2023年11月28日发(作者:)

宽带路由器应用(三)—ARP欺骗防护功能的使用

企业级路由器应用(二)IP QoS功能应用举例

这篇文档就TP-LINK企业级路由器的IP QoS功能的详细设置过程。

首先简单介绍一下企业级路由器IP QOS功能与SOHO级路由器IP带宽控制不同之处。

下面两个图中上图是SOHO级路由器R460IP带宽控制的设置界面,下图是R4299GQOS规则

设置界面:

比较上面的两个设置界面可以看到企业级路由器IP QOS功能与SOHO级路由器IP带宽控制不同之

处:

1 设置带宽控制规则时,SOHO级路由器只能选择保障最小带宽限制最大带宽二者中的一个,

也就是只能设置上限或者下限,不可以同时对二者进行限制。相反的企业级路由器在设置的时候既可设置

最小带宽,又可设置最大带宽的值。

2 当一条规则的IP地址是一个地址段时,SOHO级路由器是此地址段内的所有电脑共享填写在

宽大小里的值。而企业级路由器则可以选择独立带宽共享带宽。独立带宽是此地址段内每一台电脑

分配最大和最小的带宽值,当我们要设置的内网电脑数目比较多时,利用独立带宽可以方便快捷的设置

QOS规则;共享带宽是此地址段内所有电脑共享所分配最大和最小的带宽值。可以理解为SOHO级路由

器只有共享带宽模式

点击―QoS 设置界面如下图:

上图中红线勾勒部分的信息重要性就不强调了,下面有上行总带宽下行总带宽两项参数,点击

页面帮助按钮可以看到下图信息:

可以将上行总带宽下行总带宽理解为用户申请的宽带线路的实际上下行带宽,上面是10M光纤

接入的数值。需要注意的是,普通的ADSL接入方式,上带宽会远远小于下行带宽的值,往往我们申请宽

带是的ADSL2M或者6M这些值指的都仅仅是下行总带宽,上行总带宽要向运行商咨询具体数值。

注意:如果是多WAN口路由器,此处填写数值因为各个WAN口上下行带宽之和。

如上图,在这里强调的是:必须先开启这里的开关开启QoS‖并填入线路实际的上下行带宽,然后才

能在IP QoS页面继续配置,否则会提示错误。

下面来具体添加QOS规则,点击QOS 规则出现如下界面:

举例添加如下新条目,如下图:

相关参数解释如下:

1 地址段‖——包含了从.100.190总共100IP地址。

另:这里的地址段允许输入和路由器LANIP地址不在同一网段的IP地址,意味着用户内网如果

采用三层交换设备规划了不同子网的方案下,我们的路由器也可以支持对不同网段IP的带宽限制。

2 模式‖——独立带宽,顾名思义下面的最大带宽‖―最小带宽是针对这段IP地址里面的每一个IP

而言,如果模式选择了共享带宽也就是这段IP共享下面的参数。

3 上行/下行‖——我们都知道网络上传输的数据流是有方向的,比如BT下载,可以从Internet

的服务器下载数据,自身也作为服务器上传数据,我司路由器IP QoS就是根据这种有方向性的数据流

来分别进行限制。

4 这里有100IP地址,每个IP地址保障的最小带宽是100K,总数是100*100K=10000K。也

就是所有IP地址最小带宽的和不能超过QOS设置中的上行总带宽和下行总带宽。如果这里超过10000K

就会报错。

路由器非常准确的对上/下行数据流分开来进行了限制。就上图填写的参数,假设配置了

192.168.1.100这个IP地址的主机正在进行BT下载,那么这台主机的数据流量会比较大,这台主机的数

据流分两部分:一部分是它从别的服务器下载数据,一部分是它上传数据给别的主机。路由器的IP QoS

将会对这台192.168.1.100的主机下载和上传两个方向的数据流量分别进行规定限制。

按照上面填写的参数,192.168.1.100主机在上行方向(上传数据)的数据流量最小保证100Kbps

最大不超过500Kbps的带宽,下行方向(下载数据)的数据流量最小保证100Kbps最大不超过500Kbps

的带宽。这里上行数据和下行数据的可用带宽是以线路实际上/下行带宽作为参考的。

那么QOS规则到底是怎么工作的呢?是不是我设置了最小保障100K的带宽,100K就永远预留

给我,无论网络多么繁忙别的主机也不可能用到这100K的带宽呢?很明显这样是很不合理的,会造成对

带宽的巨大浪费。我公司路由器是用优先级的方法分配带宽资源的。如果现在192.168.1.100

192.168.1.14950台主机都在进行网络活动,而线路的实际下行带宽是有限的10Mbps 可能发生带

宽争用,按照我们上面设置的参数路由器优先给每一个IP地址分配最小100Kbps的带宽,也就是说在第

一轮的资源分配中,带宽占用未达到100K的主机在使用带宽时就会优先处理,待所有需求不到100K

主机分配到了自己需要的值,所有需求大于100K的主机分配到了100K的值之后,那么此时50台主机总

共使用了不到5000Kbps的带宽资源,这条线路总的下行带宽资源10000Kbps还余留超过5000Kbps的带

5000Kbps的剩余带宽资源就会被仍然需求带宽的主机竞争使用。在此期间每台电脑又有最大带宽

的限制,当主机占用的带宽达到最大带宽时它将退出竞争。

举例如下:

