① 侠诺 负载均衡怎么做
智能型负载均衡模式,是依据接入WAN端带宽的大小比例,自动完成负载均衡工作,进一步协助达成带宽使用率的优化目的。Qno侠诺在智能型负载均衡模式中,提供了联机数均衡与IP均衡两种选择。 联机数均衡是依据WAN端带宽大小比例,将内网所有的联网机数作均衡分配。例如WAN1接入4M、WAN2接入2M,则联机数就会依据2:1分配。此种配置是网管员最一般的配置模式。 而IP均衡模式是为了避免某些网站(EX银行网站或HTTPS类型的网站),只能接受来自同一个公网IP的所发出封包的瓶颈。如果采用联机数负载均衡模式,会发生该IP所发出的访问封包不一定是从固定WAN口流出,造成特定网站拒绝服务,导致断线的情况发生。如果采用IP均衡,让IP依据WAN端带宽大小进行比例均衡分配,例如WAN1与WAN2的带宽比例为2:1,则PC1、PC2走WAN1,PC3走WAN2,PC4、PC5走WAN1……,即可达到同一个内网PC所发出的应用服务封包,都从固定的WAN口(公网IP)流出,而整体内网IP也会依据带宽大小比例,自动进行均衡配置。此种配置比较适合常常需要进入特定网站时选择。
② 路由器的智能负载均衡功能是指什么
路由器的智能负载均衡功能是指:利用多个网络设备通道均衡分担流量。
智能负载均衡模式基于访问WAN端带宽的比例,自动完成智能负载均衡,并进一步帮助实现带宽使用的优化。 在智能负载平衡模式下,Qno提供了两个选项,用于连接数平衡和IP平衡。 连接数量的平衡是基于WAN端带宽的比例,并且内部网络中所有联网计算机的数量是均匀分布的。
例如,如果WAN1访问4M,而WAN2访问2M,则将按照2:1分配连接数。此配置是网络管理员最常用的配置模式。
(2)qno配置文件扩展阅读:
与智能负载平衡相比,指定路由保留了更大的自由来设置灵活性和例外原则。 因为智能负载平衡是基于Intranet连接的总数或IP的总数。 不可能单独指定特定的应用程序服务,特定的IP,特定的URL以及要通过哪个WAN端口。
因此,有时可能会导致某些服务(例如电子邮件,VOIP等)或特定人员(公司老板,高管等)在享受优先或例外方面带来不便。 所以,提供了指定的路由以与协议绑定配合使用,并首先指定要使用哪个应用程序服务,哪个IP网段,哪个目标URL和哪个WAN端口。
最后,剩下的未绑定部分,再进行智能负载均衡,同样也有协议绑定模式或IP均衡模式两个选项。
③ 企业路由器怎么设置
1、你的tplink千兆路由器上的WAN接口,需要用网线连接到猫的网口/LAN口。 如果你家里的宽带没有用到猫,则需要把入户的宽带网线,插在路由器的WAN接口。然后tplink千兆路由器中剩余接口中任意一个,都可以用来连接电脑。
④ 确保网络安全 企业路由器如何设置
随着网络的普及,路由器已经成为了企业公司的必备,它配置是否安全,对于企业来说非常重要。但并不是每一个公司都会有专职的网管去管理,可能有些朋友还不了解路由器配置的具体步骤和方法,没有关系,看完了本文之后,相信能让你获益良多。 一、广域网WAN端口设置 WAN端口是路由器配置对外接到网络运营商的线路。WAN线路是宽带接入的主要路径,如果发生掉线或是拥塞,就会造成企业的宽带接入中断,这就会对企业造成很大的困扰。因此,WAN端口在安全的首要思维,就是如何确保线路的稳定,维持企业在各种情况下的运作。 大部份中小企业,由于上网人数较小、或是经费有限,因此大多采用单线ADSL即可。企业对带宽的需要较大,或是对于网络要求较高的,例如服务业或是外贸行业,则可能采用相对费用较高的光纤。根据Qno侠诺支持用户的经验,发现以下情况,较倾向采用多WAN线路的配置:偶而需要大量上/下载:由于信息化的结果,很多企业需要不时进行大量的上下载的操作。例如成都的某矿产商贸公司每天下班时,需要上传销售报告及存货数据,需要较多的时间。又例如位于宁波的某民营企业,经常需要从国外客户的服务器下载设计图作为生产之用。当要进行下载时,网管一般都不希望受到一般用户上网或下载影响,因此可申请两条线路:一般情况下两条线路都开放作为用户上网用;但是当需要进行特别工作时,则可加以管制,保留特定的线路给大量上下载的工作,以确保重要的数据能准时传送。采用多WAN配置后,网管加班在办公室等待数据传送的情况,就可大大减少了。 跨网问题,例如某企业在湖南设有公司机构,常常需要和在北京的总部建立VPN联机,但是不知道为什么,联机总是很不稳定,常常数据还没传完,又得重新联机。