校园网优化改造建议

《校园网优化改造建议》由会员分享，可在线阅读，更多相关《校园网优化改造建议（38页珍藏版）》请在装配图网上搜索。

1、校园网优化改造建议具体设置举例1、解决ARP欺骗和攻击的方法（以下配置以 TP-LINK480T 为例，具体请本学校的设备为准）在局域网中，通信前必须通过 ARP协议来完成IP地址转换为第二层物理地址（即 MAC地址）。ARP 协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，对网络的正常传输和安全都是一个很严峻的考验。“又掉线了！”每当听到客户的抱怨声一片响起，网管员就坐立不安。其实，此起彼伏的瞬间掉线或大面积的断网大都是 ARP欺骗在作怪。ARP欺骗攻击已经成了破坏校园局域网的罪魁祸首，是网络 管理员的心腹大患。目前知道的带有ARP欺骗功能的软件有“ QQ第六感、“

2、网络执法官、“ P2P终结者、“网吧 传奇杀手”等，这些软件中，有些是人为手工操作来破坏网络的，有些是做为病毒或者木马出现，使用者 可能根本不知道它的存在，所以更加扩大了ARP攻击的杀伤力。从影响网络连接通畅的方式来看， ARP欺骗有两种攻击可能，一种是对路由器 ARP表的欺骗；另一种 是对内网电脑ARP表的欺骗，当然也可能两种攻击同时进行。不管理怎么样，欺骗发送后，电脑和路由器 之间发送的数据可能就被送到错误的MAC地址上，从表面上来看，就是“上不了网”，“访问不了路由器”，路由器死机了，因为一重启路由器，ARP表会重建，如果ARP攻击不是一直存在，就会表现为网络正常，所以学校网管会更加确定

3、是路由器“死机”或是网络掉线了，但实际上应该ARP协议本身的问题。好了，其他话就不多说，让我们来看看如何来防止ARP的欺骗吧。上面也已经说了，欺骗形式有欺骗路由器 ARP表和欺骗电脑ARP两种，我们的防护当然也是两个方 面的，首先在路由器上进行设置，来防止路由器的ARP表被恶意的ARP数据包更改；其次，我们也会在电脑上进行一下设置，来防止电脑的 ARP表受恶意更改。两个方面的设置都是必须的，不然，如果您只设置 了路由器的防止ARP欺骗功能而没有设置电脑，电脑被欺骗后就不会把数据包发送到路由器上，而是发送 到一个错误的地方，当然无法上网和访问路由器了。（1）、设置前准备当使用了防止ARP欺骗功能

4、(IP和MAC绑定功能)后，最好是不要使用动态IP，因为电脑可能获取到和IP与MAC绑定条目不同的IP，这时候可能会无法上网，通过下面的步骤来避免这一情况发生吧。 把路由器的DHCP功能关闭：打开路由器管理界面，“ DHCP服务器”一“D HCP服务”，把状态 由默认的“启用”更改为“不启用”，保存并重启路由器。 .给电脑手工指定IP地址、网关、DNS服务器地址，如果您不是很清楚当地的DNS地址，可以咨询您的网络服务商。(2) 、设置路由器防止ARP欺骗打开路由器的管理界面可以看到如下的左侧窗口：*运行状蕊*设置向导+网络参数-比与MAC嵋定静态册绑定设置*畑映射表+服务器*转发规则+安全设置

5、+跻由功能*动态BMS+系蜿工貝IP和MAC绑定夕卜,可以看到比之前的版本多出了“ IP与MAC绑定”的功能，这个功能除了可以实现还可以实现防止ARP欺骗功能。打开“静态ARP绑定设置”窗口如下:静程窗绑定设置本页谡直專机的NIAC地址和圧地址的匹配规则極鄭定；广不启用丨金启用丨|保存ID地址局域网IIF地址綁定配置当前列表为空増加单于案目使能所有案目删除所有罠目查找指定案目上一页| |下一夏|当前第 F3页和注意，默认情况下 ARP绑定功能是关闭，请选中启用后，点击保存来启用打开“ ARP映射表”窗口如下:血彼射表1E用龊地址局域岡註地址状态配置1O0-KJ-4C-BO-O4-BF222.

