200MHz,内存才几M)。网卡对于软路由来说是最重要的,学校有很多Realtek瑞昱系列的网卡,MikroTik RouterOS 软路由也支持,但是从性能上考虑选择了新购买INTER82559芯片的百兆网卡。没选择千兆网卡是因为校园网出口带宽是50M,校园网内也全是百兆的交换机,INTER82559芯片的网卡传输能力能达到百兆网络的极限,高负载下比Realtek8139的表现好得多。因为机械硬盘长时间工作容易出现故障,存储系统是采用64M CF卡 CF to IDE转接卡。全套ROS软路由共花费100多元,用于购买两张INTER82559网卡、CF to IDE转接卡,其它都是已有的闲置电脑上的零件。
从网上下载RouterOS的安装镜像,刻录好光盘。按网上的教程进行安装,并设置好PPPoE服务。给学生机和教师家用的电脑分别设置两个用户名,两个用户名对应的带宽不同。学生机上由网管人员手动设置好PPPoE拨号并设成开机自动运行。教师家用的电脑则告诉他们用户名和密码由教师自己回家设置。一般来说家用的电脑桌面上都有宽带连接的快捷方式,只要填入用户名和密码就可以拨号上网。打开主板BIOS中通电自动开机功能后,平时路由不用任何维护。几年来只是在一次雷雨后打雷损坏了网卡,更换网卡后路由就恢复了正常,要在以前就只能换整个路由器了。
使用软路由后,从根本上解决ARP病毒的困扰,网络正常运行也得到了保障。当然,其他网管也许有更好的解决方法,写这篇文章也只是抛砖引玉,希望我们每位网管都能将自己的心得拿出来与大家共同分享,以便更加出色地维护好学校网络,让教育城域网功能得到最大化的发挥。
我发现在校园内电脑总数超过100台以后,以前一直正常使用的路由器就频繁地出现问题,表现是几乎每天都要断线,重启路由后只能短时间内正常使用。应该是学校原来使用的家用级路由带机数超过了本身的能力,以及内网ARP攻击造成的。
校园网内当时的网络环境是:教学用电脑50台,办公电脑10台,教师家用电脑50台。几个月后,新综合楼和教师周转房建好后教学用电脑要增加到150台,教师家用电脑要增加到100台以上。校园网内电脑不仅是数量多,构成也比一般单纯的办公网、教学网、网吧等网络情况要复杂得多。多种用途的电脑在一个局域网内,不少的电脑使用BT,迅雷等软件下载占用过多的网络资源。大部分教师对电脑知识了解不多,只是会简单的使用,不会维护,电脑易中病毒。网络使用中速度慢,断线,被ARP攻击等问题经常发生。由此分析新的路由器应该具有以下功能:负载能力大,能够承受300台以上电脑大流量的使用;能够实现对校园网内每台电脑的限速;能够简便地实现防止局域网内ARP病毒的破坏。在电脑市场上询问后发现,只有专业级的路由能满足这些要求,但是售价是在几千元以上。这个价格是学校不能接受的。唯一的办法就只能采用软路由的方案解决问题。
所謂硬路由就是以特用的硬设备,包括处理器、电源供应、嵌入式软件,提供设定的路由器功能。硬路由的做法为配置专用机,像PC机一样,硬路由器包括电源、内部总线、主存、闪存、处理器和操作系统等,专为路由功能而设计,成本较低。路由器中的软件都是深嵌入到硬件中,包括对各种器件驱动的优化,不同体系cpu的不同优化策略等等,这个软件不是应用软件,而是系统软件,和硬件不能分开的。
由于架构设计考虑了长时间运作,所以稳定性有更高保证,再加上重要的功能大部份都已在内置系统设计中完成,所以人工管理设定的地方非常少,可节省技术或网络管理人员的时间。但相对的,如果某一款硬件规格不强大,扩充性不宽,因此将有可能无法满足需求。尤其是需要加进持别功能时,如果厂商没有提供,那么技术或网络管理人员也无法解决。
软路由就是台式机或服务器配合软件形成路由解决方案,主要靠软件的设置,达成路由器的功能。软路由的好处有很多,如使用便宜的台式机,配合免费的Linux软件,软路由弹性较大,而且台式机处理器性能强大,所以处理效能不错,也较容易扩充。但对应地也要求技术人员许掌握更多的例如设置方法、参数设计等专业知识,同时设定也比较复杂,而且需技术人员具备一定应变技术能力。同时台式机的硬件配置如果选择不好或不合理长期工作,故障的机率将很高。
通过在网上查找相关的资料后,在几种软路由软件中选择MikroTik RouterOS (简称为ROS)作为学校的路由解决方案。MikroTik RouterOS基于路由、PPPoE认证、Web认证、流量控制、Web-proxy、专业无线 等于一身,可以根据需要增加或删除相应的功能。选择ROS主要看中了ROS能够方便的实现PPPoE认证,准备利用PPPoE认证来防止ARP攻击和对网内计算机上网进行限速。
一般路由只能用IP和MAC地址双向绑定来防止内网ARP攻击。要在路由上绑定所有网内电脑的MAC地址,又要在所有网内电脑上绑定MAC地址。一但校园网内有电脑增加或者更换网卡都要进行操作,非常麻烦。并且路由要不断进行ARP广播,造成网络中大量传递无效数据从而降低网络效率。而利用PPPoE协议拨号上网,直接绕过ARP协议一劳永逸地解决所有的ARP问题。
软路由对硬件性能的要求很低。我们是使用早些年学校淘汰的旧电脑,CPU是赛扬1.7G,内存256M,主板是品牌机用的INTER845芯片的主板(普通路由一般CPU 1~200MHz,内存才几M)。网卡对于软路由来说是最重要的,学校有很多Realtek瑞昱系列的网卡,MikroTik RouterOS 软路由也支持,但是从性能上考虑选择了新购买INTER82559芯片的百兆网卡。没选择千兆网卡是因为校园网出口带宽是50M,校园网内也全是百兆的交换机,INTER82559芯片的网卡传输能力能达到百兆网络的极限,高负载下比Realtek8139的表现好得多。因为机械硬盘长时间工作容易出现故障,存储系统是采用64M CF卡 CF to IDE转接卡。全套ROS软路由共花费100多元,用于购买两张INTER82559网卡、CF to IDE转接卡,其它都是已有的闲置电脑上的零件。
从网上下载RouterOS的安装镜像,刻录好光盘。按网上的教程进行安装,并设置好PPPoE服务。给学生机和教师家用的电脑分别设置两个用户名,两个用户名对应的带宽不同。学生机上由网管人员手动设置好PPPoE拨号并设成开机自动运行。教师家用的电脑则告诉他们用户名和密码由教师自己回家设置。一般来说家用的电脑桌面上都有宽带连接的快捷方式,只要填入用户名和密码就可以拨号上网。打开主板BIOS中通电自动开机功能后,平时路由不用任何维护。几年来只是在一次雷雨后打雷损坏了网卡,更换网卡后路由就恢复了正常,要在以前就只能换整个路由器了。
使用软路由后,从根本上解决ARP病毒的困扰,网络正常运行也得到了保障。当然,其他网管也许有更好的解决方法,写这篇文章也只是抛砖引玉,希望我们每位网管都能将自己的心得拿出来与大家共同分享,以便更加出色地维护好学校网络,让教育城域网功能得到最大化的发挥。