校园网实测网吧路由器之NBR2000篇

【IT168 专稿】众所周知任何网络的设备选型都要遵循适用且适当拔高的原则，一方面避免不必要经费的浪费，另一方面也为日后网络升级留出一定的空间。对于大多数中小企业来说我们一定要从性价比出发选取设备，毕竟企业经费需要精打细算，盲目追求国际品牌产品不太现实。最近笔者拿到了一款网吧级路由器——NBR2000，在实际应用过程中感觉表现不错，下面就请各位看看笔者亲身经历的校园网实测网吧路由器之NBR2000篇吧。
　　一，测试环境：
　　笔者选择了一所规模适中的中学学校进行测试，因为就个人经验来说规模适中的中学网络结构和广大中小企业网络拓扑非常类似，测试结果更具备说服力。笔者将NBR2000路由器放置在学校外网出口处，负责连接网通光纤链路（光猫）以及学校内部核心交换机。这样NBR2000路由器就肩负着数据转发，路由选择以及数据传输的重要责任。他的表现如何将直接影响学校下连各个客户计算机以及服务器的性能和上网情况。 

另外笔者还要说明一点的是学校网络实际情况往往比中小企业或网吧网络更加麻烦，毕竟学校在网络安全和单机防病毒等方面做的远远不规范，一方面不如中小企业由专业技术人员专职负责管理网络，另一方面也不如普通网吧那样通过多种杀软，还原卡等措施提高安全性。因此笔者选择学校网络进行测试更能够体现NBR2000路由器的优越之处。
　　二，产品介绍：
　　下面我们就来介绍下本文的主角——NBR2000他的前世今生。RG-NBR2000是锐捷网络公司推出的一款针对大型网吧的千兆接入高性能宽带路由器，带有防病毒、防攻击功能，采用64位高性能Motorola PowerPC 8541 RISC CPU，主频高达833Mhz，缺省256M主频333Mhz的DDR内存，固化带有2个10/100/1000M以太口，1个10/100M快速以太口，所有的接口都可以自动的识别网线和交叉线。支持50万条超大容量的NAT会话数，典型带机数为1000台。（如图1） 

三，外观介绍：
　　和大多数路由器类似，我们使用的NBR2000路由器具备WAN接口以及LAN接口，正面面板有两个10/100/1000M快速以太网口以及一个10/100M快速以太网口，支持千兆的接口分别是LAN0口以及WAN0口，而另外一个WAN1口则上限支持百兆。（如图2） 

在主面板上我们还可以看到用于管理的Console端口，还有多个状态指示灯。和传统路由器区别的是NBR2000提供了四个性能指示灯给管理人员，帮助管理者更加直观的了解当前设备的性能和负载，这四个指示灯也在主面板上，依次为“饱和”，“繁忙”，“正常”，“空闲”。在面板上还提供了告警灯，在受到攻击时告警灯亮，轻松知道网络是否受到攻击。另外正面还有一个RESET按钮，该按钮相当于重新启动设备并不会恢复出厂配置信息。在设备的背面则没有什么值得介绍的，背面主要是用于安装的支架以及电源插头。
四，管理特性：
　　NBR2000路由器在管理方面比较灵活，他提供了图形化管理界面以及命令行管理界面。这样对于那些不太熟悉路由器配置命令的网络管理员来说，图形化管理界面的出现极大的方便了他们配置和管理网络。
　　（1）连接命令行管理界面：
　　连接命令行管理界面方便和传统路由器一样，通过Console线连接一台计算机的COM口以及NBR2000的Console接口，然后通过计算机系统的超级终端登录。具体配置命令我们可以通过“？”来查询，也可以参照帮助手册进行设置，当然笔者发现NBR2000配置命令和常见的Cisco公司产品类似，有过配置Cisco路由器经验的用户更容易上手。（如图3）

