【IT168 專稿】眾所周知任何網(wǎng)絡(luò)的設(shè)備選型都要遵循適用且適當(dāng)拔高的原則，一方面避免不必要經(jīng)費的浪費，另一方面也為日后網(wǎng)絡(luò)升級留出一定的空間。對于大多數(shù)中小企業(yè)來說我們一定要從性價比出發(fā)選取設(shè)備，畢竟企業(yè)經(jīng)費需要精打細(xì)算，盲目追求國際品牌產(chǎn)品不太現(xiàn)實。最近筆者拿到了一款網(wǎng)吧級路由器——NBR2000，在實際應(yīng)用過程中感覺表現(xiàn)不錯，下面就請各位看看筆者親身經(jīng)歷的校園網(wǎng)實測網(wǎng)吧路由器之NBR2000篇吧。
　　一，測試環(huán)境：
　　筆者選擇了一所規(guī)模適中的中學(xué)學(xué)校進行測試，因為就個人經(jīng)驗來說規(guī)模適中的中學(xué)網(wǎng)絡(luò)結(jié)構(gòu)和廣大中小企業(yè)網(wǎng)絡(luò)拓?fù)浞浅ｎ愃疲瑴y試結(jié)果更具備說服力。筆者將NBR2000路由器放置在學(xué)校外網(wǎng)出口處，負(fù)責(zé)連接網(wǎng)通光纖鏈路（光貓）以及學(xué)校內(nèi)部核心交換機。這樣NBR2000路由器就肩負(fù)著數(shù)據(jù)轉(zhuǎn)發(fā)，路由選擇以及數(shù)據(jù)傳輸?shù)闹匾?zé)任。他的表現(xiàn)如何將直接影響學(xué)校下連各個客戶計算機以及服務(wù)器的性能和上網(wǎng)情況。 

另外筆者還要說明一點的是學(xué)校網(wǎng)絡(luò)實際情況往往比中小企業(yè)或網(wǎng)吧網(wǎng)絡(luò)更加麻煩，畢竟學(xué)校在網(wǎng)絡(luò)安全和單機防病毒等方面做的遠(yuǎn)遠(yuǎn)不規(guī)范，一方面不如中小企業(yè)由專業(yè)技術(shù)人員專職負(fù)責(zé)管理網(wǎng)絡(luò)，另一方面也不如普通網(wǎng)吧那樣通過多種殺軟，還原卡等措施提高安全性。因此筆者選擇學(xué)校網(wǎng)絡(luò)進行測試更能夠體現(xiàn)NBR2000路由器的優(yōu)越之處。
　　二，產(chǎn)品介紹：
　　下面我們就來介紹下本文的主角——NBR2000他的前世今生。RG-NBR2000是銳捷網(wǎng)絡(luò)公司推出的一款針對大型網(wǎng)吧的千兆接入高性能寬帶路由器，帶有防病毒、防攻擊功能，采用64位高性能Motorola PowerPC 8541 RISC CPU，主頻高達833Mhz，缺省256M主頻333Mhz的DDR內(nèi)存，固化帶有2個10/100/1000M以太口，1個10/100M快速以太口，所有的接口都可以自動的識別網(wǎng)線和交叉線。支持50萬條超大容量的NAT會話數(shù)，典型帶機數(shù)為1000臺。（如圖1） 

三，外觀介紹：
　　和大多數(shù)路由器類似，我們使用的NBR2000路由器具備WAN接口以及LAN接口，正面面板有兩個10/100/1000M快速以太網(wǎng)口以及一個10/100M快速以太網(wǎng)口，支持千兆的接口分別是LAN0口以及WAN0口，而另外一個WAN1口則上限支持百兆。（如圖2） 

