【IT168 专稿】对于大多数中小企业来说经常遇到上网速度缓慢，内网络传输效率不高的问题，身为企业网络管理员的我们也无时不刻为内网病毒与内网带宽杀手服务而烦恼，就好比我们居家过日子一样赚钱虽然很重要，但是不会算计不会节省一样会落得个败家的下场，在网络维护与管理方面也是如此，我们在不断“开源”的基础上也要学会适当“节流”，今天笔者就从“节流”方面谈谈自己的内网管理经验，让更多的IT168网络频道读者能够优化自己的内网，从路由下手与内网服务抢带宽。

　　一，内网服务带宽大户知多少：

　　病毒与下载是企业内网络资源的两大杀手，病毒中最主要的就是蠕虫类病毒，感染病毒的主机会向整个网络发送大量的广播数据包，从而堵塞网络，让网络链接时断时续。在众多蠕虫病毒中ARP欺骗蠕虫病毒是最让我们头疼的，他不仅仅会拖慢企业内网速度，还会造成多个客户端甚至全部内网用户都无法访问网络的恶劣后果。

　　而在下载方面的杀手主要集中P2P类软件，包括早些时候的BT下载与电驴，还有最近越来越疯狂的迅雷下载。这些下载工具会同时开启成百的连接数进行数据传输，消耗了大量的网络资源。

　　正因为以上两种带宽杀手的存在，使得带宽扩大效果变得非常不明显，一些企业花费重金购买了额外的带宽，结果发现只能够起到治标不治本的效果，企业内网速度依然没有得到有效改善。

　　二，从路由下手与内网服务抢带宽：

　　那么面对两大带宽杀手我们真的无能为力了吗？在与P2P软件和病毒的对抗中我们永远是被动方只有招架之力吗？答案是否定的，今天我们就要从路由下手与内网服务抢带宽，让病毒闭嘴让P2P软件失效。众所周知企业级路由器上都有很多安全策略和管理策略，我们通过这些策略和对应功能可以实现“抢带宽”以及主动防御的目的。

　　（1）利用联机数封锁带宽双煞：

　　从工作原理上我们知道不管是蠕虫病毒还是P2P软件，他都会频繁向网络发送数据包，向多个主机发送连接请求，这样自然会带来本机联机数的增加，因此我们可以通过联机数管理控制功能实现对过多联机数客户端的封锁与屏蔽。

　　第一步：连接内网后进入客户端的命令提示窗口，通过ipconfig查询当前内网网关地址，这个地址就是路由器的管理地址。例如笔者的是192.168.0.200。（如图1）

　　第二步：通过浏览器访问这个管理地址，输入网络管理员的有效帐户信息和密码后确定登录。（如图2）

　　第三步：在管理界面中找到“QOS带宽管理”->“联机数设置”，在这里我们会看到一个名为“联机数管控”的选项，我们根据实际需要设置“当单一个IP联机数到达5时自动封锁此IP所有联机2分钟”。这样就能够实现自动封杀P2P软件与蠕虫病毒的功能。我们设置对应参数后点“确定”按钮保存。（如图3）

　　小提示：

　　在联机数管控参数中设置是非常灵活的我们可以设置内网IP最大的对外联机数，这样当P2P软件联机数到达一定程序后就不再增加了，从而避免了该软件对内网资源的进一步侵袭。

　　第四步：通过联机数管控功能限制了联机数后，我们在客户端上启动BT软件进行下载，封杀效果就非常明显了，当联机数到达指定限制后该客户端自动断网2分钟。（如图4）

　　第五步：在断网的时间内我们不光是P2P软件无法使用，就是IE浏览器访问站点，FTP传输数据文件都无法正常工作，这样就可以告诫那些总是使用P2P软件或感染病毒的用户不要再使用了。（如图5）

　　第六步：关闭联机数管控功能后客户端又可以上网了，当然过了两分钟的封锁期该客户端也可以恢复上网，但是一定要保证联机数不要再次超过限制，否则还会再次被封锁2分钟。（如图6）

　　小提示：

　　当然如果我们希望依旧保持客户端的WWW访问或诸如FTP的其他服务，那么可以在“不受限制的服务或IP地址”处进行设置，这样就算是被封杀2分钟，在这时间段内也可以访问WWW服务或FTP服务。具体参数需要我们设置，包括符合条件的来源IP地址，目的地址等信息。（如图7）

　　除了前面提到的联机数设置功能外，我们还可以利用带宽策略来限制内网服务请求。

　　第一步：一般在中高级路由器中都提供了带宽策略的设置功能，我们可以针对某服务以及来源IP地址，目的地址等信息设置带宽的最小最大值。

　　第二步：值得注意一点的是在设置时一定记得添加对应的接口位置，否则路由器不知道到底哪个接口适用该策略。

　　第三步：例如笔者针对FTP服务的传输进行了限制，要求下载带宽在10Kbit/s到40Kbit/s之间，并且所有客户端共享这个带宽。经过设置后我们再通过FTP下载资源时能够明显感到速度的降低与被限制。（如图8）

　　小提示：

　　不过很多路由器内置的服务管理都是针对端口的，例如FTP服务对应的是20和21端口，我们通过该服务添加带宽策略的话也只是针对20，20端口FTP传输进行限制。有经验的网络管理员都知道当我们在FTP传输过程中如果选择被动模式，那么传输所用的端口将不是默认的20与21，是一个随机的端口，这样该策略就无法起作用了。