（2）连接图形化管理界面：
　　默认情况下NBR2000路由器图形化管理界面访问地址为192.168.1.1，管理员帐号和密码都是admin。我们只需要用普通网线连接其以太端口后在浏览器输入此管理地址即可连接图形化管理界面。（如图4）

五，Web界面功能展示：
　　做任何事情都不要轻易把简单问题复杂化，网络管理也是如此，所以在实际使用过程中我们也应该尽可能的通过图形化管理界面来配置各种参数，毕竟绝大多数命令行界面下可以实现的功能在Web界面中同样可以设置。下面我们来看看Web界面中各个功能如何大显身手帮助我们管理内网。
　　（1）快速配置：
　　在Web界面中有一个快速配置选项，他相当于一个设置向导帮助我们在短时间内完成路由器的接口IP，接入信息以及外网接入方式等方面的设置，不过如果你需要高级设置或者安全管理功能的话还需要在执行快速配置后进行具体参数的设置。
　　（2）系统监控界面：
　　当我们登录到NBR2000设备后能看到两个选项，一个是进入设置界面，另一个则是进入监控界面。监控界面的出现也是NBR2000的特色之一，通过该界面我们可以轻松直观的了解当前NBR2000设备的工作状态，很多时候直接在此界面下就可以发现问题和故障所在。该界面显示包括接口状态，接口信息，IP流量，接口传输统计，各个功能运行状态等。一般来说当我们设置完毕出现问题后第一步要做的就是到此页面来查看故障信息。（如图5）

（3）接口设置：
　　接口设置主要针对LAN0接口（GigabitEthernet 0/0），WAN0接口（GigabitEthernet 0/1）以及WAN1接口（FastEthernet 0/2）信息进行配置，主要是设置他们的地址信息以及WAN口接入类型。WAN接口支持包括ADSL，自动获得IP信息，静态地址等多种方式的接入。整体设置非常简单，只要有过配置家用宽带路由器经验的用户都可以轻松完成。
　　（4）端口监控：
　　NBR2000路由器可以针对其具体端口进行监控，这样可以更有效的管理网络，及时发现流量异常。监控对象包括所有数据，接收的数据或者发送的数据。（如图6）

（5）公网模式的引入：
　　众所周知大多数路由器配置完毕后都采取了NAT方式来转发数据，所有下连计算机都被保护在内网之中，然而随之产生的问题就是很多应用无法顺利开展，网络传输速度也受到影响。虽然我们可以通过发布DMZ主机的方式来解决，但是DMZ设置往往只针对一台或两台计算机，无法对所有下连客户计算机实现DMZ发布。为了解决此问题在NBR2000中提供了公网模式，如果我们需要让所有客户端计算机处于公网状态下那么只需要到WEB管理界面中的“接口设置->公网模式配置”中修改即可。这样相当于我们做了通告所有下连主机为DMZ主机一样，不过这样修改后虽然很多应用可以使用了，客户端机器上网速度也明显加快，但是客户端不如NAT模式那么有保障了，即使实达NBR2000在公网模式中加入了安全保护功能也不如NAT模式下安全。所以具体是否选择还要由网管三思而后行。如果必须选择公网模式，那么下连服务器和客户端计算机的安全措施要做足。（如图7）

（6）双线双路选择：
　　目前国内网络存在一个现实问题，那就是网通线路与电信线路之间的互相访问速度非常缓慢，所以很多企业或网吧都采用了双线双路接入方式来解决访问网通网络与电信网络的问题。我们使用的NBR2000路由器也具备此功能，我们可以根据实际情况配置不同端口为不同网络线路，让网络访问两者速度都有保障。（如图8）