6、77.77.11耒绑定导入删除EOQ-&9-QO-4E-09-T5应 Ifle, 1.111未綁定1导入删除3OQ-OF-EA-5F-FV20192.IB&.1.112幽定J辱入删除全部期定全部导入刷新 帮助这是路由器动态学习到的 ARP表，可以看到状态这一栏显示为“未绑定”。如果确认这一个动态学习的表没有错误，也就是说当时不存在arp欺骗的情况下（如果网络是正常运行的，而且不同的IP对应的MAC地址不一样，一般是没有错误的），我们把这一个表进行绑定，并且保存为静态表，这样路由器重启后这些条目都会存在，达到一劳永逸的效果。点击“全部绑定”，可以看到下面界面:MAC地址局域阿工F地址状态配置00

7、-EO-4CB(HJBF222,17.71.1（己绑定|导入删除1 200-69-00-4E-09-75192.166. L111j已绑定1导入删除30D-C7-EA-5F-74-2S192.1&8 1.1121已涮导入删除全部御定全却导入刷新 帮助可以看到状态中已经为已绑定，这时候，路由器已经具备了防止ARP欺骗的功能，上面的示范中只有三个条目，如果您的电脑多，操作过程也是类似的。有些条目如果没有添加，也可以下次补充上去。除 了这种利用动态学习到的 ARP表来导入外，也可以使用手工添加的方式，只要知道电脑的MAC地址，手工添加相应条目就可。为了让下一次路由器重新启动后这些条目仍然存在，我们点

8、击了 “全部导入”，然后再次打开“静态ARP绑定设置”窗口：本页设置单机的卅亂地址和庄地址的匹配规则碱綁定：不启用煜启用|保存功MAC地址局域网IF地址配置rO0-EO-4C-B0O4EF222 7T. 7T. 117编辑删除200-69-QO-4B-09-751 號 1G3. 1. IllR编辑删除2O0-0r-EA-5F-F4-28192.188.1/11Z17編辑増加单于条目使能所有条目册所有条目直找指定条目下二页|当前第（TEJ页可以看到静态条目已经添加，而且在绑定这一栏已经打上勾，表示启用相应条目的绑定。到此，我们已经成功设置路由器来防止192.168.1.111 、192.168.

9、1.112、222.77.77.1 这三个IP受ARP欺骗的攻击,如果有更多的电脑，只是条目数不同，设置过程当然是一样的，不是很难吧？另：现在有部分具有 ARP防护功能的路由器，如果路由器有此功能建议开启对于这类路由器中提到的 ARP防护功能，其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击，是不能解决的。遭受ARP攻击的最常见的特征就是掉线，一般情况下不需要处理一定时间内可以回复正常上网，因为ARP欺骗是有老化时间的，过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息，使受骗的主机回复正常。但是如果出现攻击性A

10、RP欺骗（其实就是时间很短的量很大的欺骗ARP 1秒有个几百上千的），它是不断的发起ARP欺骗包来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。可能你 会有疑问：我们也可以发送比欺骗者更多更快正确的ARP信息啊？如果攻击者每秒发送 1000个ARP欺骗包,那我们就每秒发送1500个正确的ARP信息！面对上面的疑问，我们仔细想想，如果网络拓扑很大，网络中接了很多网络设备和主机，大量的设备都去处理这些广播信息，那网络使用起来好不爽，再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题，我们抓包分析，数据包中也会出现很多这类 ARP广播包

11、，对分析也会造成一定的影响(3) 、设置电脑防止ARP欺骗路由器已经设置了防止 ARP欺骗功能，接下来我们就来设置电脑的防止ARP欺骗了。微软的操作系统中都带有ARP这一命令行程序，我们可以在 windows的命令行界面来使用它。打开 windows的命令行提示符如下：D：DocunentsD：XDocuments and SettingsXfaeInterface: 192.168 1.100Type static!)Ph屮希ixaiE AddF牯 00-0a-eh-d5-6080通过“arp-s +路由器IP如192.168.1.1 +路由器的MAC地址”这一条命令来实现对路由器的ARP条

12、目的静态绑定，可以看到在arp -a 命令的输出中，已经有了我们刚才添加的条目，Type类型为static表示是静态添加的。至此，我们也已经设置了电脑的静态ARP条目，这样电脑发送到路由器的数据包就不会发送到错误的地方去了。进入“网络参数”“ LAN 口怎么知道路由器的MAC地址是多少呢？可以打开路由器的管理界面, 设置”：本贡设置IAN 口的基本网络参数.TF地址：|均2址$ 1/1子网掩玛：1255.255.255.0 !注意：当LAW口工F参数t包括TF地址、子网掩码）发生喪更时I为确保DHCF =ver能醇正常工作j应保证DHCP rver中设置的地址池.静态地址与新 的LAN口TF是