这种情况,很可能就是VPN建立跨过不同的运营商网络所产生的不稳定问题,例如总部采用网通的线路,而分支采用电信的线路,跨网带宽不足,而产生的现象。这种情况,也可采用多WAN路由器解决,即总部同时接入网通及电信的线路,属于网通线路的外点从网通的入口建立VPN,电信的外点则从电信线路建VPN,这样即可解决跨网带宽小或不稳定的情况。 需要备援时:多WAN线路的另一个优点是提供备援功能。一个常见的情况是有些地区运营商会增送光纤用户ADSL线路,这时就可以光纤配合ADSL作备援,在前者发生故障时,以ADSL先顶着用。有的用户则希望用不同运营商的线路,这样在A运营商线路或机房发生问题时,可以B运营商线路替代。对于某些行业,例如媒体行业,需要随时可以上网,这个功能就显得尢为重要。 当ADSL带宽不足时:一般企业用ADSL来的多,根据统计显示中小企业宽带用户增加最多的就是采用ADSL上网。但有些地区提供的ADSL相对带宽显得较小,例如64K/64K的线路,对于企业应用显然不足,不过申请光纤又比几条ADSL还来得贵,在这种情况下,利用多WAN路由器配置汇聚多条ADSL线路,不失为一可行又省钱的方法。由于广域网端为企业上网唯一的路线,因此对于企业上网有决定性的重要。 二、局域网LAN端口设置 LAN端口是对内接到企业用户的线路,有些路由器配置本身有局域网端口,可下接交换机;有的网管则会将路由器配置先接到骨干交换机,再向下接到一般的交换机。以上这两种作法均可,后者适合较大的吞吐量的应用情况,一般的企业应用,路由器配置的局域端口是可以随着带宽转发的。因此在硬件配置,这是较为简单的。Qno侠诺技术服务人员的经验指出,要进行一个好的安全网络的配置,IP的管理是顶重要的。IP就是计算机在互联网的地址,因此要能有效管理地址,才能预防攻击或针对有问题的计算机加以管制。对于网管而言,在IP管理方面要注意的事项,主要为计算机采用固定IP地址、DHCP服务器发放固定IP、防止未允许的计算机上网及群组管理等四个重要项目,以下分别进行说明: 计算机采用固定IP地址:计算机采用固定IP地址,是最严密的配置方式。这个作法,必须要求用户在计算机中手动键入IP地址相关数据。这样做的好处是每台机器的IP都必须是事先指定,没有事先指定的IP,则无法上网,外来的用户或是计算机不能轻易地通过企业网络上网。不过对于用户而言,必须要设定固定IP,到其它场合又要重新设定,对于部份常需要移动的用户,例如业务人员或是高阶主管,造成不小的困扰。DHCP服务器发放固定IP:DHCP服务器的好处是用户无需在计算机上作任何设置,对于用户较方便。但是DHCP的缺点是若不加以管制,随便一个用户也能进入企业的网络,也容易发动对内部的攻击,造成影响。因此对于企业而言,较好的方式是通过DHCP发放IP地址,但同时限定计算机能取得的IP地址,以便进行管理。Qno侠诺路由器配置的IP/MAC绑定功能,即可以根据网管的配置,认明计算机的MAC地址发放特定的IP,这样就可针对IP进行管理。同时IP/MAC绑定功能也可防止用户修改IP,以取得较高权限问题,错误的MAC/IP组合,将会被路由器“封锁错误MAC地址”阻挡,这个功能也可防止ARP攻击。 防止未允许的计算机上网:对于网管而言,未被管制的计算机,经常引发安全问题。有些用户会自行带入中毒的计算机,甚至其它楼层用户通过无线网络进入公司网络。这样的情况,可通过防止未允许的计算机上网来解决。
⑤ 局域网客户机带宽如何设置
你说的是子网的ip 吧192.168.0.1_255哦企业、小区等甚至网吧对于BT下载都是个很头痛的问题,BT的下载是基与P2P技术实现点对点来传输数据,不仅有大量的下载存在,还有大量的上传活动,这种下载方式可以抢占带宽来达到下载目的,如果内网有大量的BT下载的话可能引起内部网络雍塞、造成数据传输延迟,更加严重的可能会造成整个网络的瘫痪。所以其路由器在防止BT下载得提供一个行之有效的解决方案,对于Qno侠诺的路由器防止BT下载就提供了一套完整的方案,下面就介绍其在路由器上如何做防止BT下载的具体操作过程,来方便客户进行完整的设置。对于BT下载的防制其实是个很头痛的问题,本文提供了3个方法,通过管制字符串来防制、通过一键挡BT来防制以及通过QoS限制上传下载上限来防制。但其就单独用一个方法是很难取得预期的效果,由于下载的封包有时候是压缩文档,同时其BT下载服务器地址也经常变化等因数的影响,所以防制起来也很困难,建议在做前两个防制的同时还需要做QoS带宽限制来达到防制的目的,这样其就可以达到预期的效果。