（7）网络安全设置：
　　NBR2000在网络安全防范方面采取了一些措施，具体包括“防火墙设置”，“病毒检测”，“防攻击”三类。防火墙设置就是针对各个应用添加ACL访问控制功能，当然这些都是在图形化界面完成的，省去了一条条配置命令的麻烦。“病毒检测”则是针对内网络进行扫描，扫描是否存在冲击波或震荡波等通过系统漏洞传播的蠕虫病毒，检测结果将提示可疑PC的IP信息。不过由于该功能只能够扫描冲击波和震荡波病毒，所以个人感觉实际使用上受到的局限。（如图9） 

而在内网外网防攻击方面则比较实用，我们可以针对包括SYN-FLOOD攻击在内的11种危害比较大的攻击进行过滤，还能够智能的将攻击者列入黑名单。（如图10） 

（8）ARP安全让企业网络更塌实：
　　ARP欺骗蠕虫病毒是最让企业和学校网络管理员头疼的病毒了，实际使用过程中如果没有额外的防范措施的话，网络中有一台计算机感染了ARP病毒后整个网络的性能都将受到影响，严重的所有计算机均无法访问外部网络。所以在NBR2000路由器中专门针对ARP安全进行了设定，而且这些参数和功能容许我们在WEB管理界面下轻松配置和实现。具体措施包括“免费ARP设置”，“可信任ARP设置”，“ARP表查看”，“ARP欺骗嫌疑主机”。我们将在下面内容中详细讲解这几个功能的具体实际使用效果。
　　（9）网络管理更轻松：
　　NBR2000提供了多个网络管理功能，包括IP限速，NAT会话数限制，弹性带宽全局设置，流量均衡，游戏带宽保证等。其中IP限速容许我们针对某IP地址的客户端做限制速度操作，从而更好的管理网络，将网络带宽吞噬大户进行封杀。（如图11） 

另外有时企业网络会采取NAT地址转换方式提供接入服务，但是NAT这种方式对于设备的负载要求很高，为了减少NAT对设备性能的过多影响，我们可以针对NAT参数进行设置，包括对其总会话数进行限制，针对IP会话数限制或MAC会话数限制。总之通过这三个参数可以将NAT对设备的负载和性能影响降低到一个合理值。（如图12） 

当现实网络有多条WAN出口时NBR2000还提供了自动流量均衡的功能，我们可以针对报文目的地址或源地址进行负载均衡，从而让网络资源更加合理的分配，也保证了客户端网络访问速度。（如图13） 

（10）设备联动功能：
　　NBR2000还提供了设备联动功能，我们可以针对其下连交换机，内网地址等信息设置联动功能。配置交换机联动功能后我们这台路由器将可以统一管理被联动设置的交换机，当然交换机必须也是锐捷公司的。通过联动功能可以让设备更加智能，更加自动化的优化网络应对各种网络攻击。（如图14） 

六，功能性测试一：防内网ARP欺骗
　　内网ARP欺骗病毒的泛滥如何解决？NBR2000替我们想到了解决方法，在其WEB管理界面中的ARP安全中有四项参数提供给用户来防范ARP欺骗。首先用户可以通过“免费ARP设置”来设置ARP发送频率以及个数，我们可以设定为NBR2000路由器自身每秒钟发送一个ARP广播包（上限可支持每秒发送100个），这样设置后就可以解决危害性小的ARP欺骗病毒攻击了，ARP欺骗数据包将被此处设置的正确数据包而替代，客户计算机也不会被虚假ARP包欺骗了。（如图15） 

不过笔者在实际使用中发现“免费ARP设置”对于中高级ARP欺骗病毒来说不太有效，因为这类病毒发送ARP虚假包的频率远远高于每秒一个，这时我们能够做的就是提前防患了，通过“可信任ARP设置”将正确信息进行添加，“可信任ARP”能够验证ARP信息的真实性，即使网络中已经ARP欺骗病毒，通过可信任ARP功能一样可以鉴别并接绑定正确的IP/MAC对应关系，不需要进行手工绑定，还可以自动更新绑定。 当然调整正确的ARP数据包发送频率也是可以的，NBR2000支持上限频率为每秒100个ARP广播包。不过如果网络中已经出现了ARP欺骗病毒，那么我们就需要通过“ARP表”功能来手工扫描当前网络的ARP信息了，另外手工设置让MAC地址信息与IP地址的绑定也可以有效解决欺骗问题。（如图16） 

