網吧路由器防ARP地址欺騙功能

網吧路由器有很多值得學習的地方，這裡我們主要介紹網吧路由器防ARP地址欺騙功能。以前有一個帖子，為了搞跨某個網站，只要有大量的人去ping這個網站，這個網站就會跨了，這個就是所謂的拒絕服務的攻擊，用大量的無用的數據請求，讓他無暇顧及正常的網絡請求。

網絡上的黑客在發起攻擊前，都要對網絡上的各個IP地址進行掃描，其中一個常見的掃描方法就是ping，如果有應答，則說明這個ip地址是活動的，就是可以攻擊的，這樣就會暴露了目標，同時如果在外部也有大量的報文對RG-NBR系列路由器發起Ping請求，也會把網吧的RG-NBR系列路由器拖跨掉。現在多數網吧路由器都設計了一個WAN口防止ping的功能，可以簡單方便的開啟，所有外面過來的ping的數據報文請求，都裝聾作啞，這樣既不會暴露自己的目標，同時對於外部的ping攻擊也是一個防范。

防ARP地址欺騙功能

大家都知道，內部PC要上網，則要設置PC的IP地址，還有網關地址，這裡的網關地址就是NBR路由器的內部網接口IP地址，內部PC是如何訪問外部網絡呢？就是把訪問外部網的報文發送給NBR的內部網，由NBR路由器進行NAT地址轉發後，再把報文發送到外部網絡上，同時又把外部回來的報文，去查詢路由器內部的NAT鏈接，回送給相關的內部PC，完成一次網絡的訪問。

在網絡上，存在兩個地址，一個是IP地址，一個是MAC地址，MAC地址就是網絡物理地址，內部PC要把報文發送到網關上，首先根據網關的IP地址，通過ARP去查詢NBR的MAC地址，然後把報文發送到該MAC地址上，MAC地址是物理層的地址，所有報文要發送，最終都是發送到相關的MAC地址上的。所以在每台PC上，都有ARP的對應關系，就是IP地址和MAC地址的對應表，這些對應關系就是通過ARP和RARP報文進行更新的。

目前在網絡上有一種病毒，會發送假冒的ARP報文，比如發送網關IP地址的ARP報文，把網關的IP對應到自己的MAC上，或者一個不存在的MAC地址上去，同時把這假冒的ARP報文在網絡中廣播，所有的內部PC就會更新了這個IP和 MAC的對應表，下次上網的時候，就會把本來發送給網關的MAC的報文，發送到一個不存在或者錯誤的MAC地址上去，這樣就會造成斷線了。這就是ARM地址欺騙，這就是造成內部PC和外部網的斷線，該病毒在前一段時間特別的猖獗。針對這種情況，防ARP地址欺騙的功能也相繼出現在一些專業路由器產品上。

負載均衡和線路備份

舉例來說，如銳捷RG-NBR系列路由器全部支持VRRP熱備份協議，最多可以設定 2-255台的NBR路由器，同時鏈接2-255條寬帶線路，這些NBR和寬帶線路之間，實現負載均衡和線路備份，萬一線路斷線或者網絡設備損壞，可以自動實現的備份，在線路和網絡設備都正常的情況下，便可以實現負載均衡。該功能在銳捷的所有的路由器上都支持。