其主要3个设置如下面叙述:1、通过防火墙对字符串管制进行限制BT下载BT可通过过滤BT种子进行阻绝,由于BT种子文件名称都为有".torrent"的字符串,所以我们可以利用这个功能加以过滤。进入防火墙配置 → 网页内容管制 → 激活网页字符串管制(将前面做"√"选)如图1。在新增加栏目添加字符串".torrent"再"增加到对应列表",同时在有的客户可能考虑在工作时间需要限制BT下载的,非工作时间不需要限制的,可以通过下面的时间管制设定来实现。如上图,时间管制设定,填入时间管制的范围就可以了,结合下面的日期, 可以控制在工作天上班时间禁止BT的下载活动,如果要禁止所有时段, 即选择全部。按下确定按钮, 使设置生效。上面的设置是让字符串管制在每个星期的星期一到星期五的8:00到17:30生效。2、通过一键挡特定服务来实现限制BT下载同时现在Qno侠诺的路由器系列产品(现在只有QVM1000以及GQF500具有这项功能)会陆续推出一键挡特定服务来限制BT的下载,通过简单的设置也可达到封BT下载的目的。在路由器防火墙配置画面下面就提供阻挡特定服务栏,可以只"√"选BT,填入不受限制的内网IP就可以完成限制BT下载的目的,确认完成挡BT下载操作。其内网192.168.1.1~192.168.1.5这5台电脑不受限制,其他电脑将不可以做BT下载的操作。3、通过QoS来限制上传下载量来达到限制BT下载有的BT下载可能是压缩包等,对于这些个BT下载单做字符串的管制没有太大作用,BT下载仍然可以继续,占用带宽,在这种情况下,就得配合Qos带宽管理来限制上传下载量实现对BT大下载量实现限制作用,可根据其其接入宽带的带宽以及内部网络计算机数量来设置上传下载的量,如图3。进入Qos带宽管理 → 带宽管理页面,再在网络品质服务配置(QoS)配置相关参数,如下图如图3,其网络通过双线(WAN1和WAN2)接入广域网络,限制起内网最大上传不得超过200Kbit/sec,来达到对内部网络BT抢占带宽做相应的限制,具体设置如下:选择WAN口,做"√"选,根据网络的具体情况,通过那个WAN口连接广域网络的就选择哪个WAN口,在多线连接情况将每个连线的WAN口都要做"√"选。服务端选择"所有端口[TCP&UDP/1~65535]"(由于其BT下载的端口是随机生成的,没什么特定端口,所以选择限制所有端口)。IP地址输入内部网络IP范围比如"192.168.1.100到192.168.1.200"意思是192.168.1.100~200这些电脑讲受QoS管制。IP群组的选择,如果其路由器里设置了群组的话,有需要也可以选择群组来限制群组IP受QoS的管制。目的选择"上传",限制上传的带宽。最小带宽填入1Kbit/sec,表示上传保证有1Kbit/sec的带宽,最大带宽填入200Kbit/sec,表示上传最多只能使用到200Kbit/sec的带宽。在在下面"点"选"此范围每一IP地址最大及最小可使用带宽"保证每台电脑最大都能够达到200Kbit/sec的上传速度。激活做"√"选激活这项设定,增加到对应列表,确认完成QoS 限制上传带宽来达到限制BT下载占用带宽的目的。注意:同时也要对下载做相应的设置,其设置可参考以上叙述,不过要将目的项选择为"下载"来完成。对于以上叙述的3个过程,建议用户在选择1或者2的过程的时候配合3步骤来完成对BT下载防制的目的,具体情况根据客户需求以及实际情况而定。以上方案在已经通过用户实地设置应用,其完全可以达到限制BT下载的目的,希望这个方案能够给您的网络对现有的带宽进行管理运用,让有限的带宽资源发挥最大的效用,使网络效用达到最高。其对内部网络进行BT限制需要对内部网络的流量做相应的限制来达到要求,但有时候并不是所有时间都会出现BT下载造成路由器雍塞或者网络延迟的,比如网络内只有少数人下载或者只有很少的时候出现下载雍塞情况,如果在这种情况下我们能够及时的发现并]对少数的上网用户用语言来劝阻,阻止进行大量下载占用带宽,来达到网络的正常运行。其Qno侠诺的FVR系列语音告警路由器(FVR360v 和 FVR420v)可以提供这样的方案来达到用户要求,路由器的语音告警功能就能够及时的发现问题并用语音提示来提醒网络管理人员及时进行阻止,来达到相应的需求,开启以上"广域网络上传/下载流量雍塞告警"以及"联机数限制告警",在路由器发现内部网络有大量的联机以及雍塞的时候就会用语音提示,来提醒网络管理人员进行相应的管理措施,如果有需要的话还可以开启其他语音告警功能。