在主面板上我們還可以看到用于管理的Console端口，還有多個狀態(tài)指示燈。和傳統(tǒng)路由器區(qū)別的是NBR2000提供了四個性能指示燈給管理人員，幫助管理者更加直觀的了解當(dāng)前設(shè)備的性能和負(fù)載，這四個指示燈也在主面板上，依次為“飽和”，“繁忙”，“正常”，“空閑”。在面板上還提供了告警燈，在受到攻擊時告警燈亮，輕松知道網(wǎng)絡(luò)是否受到攻擊。另外正面還有一個RESET按鈕，該按鈕相當(dāng)于重新啟動設(shè)備并不會恢復(fù)出廠配置信息。在設(shè)備的背面則沒有什么值得介紹的，背面主要是用于安裝的支架以及電源插頭。
四，管理特性：
　　NBR2000路由器在管理方面比較靈活，他提供了圖形化管理界面以及命令行管理界面。這樣對于那些不太熟悉路由器配置命令的網(wǎng)絡(luò)管理員來說，圖形化管理界面的出現(xiàn)極大的方便了他們配置和管理網(wǎng)絡(luò)。
　　（1）連接命令行管理界面：
　　連接命令行管理界面方便和傳統(tǒng)路由器一樣，通過Console線連接一臺計算機的COM口以及NBR2000的Console接口，然后通過計算機系統(tǒng)的超級終端登錄。具體配置命令我們可以通過“？”來查詢，也可以參照幫助手冊進行設(shè)置，當(dāng)然筆者發(fā)現(xiàn)NBR2000配置命令和常見的Cisco公司產(chǎn)品類似，有過配置Cisco路由器經(jīng)驗的用戶更容易上手。（如圖3）

（2）連接圖形化管理界面：
　　默認(rèn)情況下NBR2000路由器圖形化管理界面訪問地址為192.168.1.1，管理員帳號和密碼都是admin。我們只需要用普通網(wǎng)線連接其以太端口后在瀏覽器輸入此管理地址即可連接圖形化管理界面。（如圖4）

五，Web界面功能展示：
　　做任何事情都不要輕易把簡單問題復(fù)雜化，網(wǎng)絡(luò)管理也是如此，所以在實際使用過程中我們也應(yīng)該盡可能的通過圖形化管理界面來配置各種參數(shù)，畢竟絕大多數(shù)命令行界面下可以實現(xiàn)的功能在Web界面中同樣可以設(shè)置。下面我們來看看Web界面中各個功能如何大顯身手幫助我們管理內(nèi)網(wǎng)。
　　（1）快速配置：
　　在Web界面中有一個快速配置選項，他相當(dāng)于一個設(shè)置向?qū)椭覀冊诙虝r間內(nèi)完成路由器的接口IP，接入信息以及外網(wǎng)接入方式等方面的設(shè)置，不過如果你需要高級設(shè)置或者安全管理功能的話還需要在執(zhí)行快速配置后進行具體參數(shù)的設(shè)置。
　　（2）系統(tǒng)監(jiān)控界面：
　　當(dāng)我們登錄到NBR2000設(shè)備后能看到兩個選項，一個是進入設(shè)置界面，另一個則是進入監(jiān)控界面。監(jiān)控界面的出現(xiàn)也是NBR2000的特色之一，通過該界面我們可以輕松直觀的了解當(dāng)前NBR2000設(shè)備的工作狀態(tài)，很多時候直接在此界面下就可以發(fā)現(xiàn)問題和故障所在。該界面顯示包括接口狀態(tài)，接口信息，IP流量，接口傳輸統(tǒng)計，各個功能運行狀態(tài)等。一般來說當(dāng)我們設(shè)置完畢出現(xiàn)問題后第一步要做的就是到此頁面來查看故障信息。（如圖5）

（3）接口設(shè)置：
　　接口設(shè)置主要針對LAN0接口（GigabitEthernet 0/0），WAN0接口（GigabitEthernet 0/1）以及WAN1接口（FastEthernet 0/2）信息進行配置，主要是設(shè)置他們的地址信息以及WAN口接入類型。WAN接口支持包括ADSL，自動獲得IP信息，靜態(tài)地址等多種方式的接入。整體設(shè)置非常簡單，只要有過配置家用寬帶路由器經(jīng)驗的用戶都可以輕松完成。
　　（4）端口監(jiān)控：
　　NBR2000路由器可以針對其具體端口進行監(jiān)控，這樣可以更有效的管理網(wǎng)絡(luò)，及時發(fā)現(xiàn)流量異常。監(jiān)控對象包括所有數(shù)據(jù)，接收的數(shù)據(jù)或者發(fā)送的數(shù)據(jù)。（如圖6）