13、处于同一网段的并谙重启跻由黑。LAN口的MAC地址就是电脑的网关的 MA（地址细心的人可能已经发现了，如果使用上面的方法，电脑每次在重启后都需要输入上面的命令来实现防止ARP欺骗，有没有更简单的方法自动来完成，不用手工输入呢？有！我们可以新建一个批处理文件如static_arp.bat，注意后缀名为bat。编辑它，在里面加入我们刚 才的命令:扇 static_arp.bat -记爭本丈件（日编辑（或格式帮助|arp 92 .168-1 .1 O0-fla-eb-d5-60-80保存就可以了，以后可以通过双击它来执行这条命令，还可以把它放置到系统的启动目录下来实现启动时自己执行。打开电脑“开始”

14、一 “程序”，双击“启动”打开启动的文件夹目录，把刚才建立的static_arp.bat复制到里面去:立件（日編辑查看侧收窿（站 TM（D 帮瞰出搜素巳文件夹J巧莎X SrjTHt址（C:Documents and 5ettingsAdinini&tr3l:or f萊車、程序 l启动启动static arp.htr-.1S-LK?5扌此灶理丈件好了，以后电脑每次启动时就会自己执行arp - s命令了，网络管理员终于可以好好休息一下，不再受到ARP攻击的干扰。说明：对于网络中有很多主机，如果我们这样每一台都去做静态绑定，工作量是非常大的。，这种静态绑定，在电脑每次重起后，都必须重新在绑定，虽然也

15、可以做一个批处理文件，但是还是比较麻 烦的！对于这种情况我们建议使用ARP防护软件。目前关于ARP类的防护软件出的比较多了，大家使用比较常用的ARP工具主要是，360ARP防火墙、欣向ARP工具，Antiarp等。它们除了本身来检测出 ARP攻击外, 防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这些小工具。 、欣向ARP工具它有5个功能：A. IP/MAC 清单选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描，因为这个表格将作为对之后ARP的参照。之后的

16、功能都需要这个表格的支持，如果出现提示无法获取IP或MAC时，就说明这里的表格里面没有相应的数据。B. ARP欺骗检测这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面，例如，路由器，电影服务器，等需要内网机器访问的机器IP。（补充）“ARP欺骗记录”表如何理解:“Time”：发现问题时的时间；“sender ”：发送欺骗信息的 IP 或 MAC；“Repeat” ：欺诈信息发送的次数；“ARP info ”：是指发送欺骗信息的具体内容.如下面例子：time sender Repeat ARP info 22:22:22 192.168.1.22 1433 1

17、92.168.1.1 is at 00:0e:03:22:02:e8这条信息的意思是：在 22:22:22 的时间,检测到由 192.168.1.22 发出的欺骗信息，已经发送了 1433 次，他发送的欺骗信息的内容是：192.168.1.1 的MAC地址是00:0e:03:22:02:e8 。打开检测功能，如果出现针对表内IP的欺骗，会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句，任何机器都可以冒充其他机器发送IP与MAC所以即使提示出某个IP或MAC在发送欺骗信息，也未必是 100的准确。所有请不要以暴力解决某些问题。C. 主动维护这个功能可以直接解决 ARP欺骗的掉线问题，

18、但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。“制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP，尽量少的广播频率。一般设置1次就可以，如果没有绑定IP的情况下，出现ARP欺骗，可以设置到50- 100次，如果还有掉线可以设置更高，即可以实现快速解决ARP欺骗的问题。但是想真正解决 ARP问题，还是请参照上面绑定方法。D. 欣向路由器日志收集欣向路由器的系统日志，等功能。E. 抓包 类似于网络分析软件的抓包，保存格式是 .cap 。 、 Antiarp这个软件界面比较简单，以下该软件的使

19、用方法。A. 填入网关IP地址，点击获取网关地址将会显示出网关的MAC地址。点击自动防护即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MACfe址扫描器可以找出IP对应的MAC地址。B. IP 地址冲突如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用 AntiARP Sniffer 可以防止此类攻击。C. 您需要知道冲突的 MAC地址，Windows会记录这些错误。查看具体方法如下：右击 我的电脑 - 管理- 点击 事

20、件查看器 - 点击 系统- 查看来源为 TcpIP- 双击事件可以看到显示地址发生冲突，并记录了该 MAC地址，请复制该 MAC地址并填入 Anti ARPSniffer 的本地MAC地址输入 框中（请注意将：转换为-），输入完成之后点击防护地址冲突，为了使MAC地址生效请禁用本地网卡然后 再启用网卡，在 CMD命令行中输入Ipconfig /all ，查看当前MAC地址是否与本地 MAC地址输入框中的 MAC 地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。注意：如果您想恢复默认 MAC地址,请点击恢复默认,为了使MAC地址生效请禁用本地网卡然后再启用网卡。 、360ARP防

