【正文】 網(wǎng)內(nèi)的PC出現(xiàn)丟線的現(xiàn)象，嚴重的可以使到整個局域網(wǎng)的PC出現(xiàn)大面積的丟線，嚴重影響網(wǎng)吧或企業(yè)網(wǎng)絡(luò)的上網(wǎng)。ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。針對ARP欺騙的情況，F(xiàn)R538G防火墻提供了全面的解決方案。第一種類ARP欺騙類型，即：對路由器ARP表的欺騙，該ARP欺騙類型的目的就是使路由器獲取了錯誤的的PC的MAC 地址，當(dāng)一個數(shù)據(jù)包從局域網(wǎng)發(fā)出，經(jīng)路由器至Internet的某臺服務(wù)器后，該服務(wù)器發(fā)回來的響應(yīng)數(shù)據(jù)包經(jīng)路由器時，因為得到了PC錯誤MAC地址，使響應(yīng)數(shù)據(jù)包無辦法回到正確的PC上，從而導(dǎo)致出現(xiàn)丟線現(xiàn)象，解決該問題，只需路由器支持IP/MAC地址，使ARP欺騙病毒的錯誤信息無辦法影響到路由器的ARP列表即可。FR538G支持IP/MAC 地址綁定，具體設(shè)置需進到FR538G的管理界面：SecurityIP/MAC Binding選項，如下圖所示：1）. 啟用IP/MAC綁定功能：Do you want to enable IP/MAC Binding ? 選中“Yes”，并點Apply即可。2）. 掃描可綁定的PC的IP/MAC信息：按一下refresh按鈕：，F(xiàn)R538G開始在局域網(wǎng)進行掃描，當(dāng)掃描完成后，會顯示如下圖所示：注：當(dāng)你的網(wǎng)絡(luò)經(jīng)過三層交換或路由連接到FR538G時，F(xiàn)R538G將不能掃描不是直接連接的網(wǎng)段，也不能進行有效的IP/MAC綁定。3）. Enable需綁定的IP/MAC地址：選中要綁定的IP/MAC地址，并點擊綠色按鈕enable即可。有時因為局域網(wǎng)內(nèi)有部分PC未開啟，所以FR538G無辦法進行有效的掃描，因此，當(dāng)這些PC機開啟后，我們只需重新按一下refresh按鈕重新掃描即可。注意：在設(shè)置IP/MAC綁定時，需首先把FR538G的DHCP Server關(guān)閉。第二種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙，即欺騙局域網(wǎng)的PC，使他們無法獲得正確的路由器的IP地址及MAC地址等信息，從而使PC無法通過正確的網(wǎng)關(guān)出Internet,解決該問題的方法有兩種：第一種設(shè)置的辦法就是我們常說的雙向綁定的方法，即除了上述所說的在FR538G設(shè)置IP/MAC地址的綁定外，我們需在單臺PC上進行綁定正確的路由器的IP/MAC地址即可。1）. 進入管理菜單MonitoringRouter Status，查看FR538G的LAN 口的IP和MAC地址，如下圖所示：2）. ；@echo off arp darp s 00:11:22:33:44:43剛才我們已經(jīng)查看了FR538G正確的IP/MAC地址信息，現(xiàn)在，我們把該IP/MAC 地址添加到在批處理文件中保存，并將該批處理文件拖到“windows開始程序啟動”中，如果是網(wǎng)吧，可以利用收費軟件服務(wù)端程序(如pubwin或萬象等軟件)。這樣，我們即完成了雙向綁定的設(shè)置，從而有效地防止ARP欺騙病毒。另外，如果在實際環(huán)境中不方便對每一臺PC進行單向綁定，我們可以采用第二種防御方法，即啟用FR538G的Arp Attack Prevention功能。該功能啟用后，F(xiàn)R538G將主動發(fā)布正確的ARP信息，確保下面的電腦接到正確的ARP信息，防止出現(xiàn)被中毒的PC發(fā)布的錯誤網(wǎng)關(guān)信息影響，使局域網(wǎng)內(nèi)的PC均獲得正確的路由器的IP/MAC信息。具體設(shè)置需進到SecurityIP/MAC Binding選項，如下圖所示：在Arp Attack Prevention選項中提示：do you want to enable Arp Attack Prevention?選中Yes，Refresh Interval默認值為100ms即可，點擊Apply即立即生效。通過以上的設(shè)置，各企業(yè)用戶及網(wǎng)吧用戶，將不再擔(dān)心ARP欺騙病毒引起的丟線問題，確保局域網(wǎng)的用戶實現(xiàn)24*7小時的Internet訪問服務(wù)。 返回FR538G如何設(shè)置端口鏡像端口鏡像是把某一端口的數(shù)據(jù)在發(fā)出或接收的同時復(fù)制一份到指定的鏡像端口，以檢測網(wǎng)絡(luò)通訊的功能，在網(wǎng)吧等需要對整個網(wǎng)絡(luò)進行監(jiān)控的環(huán)境中有重大作用。FR538G支持標(biāo)準的端口鏡像功能，具體設(shè)置如下：進入管理界面Network ConfigurationLAN SetupPort Mirror菜單，如下圖所示：Enable Port Mirror？選中YesMirror Port :監(jiān)控的端口，該端口用于對其它端口的流量及數(shù)據(jù)包進行監(jiān)控；Egress：被監(jiān)控的端口上出去的數(shù)據(jù)包；Ingress：被監(jiān)控的端口上進去的數(shù)據(jù)包；用戶可根據(jù)實際情況，選擇多個被監(jiān)控的端口進行監(jiān)控。點擊Apply即可。