⑥ 侠诺如何解决VPN配置的一些问题
近年来企业界风行的带宽的扩充及网络安全的重视,就是这一个驱动力推动下的结果。近年来宽带技术的普及,很多企业纷纷从昂贵的DDN专线,转移到多条ADSL或是光纤接入。多WAN路由器的普及,就是因应了精打细算的企业要求更有弹性宽带接入需求而产生。随着多WAN路由器的普及,这个产品也进化并结合另一个企业宽带不可缺少的要素,即是VPN。对于企业而言,经济方便的互联网虽然提供一个很好的通讯平台,但是开放及标准的通讯方式却有可能让企业传送的信息发生外泄的情况。VPN经由加密的技术,确保信息于公开的互联网传输的安全,即使被有心者拦截也无法解读。多WAN配合VPN,在应用也渐渐为VPN的规划者所重视,在新的网络配置拓朴上纷纷采用多WAN VPN产品。 Qno侠诺多WAN VPN产品Qno侠诺身为多WAN路由器产品的领先厂商,在多WAN VPN也积累了相当的经验。Qno侠诺为企业应用所开发的WAN VPN产品QVM系列,包括中小型企业使用的双WAN产品QVM100及QVM330,另外还有四个WAN口的QVM660及QVM1000。这些产品除了具备多WAN路由器的特点,例如负载均衡、备援、带宽管理外,也支持VPN应用,包括IPSec、PPTP及Qno侠诺特有的简化配置SmartLink VPN,并支持VPN备份功能。根据侠诺科技技术支持的经验指出,采用多WAN VPN配置的用户,主要是希望解决单一线路VPN所无法满足的问题,以下是四种常见的多WAN VPN应用问题:1.预留带宽扩充弹性很多VPN的客户一开始时只用VPN支持单一应用,例如EPR接入,但随着网络应用的需求,后续可能持续增加VPN的应用,例如远程文件共享、分支办公室间的VoIP(可节省通讯电话费),甚至或影像会议,都需要作带宽的扩充。若是采用单一线路,未来势必进行线路的升级,变动较大成本也较高。若是采用多WAN路由器,即可一开始先以AD线路作为VPN应用,待后续增加应用时,再升级增加AD线路或是增加光纤线路。这样的规划,初始建置的成本较低,未来进行升级的空间也大,不会产生投资的浪费或设备的淘汰。这样的情况,发生在中型的企业。由于经费有限,对于网络规划强调弹性,可随着企业应用渐次升级,初始的投资金额又不会太大,采用二个WAN的产品,例如QVM330产品,具备带宽管理的功能,足以满足中型企业的功能。若将来需要升级到四WAN线路,则可将QVM330产品,移到较大的分公司或分支办公室,总部升级到QVM660规格的四WAN产品,可达到渐次升级的目的。2.解决跨网带宽瓶颈有些企业由于经营的特性,在中国不同区域或国外都有分支办公室,都想经由VPN交流信息。但由于中国存在“南电信北网通”情况,因此位于南方的办公室往往采用电信线路,而位于北方的办公室则采用网通线路,总公司位于大都市,往往较有机会申请到二家运营商的线路。在采用单一线路时,若是总公司采用电信线路时,从网通线路建立VPN的办公室,会发生不稳定或VPN掉线情况;反之若总公司采用网通线路由,则从电信建立VPN也会不稳定。若是采用多WAN路由器,总部可同时连接不同运营商线路,配合策略路由,指定不同运营商的分支办公室,各自由对应的线路建立VPN通道,则可解决南电信北网通跨网瓶颈。Qno侠诺有一例从事物流快递服务的客户,由于办公室遍及全国各地,又需要以互联网交换货物运送信息,因此即规划位于广州的总部,分别接入电信及网通的线路,并分别设置不同的VPN拨入口,以让各地办公室建立VPN,可达到快速交换信息的目的。另一家是从国跨国制造的公司,则采取VPN Hub的功能,来解决跨网的问题:该公司在国内有二个工厂分别接入电信及网通的光纤,但仍时常发生VPN互联不稳定情况,经过Qno侠诺技术服务部门建议后,该公司通过位于国外的销售办公室的多WAN路由器,设置VPN Hub功能,也就是国内两个工厂通过国外销售办公室互通,大大增加反应的速度。也就是国内的两个点虽然是不同运营商,但可经由国外的线路互通,也能增高速度。3.上网及VPN带宽分开管理方便对于上网人数较多又需要采用VPN的企业,网管特别希望能将VPN带宽及一般上网带宽分开,以免互相受到影响。多WAN路由器可支持多条线路,网管可将上网及VPN带宽分开,在这种情况下,VPN应用不致受到上网用户,例如BT下载的影响,而VPN应用需要带宽时,也不会限制一般用户的上网。