路由器常见问题(12篇)
1.路由器常见问题 篇一
问题: 可以从两个不同的电源给Cisco 7500的两个电源供电吗?
解答: 从不同的两个电源为电源供电存在一定的问题,显然,应该注意不同接地点之间的差异问题。
建议将中性点到地线的发电机侧线盘和中性点到地线的网络设备侧的线盘连接起来。这样可以消除上述的潜在差异,至少可以将这种差异减少到可接受的程度。
我们从未试验过非固定式供电电源,因为我们的设备是符合“国家电器法规”的,该法规规定不容许这样供电。如果中性点D地线中间的线盘处理不当,会产生如下的后果:轻则系统会产生莫名其妙的挂起死机,重则由于不同的地线系统而引起火灾。备份电源的功率越大(如几百千瓦),后果越严重。
问题:为什么Cisco7513中电源的负载分担不是按照50/50分配的?
解答: 电源的负载分担不是按照50/50分配的,而是介于40/60和50/50之间。例如:
PS1+5V 实测电流51.76A(容量200A)
PS1+12V 实测电流1.92A(容量35A)
PS1-12V 实测电流0.04A(容量3A)
PS1输出为285W
PS2+5V 实测电流60.39A(容量200A)
PS2+12V 实测电流2.61A(容量35A)
PS2-12V 实测电流0.02A(容量3A)
PS2输出为337W
所以整个电源为285W+337W=622W
PS1:285/622=0.45--45/55
这个情况属于正常范围。
问题:为什么我的Cisco7507报告“PS1输出为0W”?
解答: Cisco7507不报告消耗的电流数值(安培),所以无法计算出消耗的功率值。它只报告每条总线的电压。.
Cisco7513能够报告电流值和功率值。
问题:Cisco7500直流电源要求的最小断路器是多少?
解答: Cisco7513的断路器至少提供40 Amps电流,Cisco7507至少提供24 Amps,
在安装断路器时还应根据实际情况,提供一定的富余量:
Cisco7513 断路器为 50Amps
Cisco7505 断路器为 30Amps
这些数值是根据最小输入电压为-40.5 VDC而设定的。每个系统都有可选的冗余电源。每个电源应连接到不同的断路器以备冗余之用。
切记,断路器并不是用来保护系统的,而是用来保护机房的。
问题:该怎样实施在线插拔(OIR)?
解答: 安全的做法是将路由器关机后进行任何的硬件更换。如果需要进行在线插拔,应遵照下列建议,如果没有按照正确的方法实施,系统将报告错误信息。
强烈建议一次只进行一块接口板的在线插拔。
必须容许系统在进行在线插拔之前利用一定的时间处理正在进行的程序。在系统进行认证之前打断系统的序列,会引起系统检测到虚假硬件错误。
插入板卡时要坚决、快速,但不要用力过猛。
确认适用板卡侧端的塑料卡子固定好。
在线插拔期间收到CPUHOG或在之后收到LONGSTALL信息,请不要理会。
VIP卡和其他接口卡支持在线插拔,但是接口适配器不支持。
在成功进行在线插拔之后,不必进行系统重启。
系统配置不支持在没有PA卡的情况下,插入VIP卡。每个接口处理器槽位必须插入插板(接口处理板的托架),以起到防尘和通风的作用。
注意: Cisco7505(或Cisco7505-MX)或Cisco7513(或Cisco7513-MX)路由器在启用高系统可用性(HAS)功能时,在每个CyBus中在线插拔任何接口处理板,会引起系统总线错误,备用RSP2重起,或引起处理器内存校验错误。配置RSP4或RSP8的系统不会出现此类错误。
问题:在线插拔时会出现什么现象?
解答:在插入VIP2时,VIP通电并启动准备安装VIP内核代码。同时,VIP给PA卡加电,进行系统自检。
VIP内核代码下载后,VIP会检测出有那些PA卡。VIP计算出共享和动态内存的大小,并和RSP卡通信以便决定为PA卡加载那些功能。
2.路由器常见问题 篇二
无线路由器刚出厂时的默认配置是不能连接到互联网的,此时的无线网络未经过任何加密方法,存在安全隐患,需经过一些的配置。下面就以华硕的RT-G31无线路由器为例。将网线的一端接调制解调器另一端接于路由器的WAN口,再取另一条网线一端接LAN口另一端接于计算机,接通电源,就可以对无线路由器执行配置了。
1、在IE地址栏里输入IP地址"192.168.1.1",按回车,输入用户名"admin",密码"admin"之后,就可以执行配置界面了。
2、点击左侧的配置向导,然后点下一步。
3、点击"启用网络时间协义",点下一步
4、常使用的是PPPOE服务,请选择ADSL连接,比如PPPOE,并输入用户名和密码。(其它ISP服务省略)
5、此处是对无线网络基本配置,我们也可以修改SSID,用一个自己的名称作为无线网络的名称。另外可以选择一个信道,如果周围存在其他相同信道的无线网络,那么我们的网络就会受到一定程度的干扰,所以在选择信道的时候最好选择一个和其他网络不同的。
6、在无线安全配置里,我们可能对无线网络执行加密。加密模式有WEP、WPA/WPA2/WPA Mixed,须要留心的是11N模式是不支持WEP加密的,若选择WEP加密形式,则路由器自动跳转到11g模式下工作。在普通环境下运用WPA就可以了,即安全可靠,短语式密码又便于记忆配置完成后,点击下一步,就完成了基本网络参数的配置,重启后就可以执行网络的访问了。
二、无线互访故障的现象及其应对办法
故障一、每隔一段时间不能访问
首先要登录进无线路由器的后台配置界面,并在其中找到有关连接方式的设置选项,并将该选项数值设置成"自动连接,在开机和断线后进行自动连接",最后保存好配置参数,并重新启动一下无线路由器设备。要是经过上面的设置操作后,无线局域网仍然还是每隔一段时间就出现掉线现象的话,那么我们就有必要检查一下当前的无线局域网是否遭受了网络病毒或黑客的攻击,例如无线局域网一旦遭受到ARP网络攻击的话,那就会经常出现网络每隔一段时间就不能访问的奇怪现象。
故障二、访问速度慢
由无线路由器摆放位置引起的访问速度下降故障,则是比较常见,而且也经常被普通用户所忽略。当无线路由器摆放位置不合适时,那么无线工作站所能接受到的无线信号比较微弱,所以当它通过无线网络传输文件时速度自然也就很慢了。
为了解决好这种故障现象,我们可以将无线路由器放置在无线局域网的中心位置,同时确保该设备与其他的无线工作站之间不能间隔较多的水泥墙壁;还有一点要做到的,就是尽量将无线路由器放置在一个较高的位置上,只有这样无线工作站才能获取强度较好的通信信号。
故障三、不能访问Internet
首先检查物理连接方面是否正常。其次登入后台登录界面,在该界面中Ping本地ISP的DNS服务器地址,要是Ping测试操作正常,那就意味着无线路由器到Internet之间的线路状态是畅通的,不然的话我们需要检查无线路由器的上网参数是否配置正确。再次在无线局域网中任找一台普通工作站,并将该工作站系统的界面切换到MS-DOS窗口,然后在该窗口的命令行中执行字符串命令"Ping aaa.aaa.aaa.aaa"(其中aaa.aaa.aaa.aaa地址为无线路由器的内部接口地址,也就是本地网络的网关地址),要是该命令能够执行成功的话,那就表示本地局域网网络内部的线路连接是正常的,不然的话我们就需要检查无线路由器配置和工作站配置的正确性了。要是上面的几项Ping测试都能通过,但是还无法上网访问的话,可以恢复一下路由器的出厂设置试下。
故障四、无法访问无线路由器后台界面
硬件故障原因比较常见,例如网络线缆断裂或短路,网络连接接头出现松动现象,无线路由器自身存在硬件故障等。如果无线路由器的输入电压不正常,或者该设备内部的温度过高,或者该设备遭遇雷击的话,也容易导致无线路由器后台界面无法访问故障。一般情况下电源信号灯处于间歇性闪烁状态时,那就说明该设备的输入电压正常,如果无线路由器控制面板中的其他信号灯不正常时,那么我们只要根据对应信号灯的状态来进行针对性地排查就可以了。
当然上面的操作如果还无效的话,那么我们不妨按下无线路由器控制面板中的复位按钮,以便将该设备的所有工作参数恢复到出厂设置,实在还不行的话,只有联系设备厂商并检查相关硬件之间的冲突问题了。
三、无线网络安全防范要点
安全一直是一个永恒不变的话题。随着无线网络的流行,无线网络的安全问题更加突出。因为无线网络与有线网络相比,不需要物理上线路的连接,完全借助无线电磁波进行连接,因此更容易受到入侵。不过只要我们在使用无线网络时注意下面的一些事项,同样可以保证网络的安全。
(一)默认设置不能用