21、火墙这个软件也比较简单，A、 在保护状态着选择开启，即可开启基本的ARP防护功能。开启ARP防火墙将有效解决局域网内因为 ARP 攻击频繁掉线情况，并及时查杀已感染 ARP病毒木马。B、 在“当前网关IP/MAC保护设置”中，设置当前需要进行保护的网关IP/MAC，您可以选择由防火墙自动获取，也可以自行添加需要保护的网关的IP/MAC。C在“综合设置”中，可设置网关及DNS保护设置（自动获取或手工设置），同时可设置拦截攻击类型 （拦 截外部ARP攻击、拦截IP冲突、拦截本机对外 ARP攻击），建议全选。2、路由器连接数限制功能设置指导（以下配置以 TP-LINK480T 为例，具体请本学校的设

22、备为准）路由器里的“连接数”主要是指并发连接数，它是路由器能够同时处理的点对点连接的数目。那么， 连接数究竟是一个什么概念呢？它的大小会对用户的日常使用产生什么影响呢？要了解连接数，首先需要明白一个概念，那就是“会话”。这个“会话”可不是我们平时的谈话，但 是可以用平时的谈话来理解，两个人在谈话时，你一句，我一句，一问一答，我们把它称为一次对话，或 者叫会话。同样，在我们用电脑工作时，每一次完整的数据交换过程，我们都可以把它叫做一个“会话”。 说到这里，可能有人会说：这个是在电脑上的操作，跟路由器有什么关系呢？事实并不是这样的，我们使 用路由器的目的是共享上网，电脑说出去的话都需要路由器来转发

23、出去，对方电脑的回话也需要路由器转 发回来，那么，如果是多台电脑的话，路由器如何知道哪句话是谁说的呢？举个例子：张三、李四、王五 说话，您都知道哪句话是张三说的，哪句话是李四说的；那是因为您记住了他们说的话。路由器如果要分 辨的话，同样也要记住。在路由器内部维护着一张连接数表，是用来存放连接数信息，动态占用一些内存、CPU这张表的大小是固定的，如果某个时候，这张表被填满了；那么，再有数据要岀去的话，路由器没有 办法转发。可以这么说：“路由器的连接数是有上限的，如果其中的一部分电脑就用完了连接数，那么， 其余的电脑就没法上网”。下面以图例来说明连接数条目问题，以下测试结果在2M的ADSL线路上得

24、出的：(1) 打开的时候，连接数可以达到 80左右；这个连接数维持的时间很短，一分钟 之内可以老化消失掉。因此，不必担心这个会影响网速。那么，为什么会一下有这么多连接数呢？这主要 是象sina这些门户网站，有多个服务器，而且网页页面有很多图片、动画等，而网页浏览的时候需要先把 这些元素下载到本地电脑的临时文件夹里，这样一来，才会导致一瞬间产生这么多连接数。如图1所示:雋址地址|最犬建援栽1tee.169 1 10079图1连接新浪首页发起的连接数(2) 开启迅雷下载，占用连接数不是很多；当下载热门电影、游戏的时候，连接数会稳定在80左右；这80个连接数会一直存在，直到迅雷下载完成。强调一下，这

25、个数值是在2M ADSL线路上测试的。如图 2所示：局KE网跑址总融:t 当药总連措欝：了8ID園域用If能址当前連擾数1192 166 10070图2使用迅雷下载时发起的连接数3所示，是速度在多，等待稳定下载以后，连接数会下降；这些条目也是一直存在，直到下载完成。如图B3谢st4dKb/s 5-5时候，所发起的连接数这里说明一点：连接数和速度大小没有必然的联系。速度大，连接数不一定多；反过来，连接数多，速度也不一定大。但是，连接数多的话，速度 变大的可能性比较高。本页显示连接数列衷局域网地址总数：!当前总连接数；136IB局域网店地址最犬连接数当前连接数I193.168.1. 100无限制1

26、36图3使用BitComet下载其他的P2P软件，原理也是差不多的。上面通过几个简单的例子来说明下什么是连接数，那么在路由器上设置这个功能有什么好处呢？有两个目的：1、可以防止P2P类软件过分占用连接资源而导致的网速慢和掉线问题，同时也能间接的避免P2P软件占用太多的带宽（如果想要有效分配内网带宽的话请使用IP QOS功能）；2、可以避免一些攻击甚至病毒发起大量连接占用完路由器资源或带宽而导致的掉线问题。因此在学校局域网这种复杂的网络环境下，我们建议启用连接数限制，最大连接数建议设置为100或者 150。2、路由器IP QoS功能设置（以下配置以 TP-LINK480T为例，具体请本学校的设备