例如位于广东的一连锁网吧总部,即采用QVM1000产品连接多条线路,其中一条作为VPN专用,提供加盟的网吧作VPN拨进,进行营业信息及应用的交换。而一般用户宽带上网则使用其它的线路,也可进行策略路由及带宽管理的配置,两种线路独立,方便网管进行管理。另外,需要这种应用的例如现代化连锁酒店,由于经常要提供带宽给客人用,但又需要和其它加盟酒店建立VPN联机,在这种情况下采用多WAN VPN产品,可保证客户服务及加盟酒店间互通的顺畅。4.保留线路给特定应用提高通讯质量多WAN路由器由于可支持多个线路,再加上VPN可确保安全及传输不受到运营商的控管,因此受到企业的欢迎。例如企业分支办公室间的VoIP如果流出,那么就会让企业的信息外流。有些企业则有时需进行较大文档的传输,例如设计图的交换、或是影像会议的进行。在这种时侯,网管就可配置特定的线路给这些应用,以保证稳定的通讯质量,不致因为带宽不稳定而中断。例如位于浙江省的一家制造业企业,每天下班后都必须和国外进行影像会议通讯,这时网管就可将特定线路保留给影像会议应用,以确保会议进行的持续。
⑦ 侠诺 QNO FVR420V 4WAN口 防火墙路由器应该怎样设置
FVR420v配备高效Intel IXP 533主频处理器,双向转发速率200Mbps,可支持100,000个联机数,最大带机量达500台计算器,封包处理快速稳定。支持硬件端口镜像、双外线带宽汇聚、负载均衡、线路备援、侠诺二代电信网通策略路由。 在功能配置上,带有侠诺新一代Smart QoS智能型带宽优化管理功能,无需配置即可自动压抑占用带宽用户,轻松解决BT、迅雷、点点通、视频下载等占用带宽问题。内建BT、QQ、MSN、Skype一指键简易管理功能,极简化配置省时省力。强效防火墙,有效防止各种黑客攻击、蠕虫、ARP病毒。支持虚拟区域网络VLAN功能,内网中划分多个互不相通的虚拟网络,限制病毒与无用信息流通,可提高网络效能、增加网络防护能力及安全性,网络结构更灵活、方便。配置界面 在产品的易用性方面,FVR420v提供中文和英文配置界面。进入配置界面,设置的选项包括网络连线配置、Qos宽带管理、IP/DHCP配置、防火墙配置、高级设置、系统工具、端口管理、日记和语音告警。网络连线配选项中,包括了广域网(WAN)接口的设置,广域网(WAN)接口可以通过几种方式接入,包括了ADSL固接/PPPoE计时制/Cable Modem/光纤接入/FTTX等多种接入方式。 支持自动线路备援功能,广域网电线排程,当一条线路断线时会自动改用另一个WAN端口的线路连接,确保联机不断线。例如:当0点到12点是目前所接线路的断网时间,网络管理员就可以在这个时间段设置另一条配置备援的ADSL可立即接上,确保网吧网络不断线。如下图:Qos宽带管理选项中,网络品质服务配置(QoS)的配置,可以宽带流量进行控制,特别是某个范围IP段最大及最小可使用宽带的控制。如下图:IP/DHCP配置中,有一般的DHCP服务功能,DHCP服务状态也可以在页面上清晰的看到,自动将地址池内的IP地址分配给局域网内的计算机,简化IP地址的管理。支持IP与MAC绑定,这一功能可有效的防止ARP攻击。 管理员还可以设定IP群组,以群组为单位制订访问策略,从而提升管理效率。。如下图:防火墙配置中,侠诺FVR420v提供了较为丰富的防火墙功能,基本设定包括了SPI封包主动侦测检验功能、DoS侦测功能、防止ARP病毒攻击等。也可以对网页内容进行管制。值得注意的是,对特定服务阻挡包括对MSN、QQ、Skype和BT迅雷, 管理员只要进行简单的勾选即可完成对于这些应用的控制。甚至还可以设置五组不受此限的IP范围,让工作上需要使用到这些应用软件的用户不受影响。如下图:在高级设置中,包括DMZ/虚拟服务主机设置,UPnP通讯协议设置,一对一NAT对应设定,路由通讯协议设置和广域网端口MAC地址配置,其中,一对一NAT对应设定,网络管理员只需在路由器中设置NAT功能, 内网使用公网IP地址可无障碍运作。如下图:在端口管理中,可以对每个端口设置,也可以查看端口状态即时显示信息。