由于无线网络中最重要的设备之一就是无线路由器或中继器。一般来说,同一品牌的无线设备访问地址都是相同的,例如192.168.1.1等;而其默用的用户名、密码也大多为admin;其SSID标识也都一样。如果不修改这些默认的设置,那么入侵者则非常容易的通过扫描工具找到这些设备并进入管理界面,获得设备的控制权。因此,修改默认设置是一项最基本的安全措施。这不仅对无线网络设备有用,对其它共享上网的AD-SL、路由等同样有效。
(二)禁止SSID广播
启用SSID广播,将有利于无线网络客户端自动接收SSID号,而不必知道无线路由的SSID设置。但是对于家庭用户或有固定用户的朋友来说,完全没有必要启用SSID广播,因为这样做很容易给一些来历不明的入侵者建立连接。作为拥有固定用户客户端的环境,我们完全可以告知他们SSID标识符,让他们自己手工直接输入以建立连接即可。
(三)过滤设置
一般的无线宽带路由器都会有过滤方面的设置。过滤一般包括IP地址过滤和MAC地址过滤两项。其中IP地址过滤设置相对复杂一点,一般都是通过单击"添加新条目"等类型的按钮打开创建过滤规则操作窗口,然后设置操作的IP地址,例如我们可以将允许使用的IP地址全部添加进来,同时将其设为"允许通行",这样没有被添加进来的IP地址则无法连接;同理,如果希望获得更高级的安全,那么则可以在MAC地址过滤中将允许访问的无线客户端网卡的MAC地址添加进来,并设为允许通行即可。
(四)手工指定IP
为了方便客户端设置,一般来说无线路由都会带有DHCP功能。其实,对于小规模的无线网络,我们完全可以直接手工为客户端分配IP地址,而不必使用DHCP。因为使用DHCP后,我们不太容易分辩出在线用户中哪些是正常的用户,哪些是非法用户。如果关闭DHCP,那么我们只需要查看当前在线用户,如果发现其IP地址不是分配的,那么则说明其是非法侵入的。
(五)设置密钥
针对无线设置,一般来说都会要求我们进行安全认证设置。对此,虽然设置了密钥,将可能给无线客户端的使用增加操作上的复杂程度,但是这与安全相比,还是非常重要的。
(六)防Ping
有一些做的比较智能的无线路由都带有防Ping的功能。例如TP-Link WR340G,登录管理界面后,打开"安全设置",然后在"WAN口Ping"中选中"忽略来自WAN口的Ping",这样即可躲避一些扫描器的搜索。
四、总结
由此可见无线路由有着有线路由没有的各种问题,主要表现在信号及安全两个主要方面。通过以上介绍的对安全方面的简单设置,就能够容易地保卫自己的家庭无线网络,尽管这样并不能阻止所有想侵入你的系统的人,但它还是能够阻止大多数恶意用户。
摘要:随着互联网的日渐普及, 在家庭及办公场所组建小型局域网也多了起来, 选用无线路由器不仅美化的生活环境, 也给人们带来了便利。但随之带来的是网络经常被“蹭”, 信号比有线路由更容易出现这样那样的问题。
3.几种常见路由器故障分析及排除 篇三
关键词:路由器;故障;排除
中图分类号:TP368.6 文献标识码:A
Research on Conventional Router's Fault and Removal
FENG Hai-qing
(Hebei Xuanhua Vocational and Technical Education Centre,Hebei Xuanhua 075100)
Key words: router;fault;removal
路由器是一种网络设备,是用于网络连接、执行路由选择任务的专用计算机。路由器工作于网络层,对信包转发,并具有过滤功能。路由器能够将使用不同技术的两个网络互连起来,能够在多种类型的网络之间(局域网或广域网)建立网络连接。它将处在七层模型中的网络层的信息,根据最快、最直接的路由原理从一个网络的网络层传输到另一个网络的网络层,以达到最佳路由选择。作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP的Internet的主体脉络,也可以说,路由器是整个网络构架的“枢纽”。
1 路由器的组成
目前常见的路由器从结构上可以分为固定端口和模块化结构两种。固定端口通常被一些低端路由器采用,这类路由器的端口数量和类型都已经固定,通常端口数量较少,路由器的处理能力较低。这种结构的路由器价格低,比较适合于规模较小的网络使用。模块化的结构一般被中高端路由器所采用,常在机箱上预留槽位,用户可以根据自己的需要选配不同类型的接口卡,在高端路由器中处理器也做在板上,可以插在机箱的插槽中,这种板一般称为引擎,而机箱中除电源与风扇外只有作交换用的背板。
不管路由器的物理结构如何,路由器的逻辑结构通常都是相似的,而这也正是对路由器进行维护与配置时所关心的。下面是与此有关的一些部分:(1)处理器:路由器的大脑。与计算机的CPU的功能相似,主要完成对整个设备控制功能。(2)DRAM:动态存储器。相当于PC中的内存。路由器工作时代码和数据存放的地方,一旦断电或系统重新启动,所有的内容将失去。(3)BootROM:只读存储器。这个存储器的内容是在出厂时编好的,主要是一些最基本启动代码。这里面的内容在出厂后就不能再改写。(4)NVRAM:一种电可擦写的存储器。往里写数据的速度较慢,但掉电后,里面的内容不会丢失,可以永久保存。通常存放系统软件,平常使用时不需要向里写数据。(5)Flash:与NVRAM类似,也是一种非易失性存储器,不过它通常用来保存配置文件。(6)系统软件:系统软件是路由器工作的软件平台(在CISCO的产品中称为IOS),它虽然没有具体的物理形态,但它在整个路由器系统的工作中起着至关重要的作用。许多问题都与它有关。
以上对路由器的有关部分作了一个简单的介绍,正确认识各个部分的功能,可以帮助我们了解路由器的工作原理,从而快速有效地确定故障的范围,减少盲目性。
2 路由器常见故障分类
在路由器出现的故障中,大体可以分为两类:一类是硬故障,一类是软故障。这里的分类方法并没有严格的标准,只是为了方便而已,在实践中应该具体问题具体分析。
2.1硬故障
常见的硬故障通常表现在硬件上。通常有:
系统不能正常加电:表现为当打开路由器的电源开关时,路由器前面板的电源灯不亮,风扇不转。这时要重点检查电源系统。看供电插座是否有电,电压是否在规定的范围内。如果供电正常,应该检查电源线是否完好,接触是否牢靠,必要时可以换一根,如果还不行,可以判定问题应该出在路由器的电源上。可以看看路由器电源保险是否完好,如果烧了应该更换。如果还不行只好送修。
部件损坏:这类情况在硬件故障中是比较常见的一类。这里的部件往往是接口卡。表现为当把有问题部件插到路由器中时,系统其他部分都工作正常,但无法正确识别有问题的部件,这时往往是因为部件本身有问题。还有一种情况,就是部件可以被正确识别,但做完配置后(保证配置正确),接口就是不能正常工作,这时往往是因为存在物理故障。要确认以上这两种情况,最好用相同型号的好的部件替换怀疑有问题的部件,就可以确认问题是否存在。
系统软件损坏:这种故障似乎应该归入软件故障,但由于这种情况往往是路由器本身存在的问题,且与硬件紧密相关,我们不妨把它归类于此。以cisco的路由器为例,如果路由器开机后总是进入rmon状态,这时往往说明系统软件IOS存在问题,这时不妨就将IOS重新写一遍。
其他:这里所要提到的是这样一些情况,有时我们在对系统软件进行升级时,发现系统无论怎样也不能完成升级,这时不妨检查一下你要升级的软件的大小是否超过了你的路由器的NVRAM的容量。如果超过了,你是无论如何也升不了级的,这时应该先扩充NVRAM的容量然后再升级系统软件。这个问题容易被忽略。
2.2软故障
功能无法实现:在有些时候,要作某些特定的配置(如NAT),必须反复检查,确认配置正确,可相应的功能就是实现不了,这时先不要急着怀疑设备有问题,最好先找一找系统软件的版本号,并查找相关的说明,看一看你所使用的版本的软件是否支持这个功能。因为路由器的系统软件往往有许多版本,每个版本支持不同的功能。如果你当前的软件版本不支持这个功能,那就应该找到相应的软件,先进行升级。
4.解决网吧路由器掉线问题 篇四
正是由于网吧应用的复杂化,使得网络资源变得更加紧张,在这样的环境下,网吧电脑掉线现象成为困扰网吧业主和网吧管理员的心病,而为了避免出现掉线,各大网络设备生产商也在网吧路由器产品上面下了不少功夫,大家经过长期对网吧网络应用环境的研究分析,开发出一系列针对复杂应用环境下网络应用的优化措施和高级功能,下面我们就来看看网吧路由器上面都采用了哪些特别的技术可以防止掉线:
内部PC基于IP地址限速
现在网络应用众多,BT、电驴、迅雷、FTP、在线视频等,都是非常占用带宽,以一个200台规模的网吧为例,出口带宽为10M,每台内部PC的平均带宽为50K左右,如果有几个人在疯狂的下载,把带宽都占用了,就会影响其他人的网络速度了,另外,下载的都是大文件,IP报文最大可以达到1518个BYTE,也就是1.5k,下载应用都是大报文,在网络传输中,一般都是以数据包为单位进行传输,如果几个人在同时下载,占用大量带宽,如果这时有人在玩网络游戏,就可能会出现卡的现象。
