免费网吧软路由架构案例.doc

网吧软路由架构案例 根据某网吧要求架构软路由原因，用普通的路由，有时路由要从起才行，否则路由停止工作，如果买好一点的路由，价格太高。所以用了软路，实现低价格高性能的目的，现在网吧要实现的功能如下： 1、 对路由的操作要简单 2、 防止ARP欺骗 3、 做流量控制，做好优先级，合理使用网络流量 4、 MAC和IP绑定 5、 PPPOE拨号上网 6、 远程WEB管理 7、  策略路由 8、 一些其它的设置 模拟环境： 一台真机做内网中的电脑，拿一台虚拟机做软路，软路由要用最少二张网卡，也可以用三张，这样可以实现双WAN口，另一台虚拟机做外网，这样，只要外网的电脑能访和路由的WAN口，这样就可以模拟实验了 如下图 实现案例的思路： 在这个实验首先要配好IP，如：外网电脑IP为：192.168.10.10 255.255.255.0 软路由的WAN口的IP为：192.168.10.100 255.255.255.0 软路由的LAN口的IP 为：192.168.0.1 255.255.255.0 真机为内网电脑IP为：192.168.0.10 255.255.255.0 软路由的用海蜘蛛2008，首先，要把软路由安装好，然后来实现网吧各种要求： (上图为模拟环境,内网用真机) 开始安装海蜘蛛，准备海蜘蛛的ISO文件，在虚拟光驱中指定好ISO文件的路径。配置好二张网卡（一张为WAN口，一张为LAN口）如下图 进入BIOS设置从光驱启动 保存并重起 • 从光驱引导后的第一个界面选择 • 第一项: 光驱正常安装模式 (中文界面) [默认] • 第二项: 光驱救援安装模式 (英文界面) • 第三项: U 盘正常安装模式 (中文界面） • 第四项: U 盘救援安装模式 (英文界面) 这时我们选择免费版安装 对磁盘初始化选择Y 设置路由的内网的IP也可以用默认的 路由启动后的界面如果要进入路由，用户为：ROOT密码为：123456这个界面的提示，同时也将进路由的地址和端口都显示出来了 如果要进入路由在地址栏输入：http://192.168.0.1:880不忘了端口否则进不去，如果要不加端口要进入路，改为：80 这时输入账号：admin 密码：admin 下图为路由的WEB界面 根据我们的思路现在要对每个设备设置好IP，首先到路由中设置好WAN口IP和LAN口IP，然后，设置好外网的IP，设置真机为内网的电脑的IP 如下图 下图为对WAN口IP的设置为：192.168.10.100 255.255.255.0 设置好后查看LAN口的IP是否正确 接下来，对外网电脑进行IP设置 外网电脑IP为：192.168.10.10 255.255.255.0 接着开始设置真机IP，也就是本机的IP为：192.168.0.10 255.255.255.0 注意了，要填写好网关，DNS就不用写了，除内网中架了DNS服务器，如果在真实上网的环境中内网中电脑一定要有DNS不然内网电脑不用：“域名”访问网页。这是我真机上的DNS我就不删了。 好，IP已设置了，那么我们有PING 来测试一下： 你在内网电脑中ping 软路由的WAN口，后ping 外网的电脑如下图： 可以看出内网电脑到路由的WAN口和到外网的电脑都可以ping 通 这样，我们就完成了安装和组网的过程了 完成上面后，接着完成网吧的要求： 1、 密码的修改，这是最基本的也是最重要的，每个路由器设置完成后一定要记住修改密码，而且密码最少要在六位以上，否则内网可以暴力破解路由器的密码，所以设置密码一定要选择复杂性密码。提高安全性。 接下来设置路由器的远程管理： 设置好后，在外网电脑测试一下能否远程管理路由 做ACL对内网访问外网的限制如地址或端口及地址加端口下面我们就拿远程桌面来完成这个实验，首先要做的是内网电脑不能访问外网所有的3389，或不能访问某个IP地址的3389，或不能访指定的IP及端口，一般在设置时我们会设置目标地址及目标端口。源地址，就是你想对内网那些电脑的IP做限制，源端口是随机的也就不用填了。 