27、为准）这篇文档就TP-LINK企业级路由器的IP QoS功能的设置，给出了较详细的配置过程。下面就以TL-R480T举例说明。R480T软件升级后的界面如下，新增“ QoS :*运行状态*谡置向导*网络参数-QoS QoS Sat IF吹+ DHTF服务器QoS Set界面如下图上图中红线勾勒部分的信息重要性就不强调了，下面有“上行带宽”和“下行带宽”两项参数，点击页面“帮助”按钮可以看到下图信息：可以将“上行带宽”和“下行带宽”理解为用户申请的宽带线路的实际上下行带宽，比如ADSL线路上行512Kbps下行2Mbps，那么就可以在这里分别填写如下:才卞丁晤苗：可宾HH込讲.二舀.L讯用的不H

28、斥耳科旷沖盒,7；養茁“T,二百FT - y 口Q能设査”才制堆效，反之沏失如如上图，在这里强调的是：必须先开启这里的开关“开启QoS并填入线路实际的上下行带宽，然后才能在IP QoS页面继续配置，否则会提示错误。下面是IP QoS设置界面：举例添加如下新条目，如下图:上面填写了一些参数，解释如下：(1) “地址段”包含了从 .10 到.20 总共 11个 IP 地址。另外，这里的地址段允许输入和路由器LAN口 IP地址不在同一网段的IP地址，意味着用户内网如果采用三层交换设备规划了不同子网的方案下， 路由器也可以支持对不同网段 IP 的带宽限制。(2) “模式”独立带宽，顾名思义下面的“最大

29、带宽”“最小带宽”是针对这段IP 地址里面的每一个 IP 而言，如果模式选择了“共享带宽”也就是这段 IP 共享下面的参数。(3) 上行/下行”我们都知道网络上传输的数据流是有方向的，比如BT下载，可以从Internet上的服务器下载数据，自身也作为服务器上传数据，我司路由器IP QoS就是根据这种“有方向性的数据流” 来分别进行限制。路由器非常准确的对上 /下行数据流分开来进行了限制。就上图填写的参数，假设配置了192.168.1.10这个IP地址的主机正在进行 BT下载，那么这台主机的数据流量会比较大，这台主机的数据 流分两部分：一部分是它从别的服务器下载数据，一部分是它上传数据给别的主机

30、。路由器的IP QoS将会对这台 .10 的主机下载和上传两个方向的数据流量分别进行规定限制。按照上面填写的参数，.10主机在上行方向(上传数据)的数据流量最小保证50Kbps、最大不超过100Kbps的带宽，下行方向(下载数据)的数据流量最小保证100Kbps、最大不超过200Kbps的带宽。这里上行数据和下行数据的可用带宽是以线路实际上 /下行带宽作为参考的。如果现在 .10 .20 这11 台主机都在下载数据，而线路的实际下行带宽是有限的 2Mbps ，可能发 生带宽争用，按照我们上面设置的参数路由器要先保证每一个IP地址下行数据最小使用100Kbps的带宽，那么11台主机总共使用了 1

31、100Kbps的带宽资源，这条线路总的下行带宽资源 2000Kbps还余留约900Kbps， 这900Kbps的剩余带宽资源如何分配？我们可以这样理解路由器对剩余900Kbps的线路带宽的分配：比如某个时候11台主机都在争用剩余 900Kbps的带宽，那么“在第一轮争用过程中，11台主机平分了 900Kbps 的带宽”，过了第一轮争用后，11台主机中的2台在使用给自己保证的最小100Kbps的带宽后刚好足够传输不需要额外的带宽了，这 2台主机就退出了争用过程只余下 9台主机继续争用，那么在第二轮争用过程 中就是9台主机平分了 900Kbps的带宽。IF QoS本页通过立地址来进行带宽控制“ID

32、IP地址段模式上行带宽1Kbps)( 、 下行带宽(Kbps)吕用编辑撮小罠大摄小罠犬1192 158.1. 10 - 192.168 1. 10独立901001001000修改删除2192.1S8.1. 11 - 192. 168.1 11独立so1001002000P修改删除恭加新条目|删除所有条目|上1页下一页 I当前第r5三1夏|帮助I如上图红色标注， 现在假设线路的下行带宽是10Mbps，配置了 192.168.1.10和192.168.1.11 这两台主机的“下行带宽”最小都是100Kbps，最大却不同分别是1000Kbps和2000Kbps，那么带宽在分配的时候：*路由器先保证两