一个基于IP地址限速的功能,可以给整个网吧内部的所有PC进行速度限制,可以分别限制上传和下载速度,既可以统一限制内部所有PC的速度,也可以分别设置内部某台指定PC的速度。速度限制在多少比较合适呢?和具体的出口带宽和网吧规模有关系,不过最低不要小于40K的带宽,可以设置在100-400K比较合适。
内部PC限制NAT的链接数量
NAT功能是在网吧中应用最广的功能,由于IP地址不足的原因,运营商提供给网吧的一般就是1个IP地址,而网吧内部有大量的PC,这么多的PC都要通过这唯一的一个IP地址进行上网,如何做到这点呢?答案就是NAT(网络IP地址转换),
内部PC访问外网的时候,在路由器内部建立一个对应列表,列表中包含内部PCIP地址、访问的外部IP地址,内部的IP端口,访问目的IP端口等信息,所以每次的ping、QQ、下载、WEB访问,都有在路由器上建立对应关系列表,如果该列表对应的网络链接有数据通讯,这些列表会一直保留在路由器中,如果没有数据通讯了,也需要20-150秒才会消失掉。(对于RG-NBR系列路由器来说,这些时间都是可以设置的)
现在有几种网络病毒,会在很短时间内,发出数以万计连续的针对不同IP的链接请求,这样路由器内部便要为这台PC建立万个以上的NAT的链接。由于路由器上的NAT的链接是有限的,如果都被这些病毒给占用了,其他人访问网络,由于没有NAT链接的资源了,就会无法访问网络了,造成断线的现象,其实这是被网络病毒把所有的NAT资源给占用了。
针对这种情况,不少网吧路由器提供了可以设置内部PC的最大的NAT链接数量的功能,可以统一的对内部的PC进行设置最大的NAT的链接数量设置,也可以给每台PC进行单独限制。同时,这些路由器还可以查看所有的NAT链接的内容,看看到底哪台PC占用的NAT链接数量最多,同时网络病毒也有一些特殊的端口,可以通过查看NAT链接具体内容,把到底哪台PC中毒了给揪出来。
ACL防网络病毒
网络病毒层出不穷,但是道高一尺,魔高一丈,所有的网络病毒都是通过网络传输的,网络病毒的数据报文也一定遵循TCP/IP协议,一定有源IP地址,目的IP地址,源TCP/IP端口,目的TCP/IP端口,同一种网络病毒,一般目的 IP端口是相同的,比如冲击波病毒的端口是135,震荡波病毒的端口是445,只要把这些端口在路由器上给限制了,那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了,内部的网络病毒发起的报文,由于在路由器上作了限制,路由器不加以处理,则可以降低病毒报文占据大量的网络带宽。
5.无线路由器故障诊断常见技巧 篇五
管理员访问:确保你已经登录到路由器的控制面板中,因为所有的配置和故障诊断都是从管理员的控制面板进行的。对于Linksys的路由器而言,应在浏览器的地址栏键入“92.168.0.1”。输入细节信息登录,保持用户名为空,在口令框中键入“Admin”。用户还可以查看随路由器的快速指南,查看相关的细节信息。
重置路由器:在多次更改及重启之后,用户的路由器配置文件可能发生损坏。你不妨用一个曲别针之类的东西,铵下路由器的重置按钮。如果你找不到重围按钮,应参考路由器的手册。应当保持重置按钮按下超过30秒以上,这样才能将路由器返回到出厂时的默认值。
更新路由器的固件:一定要保障你的路由器运行最新的固件。固件是运行在路由器主板上的软件,
你可以从制造商的网站上下载最新的路由器固件版本。现在网上关于固件的文章多的是,不妨搜搜看看。
糟糕的信号及路由器放置位置:一定要保证你的无线路由器放在一个可以达到最佳性能的最理想位置。怎么做呢?不妨移动无线路由器,直至到达一个信号最强的位置。不要将路由器放在一个靠近墙的位置,否则你会把信号发到外面去。
DHCP设置:请您一定要保证通过控制面板对无线路由器进行DHCP配置,只有这样,您的计算机才能自动连接。
MAC地址过滤:如果您无法连接到无线路由器,并且密码也不正确,不妨检查一下自己的设备是否存在MAC地址过滤。如果有,应当禁用它,或者将你的MAC地址手动添加进去。
不稳定的连接:如果你的连接不稳定,时断时开,经常重新连接,那么,可能存在干扰或冲突,你应该将无线路由器的频道改为另外一个试试。 ( 教程
无法访问互联网:如果您无法访问互联网,但却能够访问无线路由器,不妨检查无线路由器的控制面板,看看是否拥有来自互联网服务提供商的DHCP地址。如果有,应当重建或刷新之,并重新连接。
检查兼容性:务必要保持自己的无线路由器与802.11信号的兼容性,否则你的笔记本和台式机就无法连接。
如果上述技术仍未能奏效,你应当利用搜索引擎,将路由器的型号输入到搜索引擎的搜索框中,并输入“故障诊断”等关键词进行搜索,你将得到更多的技巧
★ 无线路由器使用方法,教你怎么设置无线路由
★ 预知无线路由器怎么装,请详见本文!
★ 四例无线AP故障疑问的详细解析
★ 无线办公室网络建设方案一例
★ 无线覆盖方案
6.局域网内路由器限速问题分析 篇六
局域网用路由器共享宽带如何限速?
家里用宽带路由器共享宽带,让2台电脑一起使用,但是我平时玩QQ农场和网络游戏,另一台电脑下载东西(普通下载、BT下载),他电脑大多数时候是在下载东西。严重影响我的网络使用,P2P终结者虽然可以现在P2P占用宽带。但是普通下载不能,每次要他的宽带又要这个软件来占用我电脑资源,有没有软件能直接安装在他电脑上从而他的宽带(能直接明确出他的下载速度和上传速度,退出时需要密码)
如何用路由器限速软件:用P2P终结者或其他软件可以对局域网速度进行但别人可以开ARP防护硬件:看看自己的路由器有QOS管理吗?有的,就规范一下没有的话,最好换个带QOS管理的路由器,不贵的,~1自己到淘宝看路由器QOS管理的意义:P2P软件(BT、PPS…)在局域网里大量占用上行通道tenda路由器设置详解,就算下行空闲,也因为上行的阻塞,造成服务请求无法发送或延缓发送,形成延时高或断包,所以对带宽要求低的网页浏览会很慢,只是以命令形式传输的网游会卡。路由器QOS就是对带宽上行/下行进行管理设置的。
用聚生网管,网上有提供下载,不注册的话(我一直都没注册),可以控制2小时后重启软件。功能蛮强大的,各种限速的设置比较齐全。自己要用网络的时候,艾泰八LAN口企业级由横空出世仅539元。稍微下网内其他人的下载或者访问的速度,不用的时候关掉。不过千万别把别人都死了Tenda路由器和笔记本可以本地连接,但是无法连接internet!否则容易被发现,爆发关系不和。
怎么使用路由器IP让你的网络限速
在很多公司里都设置了路由器IP,防止员工在上班时间干一些与工作无关的事情。但同时也了员工利用网络来更好的工作,所以这是一个两难的选择。怎么实现通过路由器IP来达到迅雷看看的功能?
现在一局域网3台电脑,两台XP,一台VISTA,三台共享2MADSL带宽。只要那台VISTA笔记本用迅看看,其它机器就没有办法玩了。打开网页都半天。我试过用聚生网管和P2P终结者都没用。路由器是普通的TPLINK402M,只有IP地址功能,
没有限速功能。有没有什么办法。他用迅雷看看。或者网速。
如何用路由器限速我家里也是2MADSL,我妈喜欢看迅雷看看的电影,开始也是搞得我卡的不行,后来我就在我自己的电脑上装了个软由,替代了原来moden的由功能,这样通过软由设置她看电影那台机器下载速度80K,上传1k,现在她看她的,一点都不影响我上网,80k足够迅雷看看缓冲电影用了,你说的那些垃圾网络管理工具其实都是病毒,无效的,现在很多杀毒软件都能防了。
至于限速,你这个普通由是不可能有这样的功能的,换软由吧,反正不要钱的,哈哈!下行没什么问题。主要是上行,ADSL的上行只有512K用迅雷时上行速度太小。普通的小由是路由器IP的。用软件可以它的上行速度。可是你的网络会卡。目前没有什么好的办法。
可以这样吧,如果你不觉得麻烦的话,再一台电脑上在安一块网卡(比你换高档的由便宜)做内网卡,装server系统再装上ISA,路由器IP不变,将网关改为那台计算机的内网卡地址,这样你相当于搭建了一台服务器,可以通过ISA连接数的方式来网速,具体问题你可以发我我们讨论,如果这样嫌麻烦的话,你可以在那台计算机迅雷上设置最大连接数,这样可以网速,还有什么问题我们一起讨论哈。
1.要控制就全部控制了
2.也就是说你的整个网速都控制了
3.最好不开
4.实在点的,可以在其他地方看,不用在迅雷看看的看
5.迅雷本身有限速功能.