如下图:语音告警,“会说话”这款路由器最大的亮点,产品所具备的“语音告警”功能在网络安全预警方面是充分考虑到用户的需求,在宽带接入以及内部网络管理方面能够及时发现问题,并以语音提示的方式来告诉网络管理人员,如下图:功能介绍 FVR420v路由器其最大的特点就在于在原有路由器的功能上增加了语音告警功能,Qno侠诺第三代策略路由功能以及硬件端口镜像,相对老版本路由器在安全预警,解决宽带多线接入电信、网通数据传输策略以及内部网络带宽管理方面都有很大的提高,FVR420v在此方面的功能可以满足其中、大型网吧、企业、小区等宽带接入机构对网络接入方式以及网络管理的相关需求,更加方便网管人员的管理工作。除了语音告警方面贡献以外,在策略路由以及QoS方面,Qno侠诺的研发工程师们也花了不少的心思,推出了Qno侠诺第三代策略路由功能以及智能QoS带宽管理功能,策略路由功能:电信走电信、网通走网通,确保联机反应快速,解决中国“南电信北网通”跨网带宽受限问题。Qno侠诺二代电信网通策略路由:设置简化无需导入IP地址文件,自动判别对外网络数据包,分流电信网通线路,确保跨网联机反应快速、通行无碍。FVR420v具有Qno侠诺三代电信网通策略路由:可汇聚同运营商的线路带宽,作负载均衡控制,大大提升网络资源运用的灵活度。所以在策略路由方面其FVR420v充分考虑到用户的需求,提高处理效能,简化设置,让其策略能够为客户提供相当的方便。
⑧ 网吧中病毒了
ARP病毒问题已经讲了很长一段时间了,大家对于ARP病毒的防制也总结了不少的经验,不断在网上发更新防制方法。但是新的ARP病毒的变种更加猖獗,更加充斥我们网络的不同角落给我们的管理工作带来不大不小的问题,同时也影响到网络的正常运行,所以对ARP病毒的防护仍然是一个热点问题。 近日,又听到有许多网管抱怨传统的绑定方法有时候不能做到防制或者不能根本解决问题,例举一些在日常处理中经常会出现的问题: 1、仅在PC上绑定安全网关的IP和MAC地址或者做一个批处理文件来进行绑定,当病毒机器伪造IP/MAC,使错误的数据包充斥与网络中会造成大面积的掉线等情况。 2、仅在路由器做MAC绑定,没有从根本上解决ARP防护,当中ARP病毒的机器伪造网关使其他电脑将数据发到伪造的网关同样会造成掉线等相关问题。 3、利用一些辅助工具软件,比如一些防ARP病毒攻击软件,或者在PC机安装系统是安装IP/MAC绑定软件等,但现在还没有一款很实用的防ARP攻击软件可以做到有效的防制功能,再就是有些软件占用系统资源比较大,如果有攻击的话会大量占用CPU使用率以及内存等同样造成网络的不可用等问题。 4、使用监控软件,但是ARP病毒的发作不是说有规律可寻找的,网络管不可能时时都去注意这样的问题。 5、某些软件通过做几个假的DLL文件欺骗探测软件,但是某些ARP新的变种病毒不需要探测就可以进行ARP攻击。 6、在客户绑定过程中出现输入的错误等操作上的不足。 以上几个常用的方法其起到的作用是有限的,但是都会存在这样或者那样的弊端,我们必须寻求更好的解决办法,下面我们来介绍几招新的升级版的防治办法,这些都是Qno侠诺工程师们长期服务在一线工作中所积累宝贵经验。 解决客户实例 对于合肥有一家网吧有做了ARP绑定,亦无法抵挡ARP攻击, Qno侠诺工程师联系到客户并查看他的电脑,看到的批处理如下,并且PC 端通过Arp –a命令来确认并没有绑定。原因在与其echo后面的中文的叙述没有用“ ”来做标示,造成其批处理文件无法执行,其用户本机上根本没做相应的绑定工作,如图1。@echo OFFping XXX.XXX.XXX.XXX(保证客户网络安全,其IP地址数字用X代替)if %~n0==arp exitif %~n0==Arp exitif %~n0==ARP exitecho 正在获取本机信息….. :IPFOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=%%i && GOTO MAC:MACecho IP:%IP%FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do SetMAC=%%i && GOTO GateIP:GateIPecho MAC:%MAC%arp -s %IP% %MAC%echo 正在获取网关信息…..FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do SetGateIP=%%i && GOTO GateMac:GateMacecho IP:%GateIP%FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do SetGateMAC=%%i && GOTO Start:Startecho MAC:%GateMAC%arp -darp -s %GateIP% %GateMAC%echo 操作完成!!!exit Qno侠诺工程师通过对批处理文件做相应的修改,再检查路由器上的绑定,之后这个网吧就没有发现掉线问题了,至今网络运行正常,所以可看出通过双向绑定是完全可以解决ARP病毒防制的,确实是一个行之有效的办法,完全可以解决ARP病毒造成网络吊线、IP冲突的现象,使ARP病毒无能为力。