来完成真机不能远程桌面的实验吧，首先将外网电脑远程桌面开启，这样内网的电脑就能远程外网电脑，然后我们到路由做ACL禁止访问外网的3389，然后看效果如果不能远程外网电脑，那就完成了效果了 首先到外网设置好远程桌面如下图: 接着到真机上开始远程外面的电脑如下图： 好，那么我们就到路由内设置好ACL主要是禁止访问外网的3389那我们在内网，所以会选择转发 添加ACL规则： 我们可以看到转发ACL规则内一条禁止访问3389的ACL 接下来我们到真机开始远程外网电脑，看能否成功: 好了，不能远程外网的电脑了。 接下来我们做PPPOE服务：为用户提供另外一种局域网访问 Internet 的方式, 这种方式如同 ADSL 宽带上网, 每个工作站访问 Internet 是相对独立的, 互不干扰, 可以有效解决局域网 ARP 攻击等带来的问题. 首先来看来设置PPPOE服务，设置好后在内网电脑中进行测试 设置好后创建：PPPOE用户：账号为：” LINLI” 密码：”123456” 现在到内网的电脑中，也就是真机上做PPPOE拨号了 查看效果如上图 高级策略路由： 如果您同时拥有电信＋网通的双线接入, 可以通过策略路由来实现访问电信走电信线路, 访问网通走网通线路. 注: 此版本仅支持电信、网通均为固定IP的情况. 首先要加一张网卡，这样就有二个WAN口 在现在主流的网吧，大都数客户都是玩游戏的比较多，有的游戏是用的电信服务器，有的是网通服务器，所以网吧想用电信和网通，这样客户用电信时，就用WAN口的电信，如果用网通时，主用WAN口的网通，这样自动实现了要求，而且，路由会自动更新，电信和网通的服务器的路由表，这样，我们就不要到路由中手动添加路由表了，我在虚拟机中设置时，要三张网卡，二张为WAN口，一张做LAN口，看如图下： 这时我们在路由就可以看二个外网和一个内网了如下图： 在有二条线路中，我们怕， 那天如果WAN口那个网络有问题，不能访问了，那们，所有上网的都走另一条线路，所发，他们之间必须要设置好主、副，如这样他们二条网络之间可以采用ping 对方的网关，如果，不通，路由会自动交给另一个WAN口，这样所有数据就起另一个口，从而保证了网吧不会断网。 多线路由负载均衡： 为了节省接入费用或获得线路冗余，您可能会使用多条廉价的ADSL来替代单一昂贵的光纤。此时您需要每条线路根据带宽的不同承载不同的流量，并且当一条线路失效后，自动转到备份线路，以保证网络不会中断。对多条线路进行设置，以及如何设定负载的策略 两条同为中国电信提供的线路接入，将这两条线路的带宽叠加起来以提供高速互联网接入。例如一条线路的带宽为 2M，另一条线路的带宽为 4M，叠加后就相当于有一条带宽为 6M 的高速互联网接入线路（新版本中有叠加功能) IP与MAC地址绑定的作用 IP与MAC地址绑定可以严格控制局域网主机, 防止局域网用户随意改变自己的 IP 地址来获得非法权限或导致 IP 冲突 服务器与客户机通讯时将使用静态 ARP 表,可以减少局域网内的 ARP 广播流量 普通模式：是指阻止Mac地址跟ip不匹配的电脑就不能访问外网，匹配的就可以访问外网。 强制模式:是指又有在绑定的列表中的IP地址跟Mac相匹配的电脑才能访问外网，如果该ip不在列表中，那么该ip也不能访问外网了。 这样也就实现了ip与Mac地址的绑定了 流量控制： 合理分配带宽资源 在外网接入带宽有限的情况下，如果不对流量进行合理的分配和管理，当内网某一台主机占用带宽过高时，就会影响其他主机的正常网络通讯，造成网速变慢，甚至网络阻塞、无法正常访问Internet。P2P下载(BT/迅雷/电驴等)或在线直播就是一个很明显的例子。 为此，对内网每台主机进行流量控制是很有必要的，即：限制其上传、下载的最大速度，不管进行何种操作，其能够使用的带宽都是有限度的，不会消耗过高的带宽资源，当然也不会对其他主机造成影响。 优化网络质量(QoS) 针对某些重要的数据包进行优化，比如长度不超过64字节的小包、ICMP包、ACK包、DNS包等等。