另外NBR2000还提供了“ARP欺骗嫌疑主机的定位功能”，通过该功能可以在一定程度上扫描到问题主机的存在以及其地址信息。笔者在实际使用过程中发现此功能不错，能够快速找到问题严重的主机，但是如果网络内感染ARP欺骗病毒机器过多，则需要我们进行多次反复扫描检测，将感染主机分批分次定位。（如图17） 

总之我们通过NBR2000提供的ARP安全选项下的四大功能，可以有效的解决和处理ARP欺骗病毒在网络中的泛滥，在第一时间发现病毒对其进行隔离。笔者实际测试也验证了此结论，只要合理的设置这四大参数几乎可以百分之百的杜绝ARP病毒在内网的传播。 

七，功能性测试二：带宽管理 

带宽管理方面NBR2000除了提供了上述功能外，还具备两大特性功能。第一是弹性带宽管理，第二是针对网吧的游戏带宽保证。 

前者可以在带宽紧张时适当降低大带宽占用者的带宽，从而保证给每个用户分配的带宽不低于保留带宽，在带宽富余时给每个用户分配的带宽上限可达到设定的上限允许带宽。同时可自行设定弹性带宽的停止条件，停止条件包括带宽利用率限制和用户数限制，此功能有效的利用了网络带宽，避免了因为一两个带宽大户而影响其他客户端问题的发生。笔者在实际测试过程中故意在两台计算机上开启了BT下载，开始BT下载速度很快而其他客户机都受到了影响，拖慢了速度，在笔者执行了弹性带宽设置后BT下载者速度降低下来了，而其他用户的访问速度得到了提升。（如图18） 

后者主要是针对游戏流量进行管理，主要在网吧中使用，他容许我们为每个游戏保留固定带宽，并针对实际接口带宽为非游戏流量进行限速。比如我们的带宽是20M，那么可以拿出下限2M给游戏使用，说白了就是网络负载再大也要让游戏流量带宽达到2M，毕竟网吧中游戏流量占据比较大的比重，剩下的18M用于非游戏流量，从而保证了网络游戏的稳定和速度，为游戏保证2M带宽。笔者也查询了下命令行下的显示，通过游戏带宽保证设置后实际上是对NBR2000路由器配置了QOS策略优先转发处理这些游戏报文，从而实现了此功能。（如图19） 

八，实际使用感受：
　　笔者在学校实际测试了半个月，下面谈谈个人感受。总体来讲NBR2000路由器有很多让人眼前一亮的功能，这些功能都能够简化我们网络管理工作，特别是在图形化管理界面中轻松设置减少了我们输入一条条烦琐指令并调试的麻烦。NBR2000路由器在网络安全与网络管理方面添加的功能尤为出彩，笔者比较看重他的ARP攻击防范以及带宽管理功能，这些都能够实打实的提升网络性能。在实际使用的半个月时间里学校网络没有出现任何外部连接问题，设备运行一切良好，传输数据比较稳定。曾经出现过一次冗余ADSL线路故障，笔者在凌晨两点拨打了NBR2000技术服务热线电话，当时还有工作人员值班并耐心讲解直到问题解决，这点让笔者大为赞赏，毕竟现在很多服务热线18点后就无人接听了，而NBR2000技术热线电话24小时值班不得不让人钦佩。
　　当然任何设备都存在不足，笔者在实际使用中发现NBR2000对ADSL线路支持存在一定问题，不知道是自己的原因还是设备的原因，ADSL线路总是出现时断时续的问题，询问技术支持也没有能够解决。当然这也不排除是自身线路问题造成的。（如图20）