同时建议用户在做双向绑定后,通过Arp –a的命令检查绑定是否有效,和路由器上的绑定是否有错误,这样来进一步确保防制ARP病毒的攻击,下面强调防制几个注意的问题。 1、执行完之后要用 arp -a 看 type 是 static 还是 dynamic。 2、不要用复杂的脚本,最简单的即可防止别人中了,自己不受影响,一般网吧都有还原卡,网管可以用软件监察,发现有中了ARP,提醒一下客人以防盗取帐号密码。 3、目前防毒软件也没有对此有很好的防范。 4、ARP称之为病毒,但实质上对于ARP协议来说,只是完善和加强(就好象信用卡在中国需要加密码,在外国只需要签名一样,但不是信用机制出了问题)。 5、不要指望能过广播发包,最终受影响的是自己的网络。 具体的ARP的解决方法 Qno侠诺工程师一般会提前做好防制工作,同时需要在客户端和路由器上做双向的绑定工作,这样的话无论ARP病毒是伪造本机的IP/MAC或者网关的地址都不会出现上网掉线或者大面积断线等问题了 1、激活防止ARP病毒攻击: 进入Qno侠诺路由器Web管理页面的“防火墙配置”的“基本页面”,激活“防止ARP病毒攻击”。 2、对每台pc上绑定网关的IP和其MAC地址 进入电脑的Dos操作,通过arp –s令或者批处理来实现pc的绑定工作(命令格式:arp –s [路由器IP地址] [路由器MAC地址])。 或者针对网络内的其他主机用同样的方法输入相应的主机IP以及MAC地址完成IP与MAC绑定。但是此动作,如果重启了电脑,作用就会消失,所以可以把此命令做成一个批处理文件,放在操作系统的启动里面:@echo off arp -d arp -s路由器LAN IP 路由器LAN MAC 当电脑上做绑定之后,就不会收到ARP欺骗攻击,向伪造的网关的 IP/MAC发送消息。 对于已经中了ARP攻击的内网,要找到攻击源。方法:在PC上不了网或者ping丢包的时候,在DOS下打 arp –a命令,看显示的网关的MAC地址是否和路由器真实的MAC相同。如果不是,则查找这个MAC地址所对应的PC,这台PC就是攻击源。 3、在路由器端绑定用户IP/MAC地址 Qno侠诺路由器提供IP/MAC绑定功能,你可以将内网的电脑的IP与对应的MAC地址绑定在一起,使路由器对没有绑定的IP/MAC将其封锁,当内网有ARP欺骗攻击的时候,其伪造IP/MAC向路由器发送消息,这时候由于伪造的IP/MAC并不在路由器的IP/MAC绑定列表里面,路由器会拒绝这类消息,将其挡掉。 4、进一步的防制 Qno侠诺技术工程师建议通过一些手段来进一步控制ARP的攻击。 (1)病毒源,对病毒源头的机器进行处理,杀毒或重新装系统。 (2)网吧管理员检查局域网病毒,安装杀毒软件。 (3)给系统安装补丁程序。 (4)给系统管理员帐户设置足够复杂的强密码。 (5)经常更新杀毒软件,安装并使用网络防火墙软件。 (6)关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务 (7)建议用户不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,以免病毒的传播。 总结: 我们通过以上综合的方法来解决ARP病毒攻击是行之有效的。虽然ARP病毒版本不断更新、不断升级,给企业用户及网吧不断带来新的冲击与危害,但是如果能够提前能够提前做好防制工作,相信ARP的危害会减少到最小的程度。 若遇到相关的或者其它技术上的问题,您可以随时登录www.qno.cn网站,我们的专业工程师有设有专业路由技术论坛,在那里您将得到更详细、更专业的解答与帮助。
⑨ 企业服务器日常维护都需要做哪些项
