arp病毒攻击决方案.docVIP

在光纤接入LAN业务故障处理过程中，经常会遇到这样的问题“用户抱怨网速很慢，而且上网时断时续，故障查修人员断开路由器，单机测试上网稳定，网速达标”。这样的故障现象，往往因为用户局域网电脑中病毒，不断进行病毒攻击或者是用户局域网用户从互联网上下载文件占用了大量带宽所致。如何解决这样的问题不断发生，提出下面几点建议。 用户联网资料记录 光纤接入LAN业务开通（用户测安装路由器），建议引导用户将电脑配置固定IP地址，不要采用DHCP自动获得IP地址的方式。并在开通业务的时候引导用户把电脑的IP地址，MAC地址，用户姓名等信息做个登记。便于局域网规划和日后故障定位。 用户姓名 电脑IP地址 电脑MAC地址 业务开通时间 备注 张三 192.168.1.2 00-25-11-84-16-83 2012-12-18 李四 192.168.1.3 01-00-5e-7f-ff-fa 2012-12-18 王五 192.168.1.4 01-00-5e-00-00-16 2012-12-18 二、路由器配置ARP防护 局域网中ARP病毒攻击是很常见，如果未做任何防护处理，ARP攻击危害也比较大，是造成网络不稳定的主要因素，严重时能造成整个网络瘫痪。在LAN业务开通时配置ARP防护是非常有必要的。下面以定西电信目前使用的TP-LINK厂家TL-R478路由器为例，配置ARP防护： 路由器的基本配置和普通路由器配置一样，按照“设置向导”的提示一步步配置完成，网络就通了。然后点击“防火墙——ARP防护——IP MAC绑定”。如下图将“功能设置”中三项选中，点保存。然后把用户局域网电脑IP地址、MAC地址填入相应项点新增，最好将用户姓名添加到备注。 也可以点击“ARP扫描”对整个局域网电脑进行ARP扫面，把扫描到的电脑IP地址和MAC地址导入到ARP绑定列表里面，也可以达到和手工添加相同的效果。 测试：给电脑分别配置在绑定列表中和不在绑定列表中的IP地址，测试是否能够正常上网，结果只有配置了在绑定列表中的电脑才能正常上网，说明绑定成功。 三、路由器配置带宽分配策略 目前大多LAN用户申请的带宽在10M左右，同一局域网中如果有个别用户大量的占用带宽，就会造成其他用户网速慢，网页打不开。因此，合理的分配用户带宽是网络稳定的保证。下面以定西电信目前使用的TP-LINK TL-R478路由器为例，分配带宽。 第一步、配置WAN口总带宽 这里需要根据用户申请的实际带宽来配置，如果是10M上行和下行就都是10000Kbs，如果是8M上行和下行就都是8000Kbs 第二步、配置带宽控制模式 在传输控制 带宽控制 基本设置里面，建议选择智能带宽控制。这样带宽控制只有在总带宽超过80%时生效，提高了带宽利用率。 第三步、建立用户组 第四步、添加用户 第五步、将用户添加到用户组 第六步、给每个用户组分配带宽 带宽模式：独立模式即受控地址范围内每一个IP地址都将应用当前规则所设置的带宽限制；共享模式即受控地址范围内所有IP地址带宽总和为当前规则所设置的带宽限制。 上行最小保证带宽：即在物理带宽不足的前提下，上行数据流至少能够享有的最小带宽。 上行最大限制带宽：即上行数据流所能享有的最大带宽。 下行最小保证带宽：即在物理带宽不足的前提下，下行数据流至少能够享有的最小带宽。 下行最大限制带宽：即下行数据流所能享有的最大带宽。 效果验证：下图分别为配置带宽控制前后的流量统计，可以看到有效控制了192.168.1.100的带宽 四、路由器配置连接数限制 作为局域网的统一出口，路由器支持的连接数是有限的，如果局域网内有部分主机向广域网发起的TCP和UDP数目过多，影响局域网其他计算机的通信质量，就有必要对这部分计算机进行连接数限制。 可以对指定IP的计算机连接数限制进行设置。界面进入方法：传输控制 连接数限制 连接数限制规则。最大链接数的设置建议100-200之间 including incentives) to ensure the achievement of the quality objectives. According to the companys quality system documents, combined with the specific circumstances of the project, preparation of project quality manual, procedures and work related to the project implementat