路由器應用之電信網(wǎng)通雙線(xiàn)路接入方案解析

路由器在網(wǎng)吧中的應用

路由器在網(wǎng)吧網(wǎng)絡(luò )中的具體情況如下：

1、規模大，用戶(hù)多，設備不間斷運行；一般的，網(wǎng)吧的機器數量少則一百多臺，多則幾百臺，而運營(yíng)商給的接入帶寬在很多地方都不大，需要精打細算使用。網(wǎng)吧內部使用有游戲，瀏覽，聊天，視頻，下載等。其中游戲的數據包比較小，因此需要比較高的包轉發(fā)能力。

2、穩定性要求高；網(wǎng)吧是一個(gè)商業(yè)的運營(yíng)環(huán)境，需要有高的穩定性。

3、線(xiàn)路接入和擴展帶寬。由于A(yíng)DSL接入的帶寬局限性，一些地區的網(wǎng)吧需要多個(gè)線(xiàn)路接入，所以也需要有負載均衡和線(xiàn)路冗余備份的能力。

4、網(wǎng)絡(luò )安全要求高；由于每個(gè)機器的操作者經(jīng)常變化，因此，有些攻擊是不可避免，接入設備需要有強的抗擊打能力，同時(shí)還需要數據隔離功能。

5、設備的端口鏡像能力。根據公安部門(mén)的要求，網(wǎng)吧都使用了公安監控系統，需要從網(wǎng)絡(luò )中捕獲數據，而交換機數量多，捕獲的可行性比較差，因此，在路由器上實(shí)現端口鏡像是簡(jiǎn)單易用的方法。

6、需要比較強的管理和監控功能。上網(wǎng)者不固定，有問(wèn)題的時(shí)候查找問(wèn)題，而不是采用頻繁重啟設備的方式。設備的實(shí)時(shí)網(wǎng)絡(luò )管理和監控功能對健康穩定運行非常重要。

一、關(guān)鍵需求分析

網(wǎng)吧用戶(hù)同時(shí)申請了中國電信和中國網(wǎng)通兩條寬帶接入線(xiàn)路，此時(shí)用戶(hù)希望實(shí)現當內網(wǎng)用戶(hù)訪(fǎng)問(wèn)中國電信的IP范圍時(shí)，內網(wǎng)流量全部通過(guò)電信線(xiàn)路流出；當內網(wǎng)用戶(hù)訪(fǎng)問(wèn)中國網(wǎng)通的IP范圍時(shí)，內網(wǎng)流量全部通過(guò)網(wǎng)通線(xiàn)路流出，即電信數據流量走電信線(xiàn)路，網(wǎng)通數據流量走網(wǎng)通線(xiàn)路。且在其中某條線(xiàn)路發(fā)生故障時(shí)能快速將發(fā)生故障線(xiàn)路上的流量轉移到正常的線(xiàn)路上，以保障內網(wǎng)上網(wǎng)的正常進(jìn)行。而在當地特定情況下，電信流量要大于網(wǎng)通流量，因此網(wǎng)通線(xiàn)路較為空閑，還需將一些非關(guān)鍵的應用轉移到網(wǎng)通線(xiàn)路上。

二、實(shí)現步驟：

1、按照常規設置配置WAN1和WAN2兩條線(xiàn)路正常上網(wǎng)，主線(xiàn)路為電信線(xiàn)路，備份線(xiàn)路為網(wǎng)通線(xiàn)路。

2、通過(guò)路由器內置的雙線(xiàn)策略中的策略設置，將雙線(xiàn)策略設置為策略路由設置為網(wǎng)通路由表。

3、在多線(xiàn)配置策略中，將線(xiàn)路檢測周期設置為每隔3秒檢測一次。

4、在策略配置的應用調度中，將一些不關(guān)鍵的應用，調度到網(wǎng)通線(xiàn)路，設置為子網(wǎng)所有IP地址，部分應用，如QQ，下載等，指向WAN2.

