網吧路由器還有很多值得我們學習的地方，這里我們主要介紹內部PC基于IP地址限速，包括介紹內部PC限制NAT的鏈接數量、ACL防網絡病毒等方面。目前，網吧用戶基于網絡的應用已經從簡單的網頁瀏覽，擴展到視頻QQ聊天、VOD點播、網絡游戲、教育培訓、IP電話等更為廣泛的領域，這些應用的增多對網絡的速度和穩定性提出了越來越高的要求。

因此現在網吧路由器的性能要求也在相應提高：首先，越來越多的功能要求以硬件方式來實現；其次，要求網吧路由器采用分布式處理技術，以提高路由處理能力和速度；第三，逐漸拋棄易造成擁塞的共享式總線，采用交換式路由技術，保障網絡的穩定性。

正是由于網吧應用的復雜化，使得網絡資源變得更加緊張，在這樣的環境下，網吧電腦掉線現象成為困擾網吧業主和網吧管理員的心病，而為了避免出現掉線，各大網絡設備生產商也在網吧路由器產品上面下了不少功夫，大家經過長期對網吧網絡應用環境的研究分析，開發出一系列針對復雜應用環境下網絡應用的優化措施和高級功能，下面我們就來看看網吧路由器上面都采用了哪些特別的技術可以防止掉線：

內部PC基于IP地址限速

現在網絡應用眾多，BT、電驢、迅雷、FTP、在線視頻等，都是非常占用帶寬，以一個200臺規模的網吧為例，出口帶寬為10M，每臺內部PC的平均帶寬為50K左右，如果有幾個人在瘋狂的下載，把帶寬都占用了，就會影響其他人的網絡速度了，另外，下載的都是大文件，IP報文最大可以達到1518個BYTE，也就是1.5k，下載應用都是大報文，在網絡傳輸中，一般都是以數據包為單位進行傳輸，如果幾個人在同時下載，占用大量帶寬，如果這時有人在玩網絡游戲，就可能會出現卡的現象。

一個基于IP地址限速的功能，可以給整個網吧內部的所有PC進行速度限制，可以分別限制上傳和下載速度，既可以統一限制內部所有PC的速度，也可以分別設置內部某臺指定PC的速度。速度限制在多少比較合適呢？和具體的出口帶寬和網吧規模有關系，不過最低不要小于40K的帶寬，可以設置在100-400K比較合適。

內部PC限制NAT的鏈接數量

NAT功能是在網吧中應用最廣的功能，由于IP地址不足的原因，運營商提供給網吧的一般就是1個IP地址，而網吧內部有大量的PC，這么多的PC都要通過這唯一的一個IP地址進行上網，如何做到這點呢？答案就是NAT（網絡IP地址轉換）。內部PC訪問外網的時候，在網吧路由器內部建立一個對應列表，列表中包含內部PCIP地址、訪問的外部IP地址，內部的IP端口，訪問目的IP端口等信息，所以每次的ping、QQ、下載、WEB訪問，都有在網吧路由器上建立對應關系列表，如果該列表對應的網絡鏈接有數據通訊，這些列表會一直保留在網吧路由器中，如果沒有數據通訊了，也需要20-150秒才會消失掉。（對于RG-NBR系列路由器來說，這些時間都是可以設置的），現在有幾種網絡病毒，會在很短時間內，發出數以萬計連續的針對不同IP的鏈接請求，這樣網吧路由器內部便要為這臺PC建立萬個以上的NAT的鏈接。

由于網吧路由器上的NAT的鏈接是有限的，如果都被這些病毒給占用了，其他人訪問網絡，由于沒有NAT鏈接的資源了，就會無法訪問網絡了，造成斷線的現象，其實這是被網絡病毒把所有的NAT資源給占用了。

針對這種情況，不少網吧路由器提供了可以設置內部PC的最大的NAT鏈接數量的功能，可以統一的對內部的PC進行設置最大的NAT的鏈接數量設置，也可以給每臺PC進行單獨限制。同時，這些網吧路由器還可以查看所有的NAT鏈接的內容，看看到底哪臺PC占用的NAT鏈接數量最多，同時網絡病毒也有一些特殊的端口，可以通過查看NAT鏈接具體內容，把到底哪臺PC中毒了給揪出來。

ACL防網絡病毒

網絡病毒層出不窮，但是道高一尺，魔高一丈，所有的網絡病毒都是通過網絡傳輸的，網絡病毒的數據報文也一定遵循TCP/IP協議，一定有源IP地址，目的IP地址，源TCP/IP端口，目的TCP/IP端口，同一種網絡病毒，一般目的IP端口是相同的，比如沖擊波病毒的端口是135，震蕩波病毒的端口是445，只要把這些端口在路由器上給限制了，那么外部的病毒就無法通過網吧路由器這個唯一的入口進入到內部網了，內部的網絡病毒發起的報文，由于在網吧路由器上作了限制，路由器不加以處理，則可以降低病毒報文占據大量的網絡帶寬。

優秀的網吧路由器應該提供功能強大的ACL功能，可以在內部網接口上限制網絡報文，也可以在外部王接口上限制病毒網絡報文，既可以現在出去的報文，也可以限制進來的網絡報文。

WAN口防ping功能

以前有一個帖子，為了搞跨某個網站，只要有大量的人去ping這個網站，這個網站就會跨了，這個就是所謂的拒絕服務的攻擊，用大量的無用的數據請求，讓他無暇顧及正常的網絡請求。網絡上的黑客在發起攻擊前，都要對網絡上的各個IP地址進行掃描，其中一個常見的掃描方法就是ping，如果有應答，則說明這個ip地址是活動的，就是可以攻擊的，這樣就會暴露了目標，同時如果在外部也有大量的報文對RG-NBR系列網吧路由器發起Ping請求，也會把網吧的RG-NBR系列網吧路由器拖跨掉。

現在多數網吧路由器都設計了一個WAN口防止ping的功能，可以簡單方便的開啟，所有外面過來的ping的數據報文請求，都裝聾作啞，這樣既不會暴露自己的目標，同時對于外部的ping攻擊也是一個防范。