.服务器管理在这项管理工作中,主要是配置和管理服务器属性,安装和设置TCP/IP协议和远程访问服务协议,安装、配置和管理域控制器、文件服务器、DNS、WINS、DHCP、Web、FTP 服务器和各种远程访问服务器。对服务器的关键点工作状态(如温度、电源、风扇和UPS的运行等)进行必要的监控,以确保服务器正常工作。如果网络中存在多个域控制器,则还需对各服务器的配置信息进行实时更新;更新Web服务器页面信息、向数据库服务器注入新的数据、管理邮件服务器的用户信箱等。最后还有一点非常重要,就是要及时地更新服务器系统的版本或补丁程序,这不仅关系到服务器的性能发挥,而且还关系到整个网络系统的安全性,因为现在的操作系统不断有新的安全漏洞被发现,及时安装补丁可以有效地阻止填补这些安全漏洞。2.用户管理网络管理员在保证网络安全可靠运行的前提条件下,根据单位人员的工作职权和人员变动情况,为每个用户设置账户、密码和分配不同的网络访问权限;设置Web服务器、VPN 等远程访问服务器中用户的访问权限等;限制Web服务器可登录的账号数量,及时注销过期用户和己挂断的拨号用户,关闭不用的网络服务等。既要保证各用户的正常工作不受影响,同时又要避免分配过高权限而给网络安全和管理带来不必要的安全隐患。在本书中,针对用户管理方面在第2章、第5章、第6章做了较为详细的介绍。3.文件和文件夹的管理网络中的文件和文件夹管理是整个网络管理中最重要的部件之一,它不仅涉及到各用√ 的正常工作和网络应用,同时还关系到整个网络系统的安全性能。对于网络管理员来说,j 文件和文件夹管理中我们所做的工作主要有以下几个方面:证每一台工作站的一致性。如果要在工作站上安装新软件,应该先做一个安装测试,并记录下每一个步骤。测试新的安装在典型的工作站上是否会出现问题。如果认为满意,就在每一个用户的计算机上都重复安装过程,保证一致性。如果在每一台工作站上都使用相同的硬件和操作系统,一致性的安装应用程序非常简单。如果网络上用户过多,可以考虑使用某些特殊的工具来生成软件自动安装过程。如Windows系统的“无人值守安装"和“远程安装"功能就可大大减轻网络管理员软件安装的负担。软件永远不可能完美,总会有这样或那样的问题,所以无论是操作系统还是设备的驱动程序,都应该至少每个季度检查一次有无升级的提示,在服务器和工作站上都要进行这一工作。有时,补丁程序本身比要解决的问题更加可怕,操作系统的补丁导致的严重事故比比皆是。比如2003年1月25日爆发的Slammer病毒就是利用了SQL Server 2000早就发现的一个漏洞进行攻击的蠕虫病毒。早在2002年7月,微软就针对SQL Server 2000中l 434端口的漏洞,公布了安全补丁程序,对于微软服务器软件的用户来说,只要下载了补丁程序,就可以避免这次灾难。但遗憾的是,太多用户忽视了微软的建议。从上面的例子不难看出,安全意识的树立在某种意义上比安全技术本身更重要。另外,在软件管理方面还应对服务器中专门存放源程序的文件夹的访问权限进行严格限制,通常只允许系统管理员有权限访问和使用,否则一些不自觉的用户会在他们的计算机上安装一些本来他们不需要的软件。8.硬件资源的维护与管理在企业网络中,网络管理员通常需要负担起管理服务器和全部共享网络资源的责任,包括打印机、处理器、内存、硬盘等。在这种条件下,网络管理员的责任是相当直接的。保持所有资源连接、运转正常。在对这些网络硬件资源的管理中,其中一项重要任务就是实施常规检查。虽然现在复杂的网络操作系统可以承受一定程度的问题而不至于停工,但是网络管理员在这些非关键性的错误堆积起来并变得严重之前,需要周期性地检测服务器并纠正这些错误。计算机系统也带有诊断的工具,但是可能需要使用比它们更复杂的专业工具,比方说 Intel公司的LANDesk Management Suite或者Novell的ManageWise,可以进行更细致的测试,并有更好的联机帮助。网络就是网络管理员的阵地,网络管理员还应对网络内的各台微机或各个工作站进行定期巡检,了解每台计算机的状态,并定期保养。在出现了硬件故障后,网络管理员还必须承担起故障排除和基本硬件维修的责任。这是最体现网络管理员的技术水平、冷静心态和逻辑思考能力的时候。随着经验的增长,解决问题的能力也会逐步提高。网络管理员要了解各处可能发生的问题:时刻不忘在笔记本电脑中记下调查结果和建议;利用书籍、期刊和自学培训等方式尽可能地积累常见问题的解决方法;当然还应该采取措施预防网络故障的发生。网络管理员应尽可能多地搜集信息,并记录在网络文档中。你会惊奇地发现以前的积累常常可以帮助查明某个事件的原因。