对于TPLINK402M,我使用过,提出一下我的想法。
1.你要有这台路由器的管理权限。
2.去掉路由器的DHCP功能。
3.为这三台电脑设定IP和网管,并且在路由器里绑定IP和对应的mac码。
如何用路由器限速
设置流量控制,给用迅雷看看的那台电脑流量,在60就差不多了。补充,由于没用过看看,你在防火墙里禁用看看的IP或者域名试一试。最绝的是你在路由器里把他1024以上的端口全禁用就那个路由器实现不了你的功能,你顶多把迅雷主页了。别听其它人吹牛,路由器IP不可能。你可以试一下万象网管,很好用的,你的做主机,可以任意控制其它机器。
7.路由器常见问题 篇七
关键词:网络安全,网络设备,交换机,路由器
一、网络设备中交换机、路由器的简单介绍
网络设备及部件是连接到网络中的物理实体, 网络设备又包括中继器、网桥、路由器、网关、防火墙、交换机等设备。
1、交换机是一种基于MAC地址识别, 能完成封装转发数据包功能的网络设备。
交换机可以“学习”MAC地址, 并把其存放在内部地址表中, 通过在数据帧的始发者和目标接收者之间建立临时的交换路径, 使数据帧直接由源地址到达目的地址。
2、路由器工作在OSI体系结构中的网络层, 是在网络层实现互连的设备。
路由器是一种连接多个网络或网段的网络设备, 它能将不同网络或网段之间的数据信息进行“翻译”, 以使它们能够相互“读”懂对方的数据, 从而构成一个更大的网络。
二、网络安全面临的问题
随着计算机网络的普及, 在各个领域上计算机成为不可或缺的工作手段, 由此也衍生出了很多安全问题。而网络整体安全涉及的非常宽泛, 如恶意程序、ARP欺骗、窃听、漏洞攻击、假消息攻击等。网络设备是连接到网络中的物理实体, 自身的安全性非常重要, 如果网络设备安全受到危胁, 会影响网络的正常使用, 严重时会导致整个网络瘫痪, 后果不堪设想。
我们网络安全面临着诸多问题, 影响网络安全的攻击、入侵工具和工具包的复杂性在增加, 入侵的数量和入侵的效率也在增长, 虽然我们的专业人士数量也在增加, 可远远不能满足我们Internet用户数的增长速度。全社会的信息安全意识淡薄, 对于我国目前网络安全的现状没有客观清醒的认识, 少数人认为我国信息化程度不高, 互联网用户的数量也不多, 信息安全的问题现在还不严重, 这种错误的认识已经成为我国网络安全的严重隐患。
三、网络设备中的交换机如何做好安全防范措施
交换机在网络设备中占有重要的地位, 通常是整个网络的核心所在。作为核心的交换机要承担起网络安全的重要责任。因此, 交换机必须具备专业安全产品的性能, 做好安全防范是网络建设中必须考虑的因素。交换机最重要的作用就是转发数据, , 交换机要能保持其高效的数据转发速率, 在黑客攻击和病毒侵扰下才能防止攻击的干扰。
虚拟局域网在安全防范上有重要的作用。VLAN可以在二层或者三层交换机上实现有限的广播域, 它可以把网络分成一个一个独立的区域, 控制这些区域是否可以通讯。VLAN可能跨越一个或多个交换机, 与它们的物理位置无关, 设备之间好像在同一个网络间通信一样。VLAN可在各种形式上形成, 如端口、MAC地址、IP地址等。VLAN限制了各个不同VLAN之间的非授权访问, 而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问。
交换机采用访问控制列表ACL来实现包过滤防火墙的安全功能, 增强安全防范能力。访问控制列表以前只在核心路由器才获使用。ACL不但可以让网络管理者用来制定网络策略, 针对个别用户或特定的数据流进行允许或者拒绝的控制, 也可以用来加强网络的安全屏蔽, 让黑客找不到网络中的特定主机进行探测, 从而无法发动攻击。
四、网络设备中的路由器如何加强安全防范措施
4.1重置管理账号
路由器都有一个管理账号, 这个账号在路由器安装好以后一定要第一时间改掉, 否则黑客就可能利用出厂默认的账密来登录路由器, 进而攻击网络中的所有设备。点击路由安全卫士“一键设置”界面左下角的“路由密码修改”, 就可以修改管理密码。
4.2修改Wi Fi密码
许多人为了省事, Wi Fi网络经常使用8888888一类的简单密码, 这种密码极易被猜中, 不但会被蹭网, 还有可能遭到黑客监听。要使Wi Fi足够安全, 就应将密码改为由数字、符号及大小写字母混编的字符串, 且经常更换。
4.3关闭远程WEB管理功能和DMZ主机功能
通常情况下, 远程WEB管理与DMZ主机都是默认关闭的, 但是有的人仍然经常查看, 这两个功能一旦开启, 黑客就可以轻易的对路由器展开攻击。
总之, 从网络安全的角度来讲, 研究基于网络设备的安全防范措施包括重要组成部分的交换机和路由器, 可以有效地维护网络安全、保护网络资源。
参考文献
[1]徐斌, 利用网络设备的安全特性确保网络安全[J].电力信息化, 2005, 第3卷, 第7期.
[2]张庆、宋芬、沈国良, 网络设备安全措施分析与研究[J].网络安全技术与应用, 2008.8.
[3]马素刚、杨树玉、任东陕, 路由器安全访问策略设计与实现[J].西安邮电学院学报, 2007, 9.
[4]覃毅、王欢, 网络设备与网络安全[J].计算机安全, 2010, 6.
8.安全路由器 篇八
随着基于互联网的业务、应用的日益增多,互联网的规模不断扩大,网络时代已经来临。为业务、应用的开展提供一个可靠、安全的数据传输保证,便成了当务之急。没有可靠、安全的传输保证,基于互联网的业务迟早会陷入崩溃的地步。
路由器则是互联网的主要节点设备,它通过路由决定数据的转发。作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP 的国际互联网络(Internet)的主体脉络,也可以说,路由器构成了 Internet 的骨架。它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互联的质量。因此,在园区网、地区网,乃至整个 Internet 研究领域中,路由器技术始终处于核心地位,其发展历程和方向,成为整个 Internet 研究的一个缩影。处于这样一个关键地位,路由器就不光要能够保证数据包的正确转发,还要能担负起保证合法数据安全传输的作用。
安全路由器已逐渐成为一个开发的热点。它集数据转发、数据保护、网络保护于一身,可以有效地分隔开内外网络,既有路由器的有效组网作用,又可以具备防火墙的安全保护作用。
安全路由器的作用主要体现在以下各方面:
能够按照需要向内部局域网或外部公网转发授权包;
能够对每一条链路的访问权限进行控制;
能够协助对传输的数据进行加密、数据完整性、数据源认证的处理;
提供内外识别地址的转变;
管理方便,能够提供包括配置管理、性能管理、流量控制、安全管理等功能;
确保路由信息能够安全、准确地传递;
提供包括分组过滤、优先级、复用、加密、压缩等功能;
对正常数据包的转发、处理效率影响尽可能小。
2 路由器的安全威胁
对路由器的安全威胁可以分为对路由器自身的威胁和对路由器功能的威胁两部分。
(1)对路由器自身的威胁,如:
硬件设备:设备的电磁干扰、电磁信息泄漏,以及在一些较恶劣的情况下的不稳定;
操作系统:利用操作系统漏洞,如利用缓冲区溢出进行的攻击;
路由器资源:对路由器访问资源的窃取和控制,如业务拒绝(DOS);
路由器服务:针对提供服务的安全漏洞所进行的攻击,如远程管理的漏洞、Telnet明文传送认证信息等。(2)对路由器功能(准确、安全、高效地转发授权的数据包)的威胁,如:
发布虚假的路由信息,使得数据被送到错误的地方;
通过监听、篡改信息、重放信息包使得信息包虚假;
窃听或破译没有加密的或加密强度低的信息包;
通过拒绝服务攻击使攻击者过多占用共享资源,导致服务超载或系统资源耗尽,使得无法为其它用户提供合适的服务;
IP地址欺骗:主要包括利用虚假的地址,以虚假的回答进行响应。如:ARP(地址解析协议)欺骗攻击、DNS(域名服务系统)欺骗攻击、TCP连接欺骗盲攻击;
ICMP(网际报文控制协议)攻击是滥用ICMP包发布错误信息,破坏路由器正常的转发功能。如:滥用类型3——目的地不可达报文攻击,滥用类型4——源抑制报文攻击,滥用类型5——重定向消息攻击;
IP分片攻击利用IP分片,使非法数据流得以通过检控,从而穿过路由器进行攻击,参见RFC1858;
对功能的威胁或者主动使安全路由器错误地转发或接受不希望转发或接受的包,使得这些包进入到系统内,对系统构成威胁;或者被动地利用路由器没有对包进行安全处理或处理强度低的情况,进行信息窃取。
3 安全路由器描述
安全路由器提供的安全服务功能是安全路由器能提供给用户什么样的安全服务。安全机制则是对安全服务的保障措施。一项安全服务的事项要通过若干项安全机制进行保障。具体安全技术则是目前在实际中已经或即将制订的安全协议和实施的安全技术。
(1)安全路由器的结构
图1 给出了安全路由器的一个基本框架,其中:
输入单元:是物理链路和输入包的进口。它要执行的是进行数据链路层的封装和解封装、路由查找,以及处理一些较高级协议等功能;
