如何选购网吧路由器?

市面上的网吧路由器产品品牌众多、功能五花八门，如何选购最适合自己的网吧路由器？听听专家给你哪些建议。

网吧面临的几大问题

网吧网络面临的最大问题是网络不稳定。其表现形式为玩游戏卡、掉线，上网速度慢，视频时断时续。导致网吧网络不稳定的原因主要有以下四点。

一、ARP欺骗

网吧ARP欺骗病毒据说起源于《传奇》游戏盗号，由于《传奇》游戏火爆，玩家的虚拟物品可现金交易，利益的驱使导致某些人利用ARP欺骗来盗取别人的《传奇》账号。从此，ARP欺骗病毒一发不可收拾，并且越来越猖獗，成为网吧业主的心病。

二、内、外网DoS攻击

由于网吧竞争激烈，一些网吧为了抢客源，不惜冒着违法的风险利用DoS攻击工具攻击周边竞争网吧，导致被攻击网吧的出口路由器瘫痪或者线路被堵塞。

由于网吧的公共性，一些恶意攻击者直接利用网吧PC或者利用木马控制网吧PC攻击指定的公网目标，这种攻击强度非常大，可直接导致网吧出口路由器瘫痪或者线路拥塞。

三、带宽被BT等应用抢占

在网吧里只要有人使用迅雷、BT等下载工具进行下载，网吧的出口带宽迅速就会被迅速抢占，发生网络拥塞。

迅雷、BT等下载业务在网络拥塞的情况下，可断点续传，但游戏、视频等实时应用却无法断点续传，出现卡甚至通信中断的现象。

四、维护困难

网吧网络的日常维护一般是由网吧网管负责，然而网吧网管大多数毕竟不是拥有很高技能的IT专业人士，在日常维护过程中，很难做到及时发现问题并解决。其结果往往是故障不断扩大和持续，影响网吧正常营业。既然生病不可避免，那么关键的是要保证生病以后能迅速治好。所以，网吧路由器是否容易维护，特别是能否让网吧网管快速上手并熟练使用，也成为影响网吧网络稳定的一个重要因素。

如何应对

针对以上四大问题，下面分别介绍一下解决方法。

一、如何防ARP欺骗？

防ARP欺骗目前的常用做法是双向绑定，即在PC上绑定网关的MAC地址，在出口路由器上静态绑定PC的MAC地址。这种做法可以防止一些ARP欺骗，但随着ARP欺骗病毒越来越智能，这种做法已经越来越力不从心了。

双向绑定具有以下一些缺陷：

1.只能防止PC和外网通信不被ARP欺骗中断，但PC和PC之间进行的内网游戏就无法保证，除非在所有PC上绑定全网PC的MAC，这显然不太现实，因为网吧PC的 IP可能随时变化；

2.Windows系统的一些版本存在漏洞，静态MAC绑定等同虚设，用一些特殊格式的ARP报文就可轻松欺骗Windows；

3.ARP 欺骗越来越智能，一些变种已经能直接删除PC的MAC静态绑定，正如一些病毒可以关闭杀毒软件一样。

要真正彻底解决ARP欺骗，还得从根抓起，即不让ARP欺骗报文在网络中传播。做法就是使用带防ARP欺骗功能的交换机/路由器。目前，市场上支持防ARP欺骗的安全交换机/路由器不多，只有几家。不过，用安全交换机/路由器来防止ARP欺骗已经越来越受到网吧业主的认可，如在东莞、苏州等地区，已经有很多网吧开始使用锐捷的安全交换机来防ARP欺骗。

二、如何防内、外网DoS攻击？

要彻底解决外网发起的DoS攻击，需要各个部门的配合。对网吧业主而言，可做的就是申请高一些的带宽，同时采用抗DoS攻击能力强并且有攻击报警功能的出口路由器。如果路由器有攻击报警而且攻击严重影响网吧运营，就要及时报案，依靠法律手段来保护自己的利益。一般情况下，网吧不会无缘无故受到攻击的，还是有很多线索可供公安部门找到攻击者的。

内网发起的DoS攻击，攻击强度一般都非常大，无论目标是外网还是网关，都可能导致网关瘫痪、网络拥塞。

要真正解决内网发起的DoS攻击，需要双管齐下。

1.使用支持硬件过滤DoS攻击报文和流量控制的安全交换机；

2.使用流量限速和NAT会话数限制的出口路由器。一般情况下，DoS攻击报文的特点是源IP不断变化，而MAC地址不变，如果出口路由器能支持基于MAC的流量限速和NAT 会话数限制更好。

支持过滤ARP欺骗报文的安全交换机不多，同时支持过滤ARP欺骗报文和DoS攻击报文的安全交换机就更少，屈指可数。

市场上几乎所有的网吧路由器都支持流量限速和NAT会话数限制。这里特别值得一提的是一些领先厂商的产品已经开始支持MAC地址NAT会话数限制，同时还可以根据MAC地址直接对内网攻击源进行硬件阻断。看来，基于MAC地址的NAT会话数限制是个趋势。

三、如何合理使用带宽？

用户花钱到网吧上网，不让进行BT下载显然不合适。解决办法就是进行流量限速和NAT 会话数限制，不让BT等应用抢占带宽。

目前，常用的流量限速有两种方式：一种是固定带宽，即指定用户任何时候只能使用设置好的带宽(如1M)上网，不能使用多余的带宽；另一种是弹性带宽，即用户可以共享冗余带宽。

固定带宽流量限速无法利用多余的带宽，造成带宽的空闲，显然不如弹性带宽。弹性带宽的主流做法有两种，一种是所有用户无论何时都平均分配带宽，另一种是给用户指定保留带宽，同时指定在带宽冗余情况下可以使用的最高带宽。

平均带宽做法在人少的时候没有问题，人数超过150个以后，可能就会出现网络震荡。因为上网人数不断增加，新分配的带宽比原有带宽小，会造成有些在线应用的丢包。

只要设置合适，指定保留带宽和最高带宽的做法，可保证需要高带宽的用户能共享多余带宽，又能保证其他用户的正常使用不受影响。

四、如何解决维护困难？

要解决维护困难问题，得从根源上解决，即网络设备要尽量做到配置维护傻瓜化，易用性好。

市面上能见到的网吧路由器基本上都支持web配置，配置越来越简单;很多交换机也开始支持web配置。锐捷网络最近提出了“零维护”网吧方案，放弃原有功能强大的Java平台web管理界面，采用Java脚本语言重新设计web，不仅如此，NBR系列产品还实现了和安全交换机的智能联动，自动发现安全交换机并自动进行IP/MAC/端口三元素绑定。网吧网络设备的易用性问题将成为近期各大厂家关注的焦点。

选购贴士

总的来说，选购网吧路由器可用以下几条标准进行衡量：

1.是否支持快速绑定PC的MAC地址；

2.抗DoS攻击能力是否强大，是否支持攻击报警，是否支持流量限速和NAT会话数限制，最好是基于MAC地址的；

3.是否支持弹性带宽，最好是指定保留带宽和最高带宽方式的；

4.设备是否好维护。

以上是技术指标，在具体采购的时候还要考虑产品的价格和售后服务，综合各种因素，选择性价比最适合的网吧路由器。

最后不得不提的是，网吧网络是由交换机和路由器组成，要解决网吧所面临的问题，除了选购合适的路由器之外，还要考虑选择合适的交换机，网吧最理想的交换机是能同时支持防ARP欺骗、硬件过滤DoS攻击报文以及流量控制的安全交换机。