三、實(shí)現原理：

1、設置好1、2步時(shí)，此時(shí)內網(wǎng)流量當訪(fǎng)問(wèn)網(wǎng)通IP段的時(shí)候全部流向了網(wǎng)通線(xiàn)路。此時(shí)當內網(wǎng)流量有訪(fǎng)問(wèn)電信IP段的需求的時(shí)候，流量全部流向電信線(xiàn)路，即實(shí)現了：電信線(xiàn)路走電信，網(wǎng)通線(xiàn)路走網(wǎng)通。因為訪(fǎng)問(wèn)各自的線(xiàn)路，都走的是自己運營(yíng)商的骨干網(wǎng)，從而實(shí)現了電信游戲也不卡，網(wǎng)通游戲也不卡的效果。

2、將線(xiàn)路檢測周期設置為每隔3秒檢測一次，那么路由器內置的通斷檢測模塊，每隔3秒會(huì )對兩條線(xiàn)路進(jìn)行檢測，如果發(fā)現其中一條線(xiàn)路不通時(shí)，則自動(dòng)將此線(xiàn)路的所有數據發(fā)送到另一條線(xiàn)路，從而實(shí)現線(xiàn)路備份的目的，保障網(wǎng)吧的正常運營(yíng)。

3、在應用調度中，將對速度要求不敏感的應用劃到WAN2線(xiàn)路，路由器在接到這些應用程序的訪(fǎng)問(wèn)網(wǎng)絡(luò )請求時(shí)，會(huì )自動(dòng)將此請求轉發(fā)到網(wǎng)通線(xiàn)路，從而降低了電信線(xiàn)路的負擔。

四、方案實(shí)施

測試環(huán)境：

用戶(hù)申請兩條固定IP線(xiàn)路接入Internet，一條電信線(xiàn)路，一條網(wǎng)通線(xiàn)路。如下：

主線(xiàn)路:電信線(xiàn)路：

IP地址：218.66.66.66

網(wǎng)關(guān)：218.66.66.1

子網(wǎng)掩碼：255.255.255.0

備份線(xiàn)路:網(wǎng)通線(xiàn)路：

IP地址：221.88.88.2

網(wǎng)關(guān)：221.88.88.1

子網(wǎng)掩碼：255.255.255.0

五、配置步驟：

1、設置電信線(xiàn)路，在路由器設備WEB設置頁(yè)面中－網(wǎng)絡(luò )配置－WAN1配置

2、設置備份線(xiàn)路，在路由器設備WEB設置頁(yè)面中－網(wǎng)絡(luò )配置－WAN1配置

3、設置策略路由，在路由器設備WEB設置頁(yè)面中－策略配置－雙線(xiàn)策略中選擇工作工作模式為策略路由，策略路由表選擇網(wǎng)通路由表。

4、應用調度，在路由器設備WEB設置頁(yè)面中－策略配置－應用調度中，將QQ等應用指向WAN2線(xiàn)路。

六、測試案例

某網(wǎng)吧原來(lái)使用其他廠(chǎng)商路由器設備，采用雙線(xiàn)路接入，其面臨如下問(wèn)題。

1.其遇到大量的外網(wǎng)攻擊（網(wǎng)吧內部測試模擬外網(wǎng)攻擊）的時(shí)此設備出現線(xiàn)路中斷，無(wú)法正常使用的現象。

2.其中某條線(xiàn)路發(fā)生中斷時(shí)，無(wú)法進(jìn)行線(xiàn)路切換。

換成欣聯(lián)NR-4600+路由器設備后，進(jìn)行如下配置：

1.設置NR-4600+路由器為雙線(xiàn)路接入。

2.在路由器的防火墻中選中，防止ARP欺騙，防止IP沖突，防止機器狗病毒，路由器內置默認封掉的端口為 135、137、139、445。

3.開(kāi)啟防外網(wǎng)DDOS攻擊，相同的環(huán)境下對路由器進(jìn)行模擬外網(wǎng)攻擊測試，發(fā)現其在承受原路由器無(wú)法工作時(shí)3倍左右的數據量時(shí)，仍能夠穩健的正常運行，內網(wǎng)上網(wǎng)用戶(hù)未感覺(jué)明顯異常。

4.人為斷掉其中一條線(xiàn)路，NR-4600+路由器能在較短的時(shí)間內進(jìn)行線(xiàn)路切換，充分保障了內網(wǎng)用戶(hù)的正常上網(wǎng)。

5.因為將對延時(shí)不敏感的應用調度到了網(wǎng)通線(xiàn)路，電信線(xiàn)路上的游戲用戶(hù)，明顯感覺(jué)速度更快，帶寬更充裕。

6.在網(wǎng)吧中穩定運行一個(gè)月后，未出現斷網(wǎng)故障。

路由器不光在網(wǎng)吧中是核心設備，在其他的網(wǎng)絡(luò )中一樣占據不可替代的作用，，本文敘述的方案比較經(jīng)典，有需要的用戶(hù)可以針對自己的網(wǎng)絡(luò )作為參考。