输出单元:在包被发送到输出链路之前对包存贮,也要能支持数据链路层的封装和解封装,以及许多较高级协议;
安全控制单元:进行安全策略的配置、协商,进行或者协助进行安全分析,根据分析结果进行安全策略的调整;
路由交换单元:根据输入单元确定的路由,把数据包转发到相应的输出单元;
路由控制单元:路由控制单元计算转发表实现路由协议,并运行配置和管理的软件。同时,它还处理那些目的地址不在线卡转发表中的包。
信息包从输入单元进入安全路由器。首先在安全处理单元中依据系统的安全策略和信息包中的内容对信息包进行安全处理,根据处理结果决定是否经过路由交换单元从输出单元输出。为了保证路由器的正常处理,在此还可能对信息包进行分流,送到具有安全分析功能的服务器进行安全分析,根据分析结果,发出告警或通知安全控制单元,进行安全策略的调整。
路由控制单元在通过路由协议进行路由信息交换时,也需要通过安全处理单元进行路由安全的保障。一些安全问题还可以送到后台安全服务器记录,以供事后追踪。
(2)安全路由器可以提供的安全服务功能
很多安全功能,用户也可以在自己的终端上实现。但这样对网络来说,管理太复杂,而且容易出现局部漏洞,从而对整个系统的安全构成威胁。通过路由器实现这些安全功能,可以方便地统一管理,减少对用户的技术要求。
安全路由器应该为客户提供的安全服务包括:
1认证:对和路由器进行联系的对方实体或数据包的身份进行确认或识别,又分为:
实体认证:保证通信的对方与其所声称的实体相符,或者根据对方提供的信息确定其身份;
数据源认证:保证数据的来源与所声称的身份相符,或者能根据数据中携带的信息确定其身份。
2访问权限:控制对系统资源的访问权限。系统内不同的资源对不同的用户提供不同的访问级别。
3保密性:用来防止数据或业务流的非授权泄漏。根据要进行保密处理的数据项分为:
连接保密性:为连接上的所有用户数据提供保密性;
无连接保密性:为无连接的所有用户数据提供保密性;
选择域保密性:为连接或无连接的所有用户数据的选择字段提供保密性;
业务流保密性:为可能从业务流的观测结果中得到的信息提供保密性。
4完整性:发现对传输的数据进行的各种非法改变,有3种主要类型:
连续完整性业务:对某个连接上所有的数据进行完整性校验;
无连接完整性业务:对于无连接数据项中的所有数据进行完整性校验;
选择完整性业务:仅对某个数据单元中所指定的区域进行的完整性校验。
5抗否认性:用来防止在通信过程中双方对自己行为的否认,可以作为事后追究的依据,根据否认方的不同分为:
有源端证据的抗否认:提供数据的源端证据给数据接收者,防止发送者否认自己发送的该数据或数据项;
有交付证据的抗否认:提供数据的交付证据给数据发送者,防止接收者否认自己接受过该数据或数据项。
(3)安全路由器的安全机制保障
为了能够提供上述的安全服务,安全路由器提供一套安全方法来保证,也就是安全路由器的安全机制。这些安全机制包括:
加密机制:利用加密算法,为数据或通信业务流提供机密性;
数字签名机制:对某个数据单元进行签名和对数据单元的签名进行验证;
访问控制机制:使用实体的经认证的身份、信息和权利确定以及实施实体的访问权;
数据完整性机制:通过附上相应的分量对单个数据单元或域进行完整性校验或对数据单元或域的一个流进行完整性校验;
认证机制:使用认证信息、密码技术或实体的某些特性或控制来进行身份的验证或识别;
通信业务填充机制:提供不同级别的防通信业务分析保护;
路由控制机制:通过动态或预置方式安排路由,仅使用物理安全的子网、中继网或链路。
(4)安全路由器中的安全技术
安全路由器中的安全技术从层次上主要涉及到硬件、操作系统、各网络层次(主要链路层、网络层和部分应用层)等几方面。从防范的时序上包括事前预防、事中告警、事后追踪等各项技术。事前预防主要是事先对硬件、操作系统、各网络层次进行安全设置,使得攻击难以进行;事中告警则是在对进出的数据包进行安全分析的基础上,发现可疑点后,发出告警或进行动态策略调整,防止攻击的扩散;事后追踪则能够根据日志或其他的记录信息在事后进行分析,追踪攻击者的行迹,并协助提供攻击证据,意图通过法律手段对攻击者进行制裁。硬件的安全一方面指硬件设备本身要能够在不同温度、湿度条件下,防震、防电磁干扰、防雷、防电源波动以及在通信电缆的绝缘电阻、介电强度等方面有要求,其物理安全防护应符合GB4943-90和GB9254-88;另一方面在硬件设计上考虑对安全的辅助,能够通过硬件动态地隔离开网络,使网络可以通过物理分离达到安全目的。
操作系统的安全很复杂,因为很多操作系统的不安全性来自于自身的漏洞。而这些漏洞可能就是由于操作系统实现时的疏忽而造成的。如:由于没有对输入的数据量进行长度控制造成的缓冲区溢出、由于用户密码管理文件的访问权限的门槛太低造成的密码文件泄漏。
在安全路由器中应该实现的安全技术还有:
1链路层安全技术:针对在本地终止的PPP连接,当作为访问路由器或要实现VPDN(虚拟专用拨号网络)等业务时,就会有该层的安全要求。在PPP层要能提供实体身份认证、加密、压缩等。
PPP安全所涉及的实体身份认证协议主要有:PAP(口令认证协议)、CHAP(质询握手认证协议)。安全的链路层协议必须保证用户名、口令非明文传输,推荐采用CHAP机制实现。验证方式可以采用本地数据库或者AAA协议。
PPP提供的加密服务由ECP(PPP加密控制协议)来完成。通过ECP协议,PPP在链路建立完成时,可以在通信的两点之间协商合适的算法,对数据进行加密(具体见RFC1968)。由于ECP本身的协商不受保护,ECP协议也没有密钥管理的描述,这使得ECP协议的安全性存在漏洞,需要进一步完善。
2网络层安全技术:网络层的安全最能显示路由器的安全作用。它的作用是为IP层提供可操作的、高效的和基于密码技术的安全性。在这一层提供的安全服务包括了访问控制、无连接完整性、数据来源认证、防重放保护、加密和有限的业务流机密性。而且这些服务在IP层提供时,要为IP层或更高层协议统一提供保护。网络层安全协议目前主要支持IPSec(网际协议安全体系结构)及密钥交换协议(见RFC2401~RFC2412、RFC2451等)。另外路由的安全技术、NAT(网络地址转换)技术、IP过滤器技术也可以体现在网络层中。
3IPSec安全协议:对于普通的IP数据包通过使用两个业务安全协议:IP认证头(见RFC2402)、IP封装安全载荷(见RFC2406)来进行数据完整性、数据来源、防重放、加密等处理。而进行处理的安全策略参数来源于手工配置或通过IKE(网际密钥交换)进行的安全协商(见RFC2409)。
IPSec安全协议应该实现:
支持自动生成(IKE) 和 手工配置(SA);
实现协议所要求的各种必需的算法:加密算法——如EDE-DES、IDEA、Rijidael等; HASH算法——MD5、SHA;认证方式——基于预共享密钥的认证;密钥交换——基于MODP(缺省group 1)的D-H算法;
支持两种应用模式(隧道传输、透明传输);
支持两种安全协议(AH、ESP);
支持Main和Aggressive两种模式的IKE协商;
支持PFS(完美前向保密性)。
4路由的安全技术:路由的安全技术主要是防止伪造路由信息。这就要求对路由信息包进行源认证、包本身的完整性校验,以确保路由信息来自于可信任方,并且没有被篡改。在实际中路由协议主要通过预配置密钥,也可以通过ISAKMP(网际安全协商和密钥管理协议)协商得到密钥(见RFC2408),以后的认证和完整性校验都以此密钥进行。
5NAT技术:NAT用于将一个地址、端口对映射成另一个地址、端口对,从而为终端主机提供透明路由的方法。它可以隐藏受保护网络的内部结构,通过设置映射策略对转发包进行控制,从而提高系统的安全性。NAT映射关系包括静态地址转换、动态地址转换、地址及端口转换、负载分配。静态地址转换完成一组内部IP地址到外部IP地址的一对一静态转换;动态地址转换则可以使得外部IP地址动态地映射到内部的IP地址上;地址及端口转换将不同的IP地址及传输标识符(TCP、UDP端口号,ICMP询问标识符等)转换为一个或多个外部地址的不同传输标识符。这样的转化既可以是外部地址向内部地址的映射,也可以是内部地址向外部地址的映射。通过实现上述一组或多组的映射关系,可以加强映射关系的可控性。
6IP过滤器技术:IP过滤器用于实现对IP层及其以上的数据包进行访问控制。访问控制的依据是若干过滤规则。
过滤器应该有如下要求:
动态性:即能根据安全反馈信息自动进行安全策略的调整;
时效性;规则能够指定作用时间,以加强授权的可控性;
一致性检测机制:能够检测规则之间的冲突,降低因为配置错误造成的安全漏洞;
基于物理端口:过滤器要能绑定到物理端口上,这样可以减轻如IP地址欺骗等类型的攻击。
7管理安全技术:管理安全技术所涉及的是不属于正常通信实例,但要用来支持和控制该通信的安全方面的操作。安全路由器中的安全管理包括系统安全管理、安全服务管理、安全机制管理、安全通道管理。
系统安全管理:涉及事件处理管理、安全恢复管理、安全审计管理。事件处理管理主要是报告有关违反系统安全的明显企图以及管理事件报告的策略;安全恢复管理主要是维护用于对实际或有嫌疑的安全违章作出反应、进行系统恢复的规则策略;安全审计管理主要是选定拟记录的安全事件、记录被选定事件的审计数据、收集被选的审计记录、准备安全审计报告以供事后追踪。