如上图红色标注,现在假设线路的下行带宽是10Mbps ,配置了192.168.1.10192.168.1.11

两台主机的下行带宽最小都是100Kbps 最大却不同分别是1000Kbps2000Kbps 那么带宽在分配

的时候:

路由器先保证两台主机的下行带宽最小可以使用到100Kbps

最小带宽保证后,两台主机进一步还有下行带宽的需求,那么超过100Kbps的流量后,路由器采用

方式,开始增大两台主机占用的有效带宽,当192.168.1.10这台主机的下行数据流占用的带宽达到最

1000Kbps的时候,路由器将不会载转发超过1000Kbps带宽的数据包。但是192.168.1.11这台主机在

争用带宽的时候,数据流达到1000Kbps后这台主机仍然需要更大的带宽,路由器会一直增大它占用的有

效下行带宽至2000Kbps后,将不再继续转发超过这个带宽范围的数据包。

剩余的下行7Mbps的带宽资源将闲置,不会分配给.10.11 ,除非将其最大可用下行带宽改为更

大,否则它们将不能使用剩余带宽。

配置IP QoS的时候,模式选择为共享带宽,则是地址段内包含的所有IP地址共享设置的上下行

最大最小带宽。

上面我们用了较长篇幅来描述企业级路由器新增的IP QoS功能的使用,是不是看似很复杂?不过即

使您看的不是太懂的话也没有关系,您只需要按照下面的步骤来设置您的网络即可:

1、将内网的电脑的IP手工指定,并且是连续的,如192.168.1.2192.168.1.100,这样方便后面的

设置;

2IP QOS设置开关处设置您的线路的带宽,分别设置线路的上行带宽和下行带宽,10M的光

纤线路需要填入10000;然后开启QOS总开关;

3、进入IP QOS规则设置页面,添加新条目,设置:

4IP地址段如192.168.1.2192.168.1.100 模式选择为独立

5、上行最小带宽:线路真实上行带宽/内网电脑数,在此例中为10000/99101;最大带宽的设置关

系不大,推荐设置80010002000

6、下行最小带宽:线路真实下行带宽/内网电脑数,在此例中为10000/99101;最大带宽的设置关

系不大,推荐设置80010002000

7、保存,设置完成

企业级路由器应用(三)ARP欺骗防护功能的使用

在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP

议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,对网络的正常传输和安全

都是一个很严峻的考验。

目前知道的带有ARP欺骗功能的软件有―QQ第六感网络执法官―P2P终结者网吧传奇杀手

等,这些软件中,有些是人为手工操作来破坏网络的,有些是作为病毒或者木马出现,使用者可能根本不

知道它的存在,所以更加扩大了ARP攻击的杀伤力。

从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP表的欺骗;另一

种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行。不管怎么样,欺骗发送后,电脑和路由器

之间发送的数据可能就被送到错误的MAC地址上,从表面上来看,就是上不了网访问不了路由器

由器死机了,因为一重启路由器,ARP表会重建,如果ARP攻击不是一直存在,就会表现为网络正常,

所以网吧业主会更加确定是路由器死机了,而不会想到其他原因。为此,宽带路由器背了不少黑锅,但

实际上应该ARP协议本身的问题。我们来看看如何来防止ARP欺骗。

上面也已经说了,欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,我们的防护当然也是两个

方面的,首先在路由器上进行设置,来防止路由器的ARP表被恶意的ARP数据包更改;其次,我们也会

在电脑上进行一下设置,来防止电脑的ARP表受恶意更改。两个方面的设置都是必须的,不然,如果您只

设置了路由器的防止ARP欺骗功能而没有设置电脑,电脑被欺骗后就不会把数据包发送到路由器上,而是

发送到一个错误的地方,当然无法上网和访问路由器了。

我司路由器上主要的IPMAC地址绑定的方式有两种,普通绑定与强制绑定。SOHO级路由器上

主要进行的是普通绑定,企业级的路由器上有普通绑定,也有强制绑定。

普通绑定是在路由器上记录了局域网内计算机MAC地址对应的IP地址,建立了一个对应关系,不

会受到ARP欺骗,导致无法正常通讯。对于没有进行IPMAC地址绑定的计算机就可能受到ARP攻击。

SOHO级路由器普通绑定只是设置了一个IPMAC的对应关系,若计算机更改了其IP地址,路由器仍

然能进行ARP映射表自动学习,扫描到计算机新的对应关系,该计算机仍能与路由器进行通讯;而企业级

路由器在普通绑定之后IPMAC地址就是一一对应的关系了,若计算机更改了其IP地址,路由器会认为

IP地址错误,从而不能与路由器进行通信。

强制绑定:

是指关闭路由器的学习IPMAC地址能力,手动在路由器中添加计算机IPMAC

址。所以在设置了强制绑定后,新接入路由器的计算机,若没有添加IPMAC地址对应关系,该计算机

是不能与路由器进行通讯的。或者路由器下的计算机更改了其IP地址,导致与路由器上记录的IPMAC

对应关系不一致,也无法进行通讯。

下面就以TL-4299G为例对企业级级路由器上的普通绑定和强制绑定的设置,进行详细地介绍,以

及如何设置来防止ARP欺骗。

一、设置前准备

当使用了防止ARP欺骗功能(IPMAC绑定功能)后,最好是不要使用动态IP,因为电脑可能获

取到和IPMAC绑定条目不同的IP,这时候可能会无法上网,通过下面的步骤来避免这一情况发生吧。

1)把路由器的DHCP功能关闭:打开路由器管理界面,―DHCP服务器->―DHCP服务,把状态

由默认的启用更改为不启用,保存并重启路由器。

2)给电脑手工指定IP地址、网关、DNS服务器地址,如果您不是很清楚当地的DNS地址,可以咨

询您的网络服务商。

二、设置路由器防止ARP欺骗

打开路由器的管理界面,在左侧的菜单中可以看到:

―IPMAC绑定的功能,这个功能除了可以实现IPMAC绑定外,还可以实现防止ARP欺骗功

能。

打开静态ARP绑定设置窗口如下:

注意,默认情况下ARP绑定功能是关闭,请选中启用后,点击保存来启用。

在添加IPMAC地址绑定的时候,可以手工进行条目的添加,也可以通过―ARP映射表查看IP

MAC地址的对应关系,通过导入后,进行绑定。

1、手工进行添加,单击增加单个条目

填入电脑的MAC地址与对应的IP地址,然后保存,就实现了IPMAC地址绑定。

2、通过“ARP映射表,导入条目,进行绑定。

打开―ARP映射表窗口如下:

这是路由器动态学习到的ARP表,可以看到状态这一栏显示为未绑定

如果确认这一个动态学

习的表没有错误,也就是说当时不存在arp欺骗的情况下

,把条目导入,并且保存为静态表,这

样路由器重启后这些条目都会存在,实现绑定的效果。

若存在许多计算机,可以点击全部导入,自动导入所有计算机的IPMAC信息。

导入成功以后,即已完成IPMAC绑定的设置。如下:

可以看到状态中已经为已绑定,这时候,路由器已经具备了防止ARP欺骗的功能,上面的示范中只

有一个条目,如果您的电脑多,操作过程也是类似的。有些条目如果没有添加,也可以下次补充上去。除

了这种利用动态学习到的ARP表来导入外,也可以使用手工添加的方式,只要知道电脑的MAC地址,手

工添加相应条目就可。

―ARP映射表中可以看到,此计算机的IP地址与MAC地址已经绑定,在路由器重启以后,该条

目仍然生效

三、设置电脑防止ARP欺骗

路由器已经设置了防止ARP欺骗功能,接下来我们就来设置电脑的防止ARP欺骗了。微软的操作

系统中都带有ARP这一命令行程序,我们可以在windows的命令行界面来进行配置。

Windows XP系统的设置方法:

点击开始,选择运行,输入―cmd‖,打开windows的命令行提示符如下:

通过―arp –s 路由器IP+路由器MAC‖这一条命令来实现对路由器的ARP条目的静态绑定,如:arp s

192.168.1.1 00-0a-eb-d5-60-80;可以看到在arp -a 命令的输出中,已经有了我们刚才添加的条目,Type

类型为static表示是静态添加的。至此,我们也已经设置了电脑的静态ARP条目,这样电脑发送到路由器

的数据包就不会发送到错误的地方去了。

怎么知道路由器的MAC地址是多少呢?可以打开路由器的管理界面,进入网络参数->―LAN口设

LAN口的MAC地址就是电脑的网关的MAC地址。

细心的人可能已经发现了,如果使用上面的方法,电脑每次在重启后都需要输入上面的命令来实现

防止ARP欺骗,有没有更简单的方法自动来完成,不用手工输入呢?有!

我们可以新建一个批处理文件如static_注意后缀名为bat编辑它,在里面加入我们刚才的

命令:

保存就可以了,以后可以通过双击它来执行这条命令,还可以把它放置到系统的启动目录下来实现

启动时自己执行。打开电脑开始->程序,双击启动打开启动的文件夹目录,把刚才建立的

static_复制到里面去:

好了,以后电脑每次启动时就会自己执行arp s命令了,在以后使用网络的时候,不再受到ARP

击的干扰。

Windows VistaWindows 7系统的设置方法:

1、管理员身份运行命令提示符。

2、命令:netsh -c i i show in 查看网络连接准确名称。如:本地连接、无线网络连接。

3、执行绑定:netsh -c i i add neighbors "网络连接名称" "IP地址" "MAC地址"

4、绑定完成,电脑重启静态ARP不失效,不用像XP一样建批处理文件。

如图所示:

首先以管理员身份运行CMD打开命令行程序(开始-程序-附件-命令提示符 击右

键选择“以管理员身份运行” )