33、台主机的“下行带宽”最小可以使用到100Kbps。最小带宽保证后，两台主机进一步还有下行带宽的需求，那么超过100Kbps的流量后，路由器采用“轮询”方式，开始增大两台主机占用的有效带宽，当192.168.1.10这台主机的下行数据流占用的带宽达到最大1000Kbps的时候，路由器将不会载转发超过1000Kbps带宽的数据包。但是192.168.1.11 这台主机在争用带宽的时候，数据流达到1000Kbps后这台主机仍然需要更大的带宽，路由器会一直增大它占用的有效下行带宽至2000Kbps后，将不再继续转发超过这个带宽范围的数据包。剩余的下行7Mbps的带宽资源将闲置，不会分配给.10和.11

34、 ，除非将其最大可用“下行带宽”改为更大，否则它们将不能使用剩余带宽。配置IP QoS的时候，“模式”选择为“共享带宽”，则是地址段内包含的所有IP地址共享设置的上下行最大最小带宽。上面我们用了较长篇幅来描述企业级路由器新增的IP QoS功能的使用，是不是看似很复杂？不过即使您看的不是太懂的话也没有关系，您只需要按照下面的步骤来设置您的网络即可： 将内网的电脑的IP手工指定，并且是连续的，如192.168.1.2192.168.1.100，这样方便后面的设置； 在IP QOS设置开关处设置您的线路的带宽，分别设置线路的上行带宽和下行带宽，如10M的光纤线路需要填入10000 ;然后开启QOS总

35、开关； 进入IP QOS规则设置页面，添加新条目，设置：IP 地址段如 192.168.1.2 192.168.1.100 ;模式选择为“独立”；上行最小带宽：线路真实上行带宽 /内网电脑数，在此例中为 10000/99 = 101 ;最大带宽的设置关系不大，推荐设置 800 或 1000 或 2000；下行最小带宽：线路真实下行带宽 /内网电脑数，在此例中为 10000/99 = 101 ;最大带宽的设置关系不大，推荐设置 800 或 1000 或 2000; 保存，设置完成。4、PPPOE设置目前ARP病毒比较猖獗，严重影响了网络的正常运行。在一般情况下，只要有一台计算机感染ARP病毒就可

36、能造成此网段中所有计算机上网时断时续或缓慢等其它不正常现象。为了保障校园网络正常运行， 针对ARP病毒猖獗和破坏性，我们以上也介绍了一引起应对措施。但由于ARP病毒利用的是二层网络 ARP协议固有的弱点，以上措施并不能从根本上彻底解决问题，网络上有的介绍的应对措施虽然能从根本上解 决，但对于绝大部分学校来说，资金投入又比较多，例如以下网管常用的几种应对措施：第一、对感染病毒的计算机进行暂时断网杀毒；给网络中每台计算机安装 ARP病毒防御软件（Antiarp、360ARP防火墙等）。不足之外：在学校计算机数量比较多的情况下不利于实施。第二、 对每台计算机实行IP和MAC双向绑定。不足之外：在计算

37、机数量比较多的情况下不利于实施。第三、 使用路由器广播网关 MAC地址ARP包。不足之外：影响网络质量，在ARP病毒发包比较厉害的情况下作用不大，不能从根本上阻止ARP病毒攻击。第四、 每台计算机都直接连接可网管交换机，用交换机进行端口和MAC地址以及IP地址绑定。不足之处：需要可网管交换机，资金投入大。以上措施都是在继续使用 ARP协议上网的基础上实施的。那么有没有一种能够彻底解决ARP病毒带来的困扰而且投资又比较少的上网方式呢？其实是有的，我们可以在网内采用 PPPOE（PPPO全称 Point toPoint Protocol over Ethernet，意思是基于以太网的点对点协议 ）

38、 的方式上网。这种方式不使用 ARP协议，也就不存在ARP病毒欺骗了，如同ADSL宽带上网，每个工作站访问Internet是相对独立的，互不干扰，可以有效解决局域网ARP攻击等带来的问题。（具体可参见PPPOE协议原理）需要使用PPPOE就必须有能支持PPPOE SERVE的设备，而电信级的支持 PPPO敢务的BRAS设备的价 格高昂（如华为 MA5200等），不是一般学校能够接受的，普通的宽带路由器如TP- link、侠诺等又不支持PPPOE SERVEF如何解决呢？下面我们就重点介绍部分支持PPPOE SERVE的性价比又比较高的中低端路由器及软路由。支持PPPOE SERVE的中低端路由

39、器有：h3c（华三）VRP 3.4 版本以上的中低端路由器 ，华为（H3C） AR18-21A （约1600元已停产）、MSR20-10（约 2500元） 推荐, 如博达的 1750（约 1200 元）、 2605等（推荐）;Cisco（ 思科）1700 以上路由器（价格较高）;BEST HR- 802 宽带路由器（小品牌，未实际试用）。支持PPPOE SERVE的软路由：海蜘蛛（针对国内网络条件优化的软路由器，做用WEB进行管理，简单易用）；ROUTEROS最著名的软路由系统，功能强大，为收费软件，国内一版采用汉化破解版，主要通过脚本 进行管理，也可以使用 winbox通过web进行管理）下