安全服务管理:涉及的主要是特殊的安全服务。它要能为服务确定和分配安全保护目标,分配和维护为提供所需的安全服务使用的特定安全机制的选择规则,在达成管理协议前协商可使用的安全机制,通过适当的安全机制管理功能去调用特定安全机制。
安全机制管理:涉及特定的安全机制,部分典型的安全机制管理功能描述如下。密钥管理:根据所要求的安全级定时生成合适的密钥、密钥的安全获取和分配、密钥的存储;加密管理:与密钥管理的交互、加密参数的确定(包括密钥的同步);数字签名管理:与密钥管理的交互、签名参数的确定(包括密钥的同步);访问控制管理:包括安全属性的分配、对访问控制表或能力表的更新;数据完整性管理:与密钥管理的交互、数据完整性参数的确定(包括密钥的同步);实体认证管理:向要求执行认证的实体散发说明性信息、口令或密钥;通信业务填充管理:填充规则的维护,如:填充的数据率、消息特征;路由选择管理:定义安全的链路和子网、指定安全路径等。
安全通道管理:包括SNMP安全技术、Telnet安全技术等,这使得对安全路由器的配置、查看等管理都在和安全路由器安全通信的前提下进行。
SNMP安全规范允许使用多种安全协议保护网络管理操作。它要利用密码技术及相关机制,对网络管理提供数据完整性、数据源认证、数据机密性保护,这些安全服务是通过摘要认证协议和对称加密协议来实现的(参见RFC1446、RFC1352)。它要能提供以下服务:为每个收到的SNMP消息在通过网络期间没有被非授权管理操作引起改变提供验证;为每个收到的SNMP消息的发送端身份进行验证;为每个最近收到的SNMP消息提供明确的产生时间;为所有先传递的来自类似源的消息的每个后续收到的SNMP消息提供明确的产生时间;必要时使每个收到的SNMP消息的内容不被泄漏。
Telnet协议的安全要求包括机密性、完整性、用户认证。这些服务基于密码技术,可作为Telnet的安全扩展提供,或者作为一个封装的安全协议。它要能提供下列的服务:请求或响应数据的机密性;请求或响应的数据源的验证和数据完整性;请求或响应的数据源的不可抵赖性。
安全分析是事前预防、事中告警、事后追踪的基础。它主要对进入系统的信息进行统计、分析,检测和识别系统中未授权或异常的现象。安全分析的依据主要有两种:一种是正常用户的行为模型,一种是入侵者的行为模型,即根据统计结果判断是否偏离了一个正常用户的行为,或者符合一个入侵者的行为,据此进行相应的安全处理。这里行为模型如何确立,是一个关键问题。
(5)性能
安全分析、安全处理本身往往都是很耗资源的,应该在安全和系统性能方面进行综合考虑,尽可能地在能够满足用户安全需求的情况下,提高安全路由器处理的性能。提高性能的措施有:
加快单位处理的速度:这主要包括提高安全判断和安全处理的速度。如要加快数据包中的信息采集以及和安全策略的适配判断,可以通过优化算法或硬件来进行改善;安全处理中的各种加密算法、认证算法可以通过硬件得到加速;
减少无用处理:安全路由器应该是可以配置的。根据用户的需求不同,只提供他们所需要的安全功能,避免提供对用户没有实际意义的安全功能,降低系统无谓的开销;
安全并行处理:安全路由器应该能进行业务分流,把一些耗时的安全分析功能分流出去,不在主流程上进行这样的处理,从而不妨碍正常业务的开展,可以设置另外的服务器或其他安全处理设施,由它们并行进行分析,然后根据分析结果,反过来再调整安全路由器的流程、策略。□
(收稿日期:2001-08-10)
作者简介
许志军,深圳市中兴通讯股份有限公司网络事业部工程师。南京航空航天大学毕业,硕士。负责数据产品网络安全的研究工作。
王东,深圳市中兴通讯股份有限公司网络事业部工程师。东南大学毕业,硕士。从事安全协议开发工作。
9.路由器常见问题 篇九
一、可能是ISP(网络服务提供商)服务器故障,如果是这样请直接致电ISP询问并解决问题。
二、请确认输入的用户名和密码是否正确,是不是因为不小心开启了Caps Lock键,这种情况可以很快解决,
三、还有一种情况就是ISP绑定了电脑网卡的MAC地址,这也是最复杂的,这是因为一些地区ISP会在给用户安装宽带时绑定用户上网电脑网卡的MAC地址,只有被绑定的电脑才能通过PPPOE拨号上网,其他设备都无法拨号。 www.hanwangtx.com
你可以这样解决此问题:
用单机可以拨号上网的电脑登陆路由器配置界面DD网络参数DDMAC地址克隆,
点击“MAC地址克隆”使上下MAC地址一样,然后再去操作拨号上网即可。
10.路由器常见问题 篇十
例如,如果您的生成树网络占据重要位置,或者无法离开nProbe或Wireshark,那么您就应该使用可靠的解决方案,解决以前需要几个小时才能修复的问题。IEEE 802.1D支持无回路的连接,而Wireshark只需要简单的操作就可以清理任意数据包。然而,即使有这么多成熟的网络管理技术和工具,仍然有一些网络路由问题需要管理通过安全shell进行调试。路由分析就是一个很好的例子。
网络便利工具
或许我们不会像安灭火器那样在墙上安装浅蓝色网线,但是每一位管理员都知道从哪里可以马上找到。解决路由问题需要通过命令行接口重复查看状态表,而且您总是需要在各个机架上来回走动。您甚至还可能需要连接几台设备的控制台,才能跟踪路由。但是,这些方法可能还无法解决路由调试的真正挑战。路由似乎经常会出现问题,而寻找问题根源的最有效方法就是实时获取错误信息。
即使您配置了很好的syslog警报,许多路由变化也只会隔几天出现一次,因此很难捕捉它们。而且,用户也不是报告路由错误的最佳来源:在页面加载变慢或聊天应用延迟明显时,他们只是会向周边人抱怨(虽然在传输路径出现抖动或丢包问题时,有一些VoIP客户会故意给出主观的低评分)所以,问题就出现了:“您该如何定期查询路由表,并在网络路由出现问题时马上能接受到警报呢?”
路由解析时产生的影响
网络的实际路由包含许多因素,它们会(但不总是)以各种方式对各自产生影响,
路由信息协议、开放最短路径优先、边界网关协议、增强内部网关路由协议和静态配置等都会对最终路由产生影响。本质上,它们一起构成了一种虚拟配置。但是,最终的“物理”路由只能在一个位置验证:路由表。但是,谁有那么多时间整天盯着所有设备的路由表呢(而且也没道理这样做)?
首先,每当路由发生变化时,它会强制路由器重新计算网络拓扑,因此网络会充满更新的数据包。这并不好。其次,路由变化检测通常在问题出现之后,因此您必须花时间查看各个路由叶节点,才能发现几小时前发生了什么。有时候,路由变化可能会降低流量传输速度,因此路由可能回滚到前一条性能不佳的路由。而有时候,这些变化可能会切断某条链路或中断关键用户服务。
幸好,许多网络性能监控解决方案能够轻松访问所监控设备的路由表。因为它们能够感知路由变化,所以您不需要连接控制台,就可以接收到警报、生成报表或直接查看路由表。将它们与网络拓扑发现工具相结合,您就可以监控各个终端的完整流量路由,检查接口连接环境的路由细节。一层网络是否仍然所有问题的根源,跟踪一台服务器到一个连接信号灯熄灭的端口之间的中断数据包流,不需要管理员离开自己的工位。路由变化历史报告和变化路由查看视图通常都是免费的。
11.路由器智能玩法 篇十一
专业定义上来说,智能路由器就是智能化管理的路由器,相比于普通路由器,其像个人电脑一样,具有独立的操作系统,可以由用户自行安装各种应用,自行控制带宽、在线人数、浏览网页、在线时间、能够远程控制操作,同时拥有强大的共享功能,真正做到网络和设备的智能化管理的一种路由器设备。
路由器,智能在哪里?
1.更方便设置与管理。普通路由器往往设置比较麻烦,并且只能在电脑中设置,对于家中只有手机或者平板电脑用户来说,初期安装设置无法实现,而智能路由器则大大简化了设置操作,支持一键设置以及在智能手机等移动设备中管理设置。
2.拥有强大扩展能力。智能路由器可以内置或者连接扩展U盘、移动硬盘设备,可以离线下载各种视频文件到存储设备中,供智能手机、电脑等设备离线下载或者观看。
3.可以安装插件。路由器安装插件也是一个扩展功能,其类似于一个系统,用户可以自行安装各种插件,从而实现更强大的扩展功能。
智能路由变革者
互联网当道,要说智能路由器的领头人,不得不提一下极路由,和传统路由企业相比,凭着极路由不靠硬件挣钱,先以用户体验为主的情怀,真的让极客们兴奋了一把,让消费者们实实在在的用到了智能化路由产品。
而最近极路由也推出了一个新款智能路由器——极硬货。然而路由器,真的需要智能化吗?答案是肯定的。互联网所带来的种种方便,更是加快了路由器也要细分化。
极硬货和之前自家出品的极路由,最大的区别就是极硬货是采用插入可拆卸硬盘的路由器,这种家用路由+NAS的定位自然会让智能路由市场又刮起新的风向标。
其实,极路由最大的功劳就是引发了市场上对路由器的重视,并且改变了一些传统路由器的弊病。
当然,说起硬盘式智能路由器,又不得不说小米路由,所以总结就是极路由卖的是产品体验,小米卖的是产品未来。为什么一个是体验,一个是未来?