返回FR538G如何設(shè)置QoS帶寬限速功能FR538G支持QoS限速功能，從開始，F(xiàn)R538G的限速功能可通過設(shè)置各PC的上限和下限帶寬，實現(xiàn)精確的帶寬限制，本文將通過FR538G 的版本為例（注：本文的QoS設(shè)置方法不適用于版本），詳細介紹FR538G的QoS帶寬限速功能，并通過一些范圍介紹具體的使用方法：一．FR538G的全域參數(shù)1．設(shè)置廣域網(wǎng)端口最大頻寬進入到FR538G的管理菜單MonitoringQoSMaximum Bandwidth選項，如下圖所示：例如: 廣域網(wǎng)連線路為4Mbps 上行及4Mbps 下行，則Upstream 及Downstream 應(yīng)各設(shè)置為512 KByte/Sec 。請注意，廣域網(wǎng)端口最大頻寬應(yīng)依照實際情況以正確數(shù)值設(shè)置。2．啟動或關(guān)閉QoS 進入到FR538G的管理菜單MonitoringQoSQoS選項，如下圖所示：Do you want to enable QoS?選中Yes并應(yīng)用即可。3．設(shè)置QoS 型態(tài) Rate Control: 選擇以流量控制方式設(shè)置QoS 規(guī)則 Priority: 選擇以優(yōu)先權(quán)方式設(shè)置QoS 規(guī)則 二．以流量控制（Rate Control）方式設(shè)置QoS規(guī)則1．新增QoS 規(guī)則點擊右下角的Add添加按鈕進行添加新的規(guī)則，如下圖所示：2．選擇廣域網(wǎng)端口位置以下拉式選單選擇QoS 規(guī)則需要使用的廣域網(wǎng)端口。3．設(shè)置QoS 規(guī)則中的過濾條件過濾條件為以下四個欄位: 服務(wù)(Service): 選擇要以何種服務(wù)作為過濾條件，如不須指定特定服務(wù)則選擇”Any”。 方向(Direction): 若遇過濾內(nèi)網(wǎng)至廣域網(wǎng)流量則選擇”Upstream”，反之選擇”Downstream”。 DiffServ QoS Match: 選擇以IP 標(biāo)頭中的DiffServ 欄位設(shè)置過濾條件。若不需以DiffServ 標(biāo)籤設(shè)置過濾條件則選擇”Disable”。 主機(Hosts): 若欲選擇使用IP 地址區(qū)間為過濾條件則選擇”IP address range”，否則可選擇”Group”以預(yù)先設(shè)定的主機群組設(shè)置過濾條件。 擁塞優(yōu)先權(quán)(Congestion Priority): 若規(guī)則間發(fā)生競爭流量時，則根據(jù)此設(shè)定值來決定要將流量分配之優(yōu)先權(quán)。 4．設(shè)置QoS 規(guī)則中的動作動作包含以下欄位: 共享流量(Total IPs Share): QoS 規(guī)則中之流量將由規(guī)則中所允許的計算機平均分配使用。 平均分配(For each IP): 指定規(guī)則中的每個計算機的最小及最大流量。 DiffServ QoS Remark: 將IP 標(biāo)頭中的DiffServ 標(biāo)籤更換為指定的標(biāo)籤。 請注意，最小與最大頻寬的設(shè)置如以下公式計算: 若選擇Total IPs Share每部計算機最低保證頻寬: QOS 規(guī)則中的頻寬設(shè)定值 / 規(guī)則中允許計算機數(shù)每部計算機最大可使用頻寬: QOS 規(guī)則中的頻寬設(shè)定值若選擇For each IP每部計算機最低保證頻寬: QOS 規(guī)則中的MIN 頻寬設(shè)定值每部計算機最大可使用頻寬: QOS 規(guī)則中的MAX 頻寬設(shè)定值三、范例使用者IP 分配: ~ 服務(wù)器IP 分配: ~ 群組使用者IP 分配:Group2: , Group5: , , , 廣域網(wǎng)端口頻寬: 4Mbps/4Mbps ( 意即: 512KBps/512KBps) 廣域網(wǎng)頻寬配置策略: 使用者: 最低下載保證頻寬為2KBps, 當(dāng)使用者只有一人時最高可使用頻寬為250KBps. 服務(wù)器: 共用下載頻寬為250KBps Group2 使用者: 最低下載保證頻寬為50KBps, 當(dāng)使用者只有一人時最高可使用頻寬為250KBps. Group5 使用者: 共用上載頻寬為100KBps 具體設(shè)定如下: 1．設(shè)置使用者群組進到管理菜單Network ConfigurationLAN Groups進行分組，如下圖所示：2．設(shè)置端口最大頻寬3．啟用QoS4．新增使用者的下行(Downstream)QoS 規(guī)則設(shè)定如下: 每部計算機最低保證頻寬: 2KB/s 每部計算機最大可使用頻寬: 250KB/s 5. 新增服務(wù)器的下行(Downstream)QoS 規(guī)則設(shè)定如下: 每部計算機最低保證頻寬: (250 / 5) = 50KB/s 每部計算機最大可使用頻寬: 250KB/s 6．新增群組使用者(Group 2: 2 IP hosts included) 的下行(Downstream)QoS 規(guī)則設(shè)定如下: 每部計算機最低保證頻寬: 50KB/s 每部計算機最大可使用頻寬: 250KB/s 7．新增群組服務(wù)器(Group 4: 4 IP hosts included) 的上行(Upstream)QoS 規(guī)則設(shè)定如下: 每部計算機最低保證頻寬: (100 / 4) = 25KB/s 每部計算機最大可使用頻寬: 100KB/s 8. 設(shè)置終了以后的結(jié)果如下圖所示: 返回 個人制