40、面我们就举例说明具体的配置： 、华为中低端路由器 PPPOE SERVE设置以下是华为 AR18-21 配置，进入 后将下面的脚本 COPY 进去，再根据学校具体的网络情况进行修 改即可。sysQuidway# sysname Quidway#clock timezone gmt+08:004 add 08:00:00#cpu-usage cycle 1min#connection-limit disableconnection-limit default action denyconnection-limit default amount upper-limit 50 lower-limit

41、 20 # dialer-rule 1 ip permit#qos carl 1 source-ip-address range 192.168.1.2 to 192.168.1.255 per-addressqos carl 2 destination-ip-address range 192.168.1.2 to 192.168.1.255 per-addressqos carl 3 source-ip-address range 192.168.2.2 to 192.168.2.255 per-addressqos carl 4 destination-ip-address range

42、192.168.2.2 to 192.168.2.255 per-address #/定义DNS服务器1/定义DNS服务器2/ 创建域 ggdx/ 认证方式采用本地认证/ 定义域 IP 地址池/ 定义域 PPPOE/ 认证方式采用本地认证DNS resolveDNS server 202.103.225.68DNS server 202.103.224.68DNS-proxy enable#web set-package force flash:/http.zip#radius scheme system#domain ggdxauthentication localip pool 192.1

43、68.1.2 to 192.168.1.255 domain pppoeauthentication localip pool 192.168.2.2 to 192.168.2.255 domain system#local-user adminpassword simple 123456 之不理 service-type telnet terminal / level 3service-type ftplocal-user user1password simple pass1service-type ppp#acl number 2000rule 0 permit source 192.16

44、8.1.0 0.0.0.255 rule 1 permit source 192.168.2.0 0.0.0.255/ 定义域 IP 地址池/ 创建本地用户/ 定义用户密码采用 telnet 方式登录/ 创建本地用户/ 定义用户密码/采用ppp方式登录/ 定义 acl/ 定义 acl 规则interface Virtual-Template1ppp authentication-mode chap domain ggdx ppp ipcp dns 101.103.225.68 202.103.224.68 ip address 192.168.1.1 255.255.255.0qos car

45、inbound carl 1 cir 200000/ 创建虚接口/定义PPP认证方式为 chap,域为ggdx/定义PPP给对端分配的 DNS服务器地址/ 定义虚接口地址cbs 200000 ebs 200000 green pass red discard/ 定义上传流量为 200Kqos car outbound carl 2 cir 300000 cbs 300000 ebs 300000 green pass red discard / 定义下行流量为 300K# interface Virtual-Template2ppp authentication-mode chap domai

46、n pppoeppp ipcp dns 202.103.225.68 202.103.224.68 ip address 192.168.2.1 255.255.255.0qos car inbound carl 3 cir 200000 cbs 200000 ebs 200000 green pass red discard qos car outbound carl 4 cir 300000 cbs 300000 ebs 300000 green pass red discard # interface Aux0 async mode flow #interface Dialer0/创建P

47、PPOE拨号接口link-protocol ppp/ 连接协议为 PPPppp pap local-user ggdx password simple 123456/定义拨号用户名及密码mtu 1400 /最大传输单元tcp mss 1024ppp ipcp dns request/指定DNS获取方式是自动获取ip address ppp-negotiate/IP 地址自动获取dialer user GGDX/拨号用户名称dialer bundle 1dialer-group 1nat outbound 2000/ 指定 NAT acl 规则# interface Ethernet1/0# i

48、nterface Ethernet1/0.1 ip address 192.168.1.1 255.255.255.0 dhcp select interfacedhcp server dns-list 192.168.1.1dhcp server expired day 0 hour 4vlan-type dot1q vid 10#interface Ethernet1/0.2ip address 192.168.2.1 255.255.255.0dhcp select interfacedhcp server dns-list 192.168.2.1dhcp server expired

49、day 0 hour 4vlan-type dot1q vid 8#interface Ethernet1/1port link-type hybridport hybrid vlan 8 10 taggedport hybrid vlan 1 untagged#interface Ethernet1/2#interface Ethernet1/3#interface Ethernet1/4#interface Ethernet2/0pppoe-client dial-bundle-number 1nat server protocol tcp global 10.198.134.251 69