（5）公網(wǎng)模式的引入：
　　眾所周知大多數(shù)路由器配置完畢后都采取了NAT方式來轉(zhuǎn)發(fā)數(shù)據(jù)，所有下連計算機都被保護在內(nèi)網(wǎng)之中，然而隨之產(chǎn)生的問題就是很多應(yīng)用無法順利開展，網(wǎng)絡(luò)傳輸速度也受到影響。雖然我們可以通過發(fā)布DMZ主機的方式來解決，但是DMZ設(shè)置往往只針對一臺或兩臺計算機，無法對所有下連客戶計算機實現(xiàn)DMZ發(fā)布。為了解決此問題在NBR2000中提供了公網(wǎng)模式，如果我們需要讓所有客戶端計算機處于公網(wǎng)狀態(tài)下那么只需要到WEB管理界面中的“接口設(shè)置->公網(wǎng)模式配置”中修改即可。這樣相當(dāng)于我們做了通告所有下連主機為DMZ主機一樣，不過這樣修改后雖然很多應(yīng)用可以使用了，客戶端機器上網(wǎng)速度也明顯加快，但是客戶端不如NAT模式那么有保障了，即使實達NBR2000在公網(wǎng)模式中加入了安全保護功能也不如NAT模式下安全。所以具體是否選擇還要由網(wǎng)管三思而后行。如果必須選擇公網(wǎng)模式，那么下連服務(wù)器和客戶端計算機的安全措施要做足。（如圖7）

（6）雙線雙路選擇：
　　目前國內(nèi)網(wǎng)絡(luò)存在一個現(xiàn)實問題，那就是網(wǎng)通線路與電信線路之間的互相訪問速度非常緩慢，所以很多企業(yè)或網(wǎng)吧都采用了雙線雙路接入方式來解決訪問網(wǎng)通網(wǎng)絡(luò)與電信網(wǎng)絡(luò)的問題。我們使用的NBR2000路由器也具備此功能，我們可以根據(jù)實際情況配置不同端口為不同網(wǎng)絡(luò)線路，讓網(wǎng)絡(luò)訪問兩者速度都有保障。（如圖8）

（7）網(wǎng)絡(luò)安全設(shè)置：
　　NBR2000在網(wǎng)絡(luò)安全防范方面采取了一些措施，具體包括“防火墻設(shè)置”，“病毒檢測”，“防攻擊”三類。防火墻設(shè)置就是針對各個應(yīng)用添加ACL訪問控制功能，當(dāng)然這些都是在圖形化界面完成的，省去了一條條配置命令的麻煩。“病毒檢測”則是針對內(nèi)網(wǎng)絡(luò)進行掃描，掃描是否存在沖擊波或震蕩波等通過系統(tǒng)漏洞傳播的蠕蟲病毒，檢測結(jié)果將提示可疑PC的IP信息。不過由于該功能只能夠掃描沖擊波和震蕩波病毒，所以個人感覺實際使用上受到的局限。（如圖9） 

而在內(nèi)網(wǎng)外網(wǎng)防攻擊方面則比較實用，我們可以針對包括SYN-FLOOD攻擊在內(nèi)的11種危害比較大的攻擊進行過濾，還能夠智能的將攻擊者列入黑名單。（如圖10） 

（8）ARP安全讓企業(yè)網(wǎng)絡(luò)更塌實：
　　ARP欺騙蠕蟲病毒是最讓企業(yè)和學(xué)校網(wǎng)絡(luò)管理員頭疼的病毒了，實際使用過程中如果沒有額外的防范措施的話，網(wǎng)絡(luò)中有一臺計算機感染了ARP病毒后整個網(wǎng)絡(luò)的性能都將受到影響，嚴(yán)重的所有計算機均無法訪問外部網(wǎng)絡(luò)。所以在NBR2000路由器中專門針對ARP安全進行了設(shè)定，而且這些參數(shù)和功能容許我們在WEB管理界面下輕松配置和實現(xiàn)。具體措施包括“免費ARP設(shè)置”，“可信任ARP設(shè)置”，“ARP表查看”，“ARP欺騙嫌疑主機”。我們將在下面內(nèi)容中詳細(xì)講解這幾個功能的具體實際使用效果。
　　（9）網(wǎng)絡(luò)管理更輕松：
　　NBR2000提供了多個網(wǎng)絡(luò)管理功能，包括IP限速，NAT會話數(shù)限制，彈性帶寬全局設(shè)置，流量均衡，游戲帶寬保證等。其中IP限速容許我們針對某IP地址的客戶端做限制速度操作，從而更好的管理網(wǎng)絡(luò)，將網(wǎng)絡(luò)帶寬吞噬大戶進行封殺。（如圖11） 