首先,从工业设计上看。
极硬货材质上再次采用全铝外壳,外观和极路由1S对比,没有太多变化,像是变厚的版本,但对于普通路由器来说,其散热性能势必提高不少,而且给传统用户第一印象是超于预期,全金属的家用路由器在市面上见的并不多,所以谁说家用路由器一定是塑料的?极硬货一下子就把同类产品落下一大截。
另外极硬货还为硬盘附送了一张方便拆卸的标配拉片贴纸,这个举动非常细心,为的是方便硬盘放进取出和防止硬盘牺牲掉。此处小编更加希望极硬货可以增加一个云端服务,这样打通了本地和云端存储的互通性,更加方便用户的使用。
其次,从简单的设置上看。
极路由家的路由器设置才是撒手锏。对于很多深度路由器用户来说,大多时候也经常忘记设置的参数,必须要使出捅牙签大法,重新设置路由器,更何况很多女生和小白用户了。
从小米路由器的设置方式里,都能看出极路由的影子。极路由器后台采用基于OpenWrt开发的HiWiFi嵌入式智能系统,采用图形化界面引导,即便是新手乃至有些上网基础的老人也能两三步就能设置出正确的路由配置。第三,从特色功能上看。
极硬货的特色功能云插件,可以说是极路由的核心,在硬件路由的基础上从软件上给予路由器无限扩展的可能,极硬货目前提供的插件功能相对比小米路由器更加丰富和实用。下面就介绍几个实用性和使用率高的插件:
1.App Store、Google Play、小米应用商店加速。由于之前苹果和谷歌服务器在国外,国内iOS和Android用户肯定都遇见过从商店下载应用极慢的情况,一些“极客玩家”会通过改DNS或代理服务器的方法来提升下载速度。而极硬货推出的插件就省了你自己去改的步骤。
现在国内的小米应用商店也加入到了这个行列,完全是优化后的结果。使用方法简单,装上相应插件就行,不需要任何设置。
2.学生党和游戏党福利。极硬货还专为拥有IPV6环境的教育网用户开发,有了这个插件就可以在一些IPv6 PT站下载电影,另外有些学校的网络是按流量收费,如果通过IPV6上网则不算流量,可以帮学生老师们省钱。而喜爱游戏的用户,极路由则推出了游戏英雄联盟的补丁包下载加速,安装应用后将有效改善LOL的升级包下载速度。
其他智能路由器玩法
1.密码是浮云,上网三重保护。通过小米路由器的客户端和手机端APP,可以随时用电脑或手机查看当前连接设备,一键禁止设备上网权限。用户可以通过安全中心,设置恶意网址拦截、蹭网提示、入侵检测、防止DNS劫持和密码安全助手设置。小米路由器与腾讯安全中心合作,每日更新钓鱼网站、欺诈网站等黑白名单。当你在访问疑似钓鱼网站、欺诈网站等存在风险的网站时,将得到提醒,保证你的上网安全。小米路由器还与金山云合作,提供用户1TB的全盘云备份,让数据双保险,安全无忧。并且还可以设置小米路由器的访问权限,并设置隐私盘,让文件只有你能看到。
2.智能家居,远程下载更出彩。通过与国内智能家居中控厂商BroadLink深度合作,整合进它的红外和远程控制接口,可以实现对智能电视、智能家电、智能电灯这些智能家居设备的遥控;通过与搜狗合作“预取引擎技术”,实现对网络内容的预先加载,通过这一技术,路由器会把用户可能会浏览的内容预先加载,秒开常用网站;同时它还与迅雷进行了合作,将其P2P、个人云存储、云端下载等技术进行了整合,直接用手机就能远程下载视频。这就是小米路由器与极硬货完全不同的玩法。
目前,极硬货和小米路由器可以说是平分秋色,极硬货在功能的全面性是优胜于小米路由器的,而小米路由器在离线下载和家庭交互上在未来绝对是比极路由更加有优势。
12.路由器常见问题 篇十二
无线移动Ad Hoc网络是指一组带有无线收发装置的移动节点组成的一种多跳时性的自治系统。整个网络没有固定的基础设施, 也没有固定的路由器, 所有节点都是移动的、动态变化的, 并且都可以以任何方式动态地保持与其他节点的联系。无线移动Ad Hoc网络可以广泛应用于军事领域、自然灾害应急处理、科学考察、交互式演讲、共享信息的商业会议、紧急通信等等领域。在Ad Hoc网络中节点兼备主机和路由器两种角色。一方面, 节点作为主机运行相关的协同应用程序;另一方面, 节点作为路由器需要运行相关的路由协议, 进行路由发现、路由维护等常见的路由操作, 对接收到的信息不是自己的分组需要进行分组转发。由此可以看出, 与其他通信网络相比, Ad Hoc网络具有以下特点:
(1) 动态的拓扑结构:节点可在网络中任意移动, 随时加入和退出网络。
(2) 有限的资源:无线通信带宽有限, 移动节点的能源也有限。
(3) 多跳的通信:无线节点发射功率有限, 发送报文到接收区域外的节点时需要其他节点来中转信息, 因此任意一个节点既是主机又是路由器。
(4) 脆弱的网络安全:由网络的自组织性、节点的移动性和无线通信, 使得Ad Hoc网络更容易遭受各种攻击, 其安全问题更加严峻。
1 Ad Hoc网络的安全策略和机制
基于Ad Hoc网络的上述特性, Ad Hoc网络不仅存在着传统网络中存在的安全问题, 而且由于网络的特殊性, 同时也面临着许多新的安全威胁。传统的安全机制, 例如认证协议、数字签名和加密, 必然具有重要的作用。为了建立安全的Ad Hoc网络, 必须采取一定的安全策略。
1.1 加密
加密是应对安全威胁的一个最常用的方法。任何机密信息都不能以明文方式传输。如果加密的强度足够大, 即使对方截获了传输数据, 也不可能或者很难从其中提取有用的信息。在Ad Hoc环境中, 由于信息通过无线链路传输, 很容易被窃听, 所以加密是非常重要的环节。
1.2 加强路由安全
由于Ad Hoc网络中的主机兼任路由器的角色。其拓扑结构又在不断变化中, 所以Ad Hoc网络的路由安全是至关重要。动态路由的安全与否直接关系到整个网络是否能够正常运行。根据网络所采用的路由协议应采取不同的路由安全策略。
1.3 认证和访问控制
由于Ad Hoc网络是个无中心的无线网络, 因而没有一个节点是值得信任的。而传统的公钥密码体制、数字签名、包序列以及单向hash函数需要一个可信任的认证中心来提供密钥管理服务。所谓认证指的是每个节点需要能够确认与其通信的节点的身份, 通常是通过网络中的安全认证中心 (CA) 及执行认证协议来实施的。CA应是一个完全受信任的实体, 并可以向需要认证的主机签发数字证书。证书通常是一个采用只有CA知道的密钥加密的随机字符串。该密钥可能是CA的私有密钥或者是CA与接收节点共享的密钥。CA同时还为主机加密一个标识符和一个时间标签, 后者使得该密钥只能被使用有限一段时间。认证是网络安全中采用的最基本的机制之一。在Ad Hoc网络中同样存在控制对网络的访问以及控制访问网络提供的服务的需求。访问控制常与身份识别和认证相关, 确保合法用户有权访问服务。根据不同的网络结构和安全级别, 访问控制的实现方式也不同。集中式的低安全级别网络, 可以采用服务器控制的方式, 用户ID加密码。对于战场情况, 对网络和资源的访问控制都必须被定义。
1.4 入侵检测
无论采用任何安全措施和密码体制, 要保证网络不受攻击是不可能的, 所以我们在Ad Hoc网络中采用入侵检测方案。入侵检测是通过从计算机网络或系统中的若干节点收集信息并对其进行分析, 从中发现网络或是否有违反安全策略的行为和遭到入侵迹象的一种安全技术。
2 移动Ad Hoc网络的路由安全问题
2.1 移动Ad Hoc网络路由攻击类型
因为Ad Hoc网络的路由协议是网络攻击的主要目标, 因此在Ad Hoc网络的安全问题中路由协议的安全尤为重要。对路由协议的攻击可以分为两类:被动攻击和主动攻击。
(1) 被动攻击
攻击者并不干扰正常的路由协议, 而仅仅是窃听路由数据。由于Ad Hoc网络使用的是无线信道, 这种攻击比较隐蔽, 一般无法检测到。通常, 攻击者会采用“流量分析”法对窃听到的路由数据进行分析, 获得有用的线索, 并利用这些线索进行各种攻击。
(2) 主动攻击
主动攻击又可分为外部攻击和内部攻击。内部攻击的攻击者属于该网络的一部分, 外部攻击的攻击者不属于该网络。内部攻击者的节点也属于该网络, 并有部分权限, 对网络的危害更大。攻击者通过向网络发送特定的数据包来达到攻击的目的, 下面介绍一些主动攻击的类型:
(1) 黑洞:恶意节点想截获某节点A的信息, 用路由协议广播自己是离节点A最近的节点, 便可截获其他节点发往节点A的数据;
(2) 拒绝业务:它通常会导致网络大部分带宽被恶意节点占用, 恶意节点频频发送不必要的路由请求信息, 使其他节点无法正常使用网络资源;
(3) 路由表溢出:攻击者建立一些到达根本不存在的节点的路由, 目的是建立很多路由, 阻止其他节点产生新路由;
(4) 伪装:恶意节点伪装成其他节点并发送控制数据, 创建非正常更新的路由表;
(5) 电源耗尽:在MANET中, 用电池为每个节点供电, 为了节约能量, 每个节点只在非常必要的情况下才发送数据, 恶意节点通过不停地要求某个节点为它传递数据或向该节点请求路由信息, 耗尽其电源;