50、56 inside 192.168.1.11 3389 / 标端口映射#interface NULL0#Ripnetwork 192.168.1.0/RIP 路由设置network 192.168.2.0#ip route-static 0.0.0.0 0.0.0.0 Dialer 0 preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4user privilege level 3set authentication password simple ggdxadmin#returnQuidway

51、（2）博达1750 PPPOE SERVEF及带宽限速配置!service timestamps log dateservice timestamps debug dateno service password-encryption!set-wan-count 4用于设定 WAN端口数量（范围1 4）!ip domain proxy enable 开启作为代理域名服务器的功能ip domain name-server ppp使用 PPP指定域名服务器!ip fast-switch enable全局快速交换使能!gbsc enable 启用 gbsc 模块gbsc group bdcom 配置组

52、 bdcomrange 172.16.1.100 172.16.1.254配置组包含的范围set-band upload 800000 1000000配置一个组内所有主机的带宽（dowload 下行，upload上行 ）, 最低保证速率 , 最高限制速率set-band download 800000 1000000anti dos防止组内的主机进行DOS攻击!gbsc group default配置缺省组set-band upload 800000 1000000配置上行带宽set-band download 800000 1000000 配置限制的下行带宽定义本地地址池 bdcom 地址从

53、 172.16.1.100 开始anti dos防止组内的主机进行DOS攻击 ip local pool bdcom 172.16.1.100 100100个登录时进行 AAA 认证缺省使用本地用户名数据aaa authentication login default local 库进行认证aaa authentication enable default noneaaa authentication ppp default local !指定用于运行 PPP的串行接口的 AAA认证方法username admin password 0 admin username router passwo

54、rd 0 switch用户名密码 0 不加密interface Virtual-template100配置 virtual-template接口，接口号 100ip address 172.16.1.1 255.255.255.0配置 IP 地址no ip directed-broadcast ppp authentication chap ppp chap hostname router peer default ip address pool bdcom ip nat inside1不转发 IP 定向广播配置PPP认证采取chap配置 PPP chap 认证的主机名从dbcom的地址池中分

55、配地址接口连接到内部网络Iinterface Virtual-tunnel0配置 virtual-tunnel0ip address negotiated no ip directed-broadcastIP 地址自动获取禁用 IP 直接广播no ip unreachableppp chap hostname ggbgggbg配置 PPP chap 认证的主机名ppp chap password 0 ggbg配置 PPP chap 认证的密码ppp pap sent-username ggbgggbg password 0 ggbg 配置 PPP pap 认证的用户名及密码ip nat out

56、side ip nat mss 1452接口连接到外部网络interface FastEthernet0/0配置 FastEthernet0/0 （连接外网 ）no ip addressno ip directed-broadcastinterface FastEthernet0/1配置 FastEthernet0/1ip address 192.168.2.1 255.255.255.0配置 IP 地址no ip directed-broadcastno ip unreachableip fastaccess deny tcp 135ip fastaccess deny tcp 139ip

57、fastaccess deny tcp 445ip fastaccess deny tcp 1025ip fastaccess deny tcp 1433ip fastaccess deny tcp 4444ip fastaccess deny tcp 5554ip fastaccess deny tcp 9996ip fastaccess deny udp 69ip fastaccess deny udp 1434ip nat insideip fast-switch enable!interface FastEthernet0/2no ip addressno ip directed-br

58、oadcast!interface FastEthernet0/2.1 ip address 1.1.1.1 255.255.255.0 no ip directed-broadcast encapsulation dot1Q 2 bandwidth 100000 delay 1!interface FastEthernet0/3no ip addressno ip directed-broadcast!interface FastEthernet0/4no ip addressno ip directed-broadcast配置 Fasterhnet0/2配置子接口 fasternet0/2

59、.1 配置 IP 地址加入 vlan2带宽 100Mip route default Virtual-tunnel0配置默认路由通过 Virtual-tunnel0ip access-list extended NAT_WAN0_LIST permit ip 192.168.2.0 255.255.255.0 any 问任何地址permit ip 172.16.1.0 255.255.255.0 any255.255.255.0 访问任何地址配置扩展访问列表允许 ip 地址是 192.168.2.0 255.255.255.0 访允 许 ip 地 址 是 172.16.1.0vpdn enab

60、le使能 vpdnvpdn-group poe0配置 vpdn 组 poe0request-diali nport Virtual-tu nn el0protocol pppoepppoe bind FastEther netO/O!vpd n-group gua ngxiaccept-diali nport Virtual-template100 protocol pppoe pppoe bind FastEther net0/1 !ip dhcpd pool dpoolnetwork 192.16820 255.255.255.0 ran ge 192.168.2.1 192.168.2.254 default-rout