　　不管怎么说通过带宽策略功能我们可以有效的管理内网各个服务使用的带宽资源，限制无用网络服务的使用将更多的带宽提供为WWW服务或者有用的应用。

　　在企业内网实际使用过程中经常有员工通过QQ，SKYPE或MSN进行聊天，上班的大部分时间都被聊天替代，严重影响了工作效率。那么是否有办法来限制这些IM工具进行通讯呢？答案是肯定的，但是只能够部分限制。

　　第一步：在中高级的路由器管理界面中都有阻挡特定服务的功能，阻挡的特定服务不外乎MSN，SKYPE，QQ，BT等。

　　第二步：我们将对应服务与程序选中后确定保存就可以实现对他们的封锁了。（如图9）

　　第三步：开启封锁特定服务后MSN登录会提示“错误代码81000306”。但是在笔者实际使用过程中发现这些所谓的阻挡特定服务对于SKYPE与MSN很有效果，但是对于QQ和BT来说由于这些软件的“与时俱进”更改了登录协议和动态改变端口，所以对他们来说不起任何作用，只能够延缓IM登录的速度和BT传输的速度。（如图10）

　　（4）访问规则设置让员工安心工作：

　　除了上述多个方法从路由下手与内网服务抢带宽外，我们还可以就单个服务的传输进行具体设置，在“防火墙配置”中的“访问规则设置”处可以针对某服务以及目的地址，来源地址等信息进行设置。（如图11）

　　通过巧妙设置我们可以灵活的封锁客户端或指定某（些）客户端的某网络服务的使用。（如图12）

　　（5）从访问控制列表入手封杀外网Ddos攻击：

　　在笔者一次实际网络管理与维护中发现企业内部一台路由器速度运行异常缓慢，访问连接该路由器下的服务器需要等待很少时间才能够显示页面。为了查明原因笔者登录该路由器执行sh arp后发现有很多来自外网的连接请求，而这个服务器上的资源只针对内网提供。（如图13）

　　笔者怀疑正是因为这些外网连接请求作怪造成路由器运行速度缓慢转发效能降低而直接导致访问服务器等待时间过长。经过调试和思考笔者决定从WWW服务入手禁止外网的连接请求，经过查询原有访问控制列表没有发现关于WWW服务的过滤信息。（如图14）

　　因此笔者决定在原有的访问控制列表Accesslist上添加了如下语句——（如图15）
　　access-list 100 permit tcp 58.125.0.0 0.0.1.255 any eq www
　　access-list 100 deny tcp any any eq www
　　添加语句并在对应端口上应用后外部网络连接被全部过滤掉，我们的内网客户端可以顺利的访问该服务器，一切恢复正常。

　　小提示：

　　上面两句访问控制列表实际上的作用是容许源地址属于58.125.0.0/255.255.0.0这个网段的机器访问目的地址WWW端口（80端口），而禁止其他网段的机器访问目的地址的WWW端口，从而实现了只容许内网用户访问禁止外网恶意攻击的功能。

　　ARP欺骗病毒是最让网络管理员头疼的内网疾病之一，当企业内网出现ARP欺骗病毒时最明显的症状主要有两点，我们可以通过这两点确定ARP欺骗病毒的存在与爆发。

　　首先我们会发现ping网关地址出现时断时续的问题，一会可以ping通一会又是request timed out。（如图16）

　　其次当我们在本机执行arp -a查看本机ARP缓存时会发现MAC地址出现重复的现象，例如192.168.1.1与192.168.1.252的MAC地址是一个，那么就可以肯定那台IP地址是192.168.1.252的主机感染了ARP欺骗病毒在冒充网关欺骗别的地址。（如图17）

　　遇到ARP欺骗病毒时我们最先要做的就是通过路由器自身的ARP数据包发送功能来抵消ARP欺骗病毒带来的损害，一般可以设置为Arp每秒发送2到3个数据包为宜，不要太多，否则会导致广播泛滥的。另外我们还需要通过双向绑定来彻底杜绝ARP欺骗病毒带来的危害。所谓双向绑定就是指在路由器上执行客户端IP与MAC地址的绑定，而在客户端上执行路由器网关IP与MAC地址的绑定。

　　登录路由器管理界面，然后激活防止ARP病毒攻击即可，具体方法是进入路由器的防火的基本配置栏将“防止ARP病毒攻击”在这一行的“激活”并确定。这样路由器会自动将客户机的MAC地址与分配的IP地址进行绑定。另外在DHCP功能中对IP/MAC进行绑定也是可以的，一般中高级路由器都提供了一个显示新加入的IP地址的功能，通过这个功能可以一次查找到网络内部的所有PC机的IP/MAC的对应列表，然后针对这个列表进行绑定IP/MAC操作即可。

　　客户机上的绑定：

　　对每台pc上绑定网关的IP和其MAC地址在每台PC机上进入dos操作，输入arp ―s 192.168.1.1(网关IP) 00-0f-3d-83-74-28(网关MAC)，回车后完成每台PC机的绑定。不过这个操作每次重新启动计算机后都需要重复设置，所以可以把此命令做成一个批处理文件，放在操作系统的启动里面，批处理文件可以这样写——
　　@echo off
　　arp -d
　　arp -s路由器LAN IP 路由器LAN MAC

　　通过双向绑定可以有效的杜绝ARP欺骗病毒的爆发，即使有机器感染了该病毒后也可以将危害降低到最低。