另外有時企業(yè)網(wǎng)絡(luò)會采取NAT地址轉(zhuǎn)換方式提供接入服務(wù)，但是NAT這種方式對于設(shè)備的負(fù)載要求很高，為了減少NAT對設(shè)備性能的過多影響，我們可以針對NAT參數(shù)進行設(shè)置，包括對其總會話數(shù)進行限制，針對IP會話數(shù)限制或MAC會話數(shù)限制。總之通過這三個參數(shù)可以將NAT對設(shè)備的負(fù)載和性能影響降低到一個合理值。（如圖12） 

當(dāng)現(xiàn)實網(wǎng)絡(luò)有多條WAN出口時NBR2000還提供了自動流量均衡的功能，我們可以針對報文目的地址或源地址進行負(fù)載均衡，從而讓網(wǎng)絡(luò)資源更加合理的分配，也保證了客戶端網(wǎng)絡(luò)訪問速度。（如圖13） 

（10）設(shè)備聯(lián)動功能：
　　NBR2000還提供了設(shè)備聯(lián)動功能，我們可以針對其下連交換機，內(nèi)網(wǎng)地址等信息設(shè)置聯(lián)動功能。配置交換機聯(lián)動功能后我們這臺路由器將可以統(tǒng)一管理被聯(lián)動設(shè)置的交換機，當(dāng)然交換機必須也是銳捷公司的。通過聯(lián)動功能可以讓設(shè)備更加智能，更加自動化的優(yōu)化網(wǎng)絡(luò)應(yīng)對各種網(wǎng)絡(luò)攻擊。（如圖14） 

六，功能性測試一：防內(nèi)網(wǎng)ARP欺騙
　　內(nèi)網(wǎng)ARP欺騙病毒的泛濫如何解決？NBR2000替我們想到了解決方法，在其WEB管理界面中的ARP安全中有四項參數(shù)提供給用戶來防范ARP欺騙。首先用戶可以通過“免費ARP設(shè)置”來設(shè)置ARP發(fā)送頻率以及個數(shù)，我們可以設(shè)定為NBR2000路由器自身每秒鐘發(fā)送一個ARP廣播包（上限可支持每秒發(fā)送100個），這樣設(shè)置后就可以解決危害性小的ARP欺騙病毒攻擊了，ARP欺騙數(shù)據(jù)包將被此處設(shè)置的正確數(shù)據(jù)包而替代，客戶計算機也不會被虛假ARP包欺騙了。（如圖15） 

不過筆者在實際使用中發(fā)現(xiàn)“免費ARP設(shè)置”對于中高級ARP欺騙病毒來說不太有效，因為這類病毒發(fā)送ARP虛假包的頻率遠(yuǎn)遠(yuǎn)高于每秒一個，這時我們能夠做的就是提前防患了，通過“可信任ARP設(shè)置”將正確信息進行添加，“可信任ARP”能夠驗證ARP信息的真實性，即使網(wǎng)絡(luò)中已經(jīng)ARP欺騙病毒，通過可信任ARP功能一樣可以鑒別并接綁定正確的IP/MAC對應(yīng)關(guān)系，不需要進行手工綁定，還可以自動更新綁定。 當(dāng)然調(diào)整正確的ARP數(shù)據(jù)包發(fā)送頻率也是可以的，NBR2000支持上限頻率為每秒100個ARP廣播包。不過如果網(wǎng)絡(luò)中已經(jīng)出現(xiàn)了ARP欺騙病毒，那么我們就需要通過“ARP表”功能來手工掃描當(dāng)前網(wǎng)絡(luò)的ARP信息了，另外手工設(shè)置讓MAC地址信息與IP地址的綁定也可以有效解決欺騙問題。（如圖16） 

另外NBR2000還提供了“ARP欺騙嫌疑主機的定位功能”，通過該功能可以在一定程度上掃描到問題主機的存在以及其地址信息。筆者在實際使用過程中發(fā)現(xiàn)此功能不錯，能夠快速找到問題嚴(yán)重的主機，但是如果網(wǎng)絡(luò)內(nèi)感染ARP欺騙病毒機器過多，則需要我們進行多次反復(fù)掃描檢測，將感染主機分批分次定位。（如圖17） 