当网络过载或拥塞时，QoS 能确保这些重要数据包不受延迟或丢弃，同时保证网络的高效运行。 • 名字随便，优先级默认100，带宽抢占越小优先级越高， • 上传速度按照你自己的要求去设置就可以了，在源ip/网段上填上你优先电脑的ip，注意填好了之后要点目的端口后面的添加才行，然后保存。下载限速也是一样的 这个是在局域网内限制 P2P策略的，设置好你要限制的速度 然后在规则下面新增好你要设置的ip 快速接入互连网 1、在客户机浏览器地址栏输入路由器局域网 IP 或扩展 IP 地址如打开：http://192.168.10.1:880后输入 admin:admin 登录到 Web 远程管理页面，进入“网络设置”->“局域网（LAN）”，在“IP 地址”输入框中填入您要分配给路由器局域网接口的 IP 地址，并选择相应的“子网掩码”，点击“保存设置”即可。 2、修改局域网扩展 IP 地址 登录到 Web 远程管理页面，进入“网络设置”->“局域网（LAN）”， 在“扩展 IP 地址”右侧“IP 地址”和“子网掩码”输入框中填入您要添加的扩展 IP 地址和子网掩码， 点击“增加”->“保存设置”即可。 通过子网掩码扩展IP 例如：若一个局域网的计算机数量有500台，则可设置其网关IP为192.168.0.1，子网掩码为255.255.254.0， 此时局域网中的计算机的IP地址为192.168.0.2-192.168.1.254之间。如图 通过划分网段扩展IP 例如：同样一个局域网包含500台计算机，可设置网关IP为192.168.0.1，子网掩码为255.255.255.0，此网段中的IP地址为192.168.0.2-192.168.0.254之间 设置扩展IP为192.168.1.1，子网掩码为255.255.255.0。此网段中的IP地址为192.168.1.2-192.168.1.254，如图 海蜘蛛路由系统（Hi-Spider Router）默认的 Web 远程管理端口为 880，帐户名和密码均为 admin。 用 Web 远程管理 方式修改了路由器的局域网 IP 地址后，需要在浏览器地址栏中输入新的 IP 地址重新登录。 以上两种方法虽然都可以扩展IP地址，但是两者之间也有所不同。 通过子网掩码扩展IP地址时所有的计算机都处在一个网段中，其相互之间可以实现互访 通过划分网段扩展IP时，处在不同网段下的计算机不能实现互访 登录 Web 远程管理，进入“网络设置”->“DNS参数”。 DNS获取方式分为 手动指定 和 自动获取 两种 若选择“手动指定”，用户需输入运营商提供的“首选DNS”和“辅助DNS”，点击“保存设置”即可, 如下图 若域名解析出现故障，可在dos环境下输入nslookup命令查看有关域名解析信息，这里我们以查看百度为例，如下图所示 广域网接入方式有三种：静态IP接入、动态IP接入、ADSL拨号上网 用户可以登录路由器，进入“网络设置”->“广域网（WAN）”， 在internet接入方式中选择适合自己的WAN接入方式，如图 以太网/静态IP（固定IP上网，如光纤） 通过网络运营商分配的固定 IP 地址、子网掩码、网关等上网。此种接入方式一般用于网吧、大型公司 选择 “Internet 接入方式”为“以太网/静态IP”，在“IP 地址”，“子网掩码”和“ 网关”输入框中分别填入网络运营商分配给您的 IP 地址、子网掩码、网关。如下图： ADSL/PPPoE拨号（通过电话线、猫拨号上网） 通过网络运营商提供的 ADSL/PPPoE 帐户名和密码拨号上网，目前普通家庭的宽带连接都采用ADSL拨号上网。 选择“Internet 接入方式”为“ADSL/PPPoE拨号（通过电话线、猫拨号上网）”， 在“PPPoE 拨号用户名”和“PPPoE 密码”输入框中分别填入网络运营商提供给您的 ADSL 帐户名和密码保存即可。 PPPoE 断线后会自动重新拨号，无需手动重拨。 多线路接入时才需要开启线路检测。