(6) 信息泄露:恶意节点通过向网络中未经授权的节点发送某些重要信息 (如路由和定位信息) , 最终获知该节点在目标路由中的位置。
2.2 典型的安全路由协议分析
路由协议是移动Ad Hoc网络中的一个重要的部分, 近年来提出了许多适用于移动Ad Hoc网络的路由协议, 如DSR、AODV、DSDV等, 这些路由协议在设计时充分考虑了Ad Hoc的特点, 却没有考虑到安全方面的因素。面对上述可能的攻击, 研究者针对各种攻击方法提出了相应的解决方案, 在机密性、完整性、认证、不可否认性方面给路由协议提供安全保障。研究者将上述的一些安全策略运用到安全路由协议的设计中, 提出了不少优秀的移动Ad Hoc网络安全路由协议。
2.2.1 SRP (Secure Routing Protocol)
Papadimitratos提出的Ad Hoc安全路由协议SRP, 是对现有的按需路由协议进行扩充, 实现辨别和抛弃假的路由信息, 从而防止攻击者对路由信息的篡改、重放和伪造, 确保获取正确的拓扑信息。SRP的前提条件是要求源节点和目标节点之间必须有一个安全连接, 即源节点与目标节点存在共享密钥, 以进行认证和通信。SRP在路由报文中扩充一个安全报头, 其包含标识、序列号和报文鉴别码 (MAC) 。
源节点s初始化一个路由发现, 先创建一个路由请求包 (如图1) , 其中含有一对标识符:查询序列Seq (源节点S会对每一个与其进行安全通信的目的节点保存一个查询序列号, 目标节点可以通过该序列号来检测路由请求是否过期) 和随机查询标识Qid (对于每一个进行的查询, 源节点会生成一个随机查询标识符, 它的作用是让中间节点来识别查询请求, 它是利用一个安全伪随机数发生器产生的, 是不可预测的) ;还包括一个消息认证码MAC (MAC的计算方法是以源节点的IP地址、目标节点的IP地址、Qid和源节点与目标节点之间的共享密钥Kst作为单向散列函数的输入, 单向散列函数的输出即为MAC) 路由查询包经过的中间节点的IP地址将被收集在包头中。当路由请求包到达目标节点T时, T节点生成一个路由答复包, 计算和验证MAC, 并沿着路由请求包中收集到的IP地址序列的相反顺序返回路由答复包, 查询节点通过验证答复包的有效性来升级拓扑表。
此协议的优点, 一是协议简单, 无需修改原路由协议, 只需进行扩充就可实现安全保障。其二, 密钥管理简单, 它只需收发两端拥有密钥进行校验, 网络中的节点既不拥有密钥也不参与校验, 这既简化了密钥管理又减轻了节点的运算量。其三, 适用面广, 采用端到端的鉴别, 可适用于多种网络协议。但当恶意节点M在向前发送路由请求时, 有意不将自己的地址加到SRP头的地址字段中, 使得该节点M对源节点不可见, 最终源节点可能会选择隐藏恶意节点的路径, 而恶意节点将故意延迟发送或丢包, 对网络性能带来负面影响。因此, SRP存在两个安全漏洞:路由不能避免包含恶意节点的路径;拓扑信息将通过路由信息暴露给敌人和未授权的节点, 因为SRP的含有路由记录的包以明文形式沿着整个路径传输, 这在高风险的环境中是不能接受的。
2.2.2 ARAN (Authenticated Routing for Ad Hoc Networks)
ARAN适用于按需路由协议, 利用公钥证书和公认的CA来实现认证的路由。ARAN前提条件要求有信任的证书服务器来发放和管理证书, 每个节点加入网络前必须从证书服务器获取一个公开密钥的证书。在加入Ad Hoc网络之前, 每个节点通过T的身份认证后, 方可获得一个证书, 证书格式如下:T→A:certA=[IPA, KA+, t, e]Kr-其中包括节点A的IP地址IPA, 节点A的公钥KA+, 证书创建时间戳t, 证书有效期e。路由查询时, 源节点发出一个经过签名的路由查询报文。第一跳节点校验源节点签名后, 签名并附上自己的证书。随后每个转发节点都先校验前一个节点的签名, 然后用自己的签名和证书替代上个节点的签名和证书。路由查询报文到达目标后, 目标节点校验签名, 然后产生路由应答, 沿来路返回, 途径的每个节点与来时一样进行校验和签名。源节点收到路由应答, 校验目的节点的签名正确后接受其路由。路由中断时, 路由维护报文由发送节点签名后直接转发至源节点, 中间节点不再进行修改。图2中显示ARAN路由查询中如何进行签名和证书的更替, 为源节点, D为目标节点, A、B为中间节点, CERTs为源节点的证书, Ⅳ为一个随机整数, t为发送时间, N、t用于防止重放攻击。
ARAN利用公钥的加密认证对路由消息进行完整性检测, 同时利用包约束机制确保路由消息的及时性, 可以有效地抵制路由篡改和伪造等攻击, 防止路由黑洞、路由重播。但是A R A N并没有对跳数进行验证, 并且A R A N利用C A为合法节点颁发证书, CA一旦瘫痪将使得整个网络安全体系崩溃。而且在路由发现和路由维护中, 发起点应该在路由请求包中添加当前时间标记, 因此对网络中的时钟同步有较高要求, 从而加大了实现的难度和运行开销。否则势必为恶意节点利用, 可导致路由重播等攻击。
2.2.3 SAODV (Secure Ad Hoc On-Demand Distance Vector)
S A O D V是由Z a p a t a提出的一种基于按需路由协议AODV的安全路由协议, 在路由发现和路由维护过程中对路由控制消息提供完整性、认证、不可否认性安全保障。SAODV利用签名对路由消息中的多个字段进行验证, 并使用哈希链来对路由信息中的跳数进行认证。S A O D V用数字签名认证RREQ和RREP中的大部分区域 (不可变区域) , 以保护其完整性;用单向散列链保护跳计数 (可变区域) , 即在RREQ和RREP中增加与路由跳数相对应的散列链字段, 用于校验声称的路由跳数是否正确。
如图3, SAODV路由发现过程中, 源节点会产生一个随机值作为Hash字段值。同时用该值作为one-way哈希函数的输入值, 并用哈希函数输出值再次作为输入值进行计算, 运算N (N为网络直径) 次。将计算结果作为Top Hash字段的值, 将源节点的公钥附于路由请求消息中, 最后用私钥对路由请求的多个字段进行签名。最后将此路由请求消息广播出去。中间节点利用路由请求消息中的公钥对该消息的签名进行验证。从而判断该路由消息的完整性;并用消息中Hash字段值进行N-i次哈希计算, 与Top Hash字段值比较, 验证成功则中间节点会认为该路由消息中的跳数是正确的。如果上述两个验证都成功则会对跳数验证值进行哈希计算并将计算结果替代路由消息中的原值, 然后将消息再次广播。目的节点处理结果会与中间节点一样, 验证成功后会产生RREP消息, 并以单播的方式传播给源节点。
SAODV为路由消息的完整性提供了保护和对跳数的验证, 增加了AODV路由协议的安全。SAODV的不足在于要求网络存在一个基于公开密钥机制的证书认证中心 (CA) , 对于Ad Hoc网络来说, 这个假设本身就比较难成立, 所以基于这一假设的安全机制的可用性如何就存在较大的疑问了。而且, 单向散列函数的使用只能保证中间节点不减少跳计数, 而不能避免中间节点不改变跳计数的情况。
3 结论
移动Ad Hoc网络是下一代移动通信系统解决方案中最有希望被采用的末端网络, 具有很高的实用价值。但由于其自身的特点, 使它在应用中面临着巨大的安全性问题的挑战, 其中路由的安全性是整个网络安全性的关键, 也是移动Ad Hoc网络安全问题的研究热点和难点。
SRP协议对现有的按需路由协议进行扩充, 实现辨别和抛弃假的路由信息, 从而防止攻击者对路由信息的篡改、重放和伪造, 确保获取正确的拓扑信息;利用公钥证书和公认的C A来实现认证的路由的A R A N协议防止对按需路由协议的延迟攻击;采用公钥认证和单向散列链机制来增强AODV协议路由发现过程的安全性的SAODV协议。上述方案都在一定程度上增强了Ad Hoc网络的安全性, 但仍然存在大量问题需要深入的研究。首先, 还没有对Ad Hoc网络中的路由安全问题建立完整的模型。其次, 已有的解决方案主要是面向攻击的, 即针对某些已知的攻击在现有协议的基础上提出增强性方案来阻止这些攻击, 对未知的和不可预期的攻击却无能为力。再次, 如何设计出既能保证强大的安全性又能兼顾良好的网络性能的路由协议也是一个很值得研究的问题。
参考文献
[1]蒋杰, 胡光明, 窦文华.无线移动Ad Hoc网络路由协议安全问题分析.计算机科学.2004.
【路由器常见问题】推荐阅读:
常见的路由协议07-02
磊科路由器设置07-07
电信路由器怎么设置11-26
无线路由器不注意的细节08-13
路由器下ospf和rip实现通信06-28
如何选择路由协议09-24
交换与路由技术基础10-13
设置ADSLMODEM的路由功能网络知识07-08
路由网关网络管理和监控功能介绍09-04
有关AdHoc无线网络路由协议的探讨11-04