總之我們通過NBR2000提供的ARP安全選項下的四大功能，可以有效的解決和處理ARP欺騙病毒在網(wǎng)絡(luò)中的泛濫，在第一時間發(fā)現(xiàn)病毒對其進行隔離。筆者實際測試也驗證了此結(jié)論，只要合理的設(shè)置這四大參數(shù)幾乎可以百分之百的杜絕ARP病毒在內(nèi)網(wǎng)的傳播。 

七，功能性測試二：帶寬管理 

帶寬管理方面NBR2000除了提供了上述功能外，還具備兩大特性功能。第一是彈性帶寬管理，第二是針對網(wǎng)吧的游戲帶寬保證。 

前者可以在帶寬緊張時適當(dāng)降低大帶寬占用者的帶寬，從而保證給每個用戶分配的帶寬不低于保留帶寬，在帶寬富余時給每個用戶分配的帶寬上限可達到設(shè)定的上限允許帶寬。同時可自行設(shè)定彈性帶寬的停止條件，停止條件包括帶寬利用率限制和用戶數(shù)限制，此功能有效的利用了網(wǎng)絡(luò)帶寬，避免了因為一兩個帶寬大戶而影響其他客戶端問題的發(fā)生。筆者在實際測試過程中故意在兩臺計算機上開啟了BT下載，開始BT下載速度很快而其他客戶機都受到了影響，拖慢了速度，在筆者執(zhí)行了彈性帶寬設(shè)置后BT下載者速度降低下來了，而其他用戶的訪問速度得到了提升。（如圖18） 

后者主要是針對游戲流量進行管理，主要在網(wǎng)吧中使用，他容許我們?yōu)槊總€游戲保留固定帶寬，并針對實際接口帶寬為非游戲流量進行限速。比如我們的帶寬是20M，那么可以拿出下限2M給游戲使用，說白了就是網(wǎng)絡(luò)負(fù)載再大也要讓游戲流量帶寬達到2M，畢竟網(wǎng)吧中游戲流量占據(jù)比較大的比重，剩下的18M用于非游戲流量，從而保證了網(wǎng)絡(luò)游戲的穩(wěn)定和速度，為游戲保證2M帶寬。筆者也查詢了下命令行下的顯示，通過游戲帶寬保證設(shè)置后實際上是對NBR2000路由器配置了QOS策略優(yōu)先轉(zhuǎn)發(fā)處理這些游戲報文，從而實現(xiàn)了此功能。（如圖19） 

八，實際使用感受：
　　筆者在學(xué)校實際測試了半個月，下面談?wù)剛€人感受。總體來講NBR2000路由器有很多讓人眼前一亮的功能，這些功能都能夠簡化我們網(wǎng)絡(luò)管理工作，特別是在圖形化管理界面中輕松設(shè)置減少了我們輸入一條條煩瑣指令并調(diào)試的麻煩。NBR2000路由器在網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理方面添加的功能尤為出彩，筆者比較看重他的ARP攻擊防范以及帶寬管理功能，這些都能夠?qū)嵈驅(qū)嵉奶嵘W(wǎng)絡(luò)性能。在實際使用的半個月時間里學(xué)校網(wǎng)絡(luò)沒有出現(xiàn)任何外部連接問題，設(shè)備運行一切良好，傳輸數(shù)據(jù)比較穩(wěn)定。曾經(jīng)出現(xiàn)過一次冗余ADSL線路故障，筆者在凌晨兩點撥打了NBR2000技術(shù)服務(wù)熱線電話，當(dāng)時還有工作人員值班并耐心講解直到問題解決，這點讓筆者大為贊賞，畢竟現(xiàn)在很多服務(wù)熱線18點后就無人接聽了，而NBR2000技術(shù)熱線電話24小時值班不得不讓人欽佩。
　　當(dāng)然任何設(shè)備都存在不足，筆者在實際使用中發(fā)現(xiàn)NBR2000對ADSL線路支持存在一定問題，不知道是自己的原因還是設(shè)備的原因，ADSL線路總是出現(xiàn)時斷時續(xù)的問題，詢問技術(shù)支持也沒有能夠解決。當(dāng)然這也不排除是自身線路問題造成的。（如圖20）