请教高手一个问题

时间:2021-06-06 18:51:59
   我有一个小区网,用的两个路由器.一个是华为2811路由器接网通10M光纤(大部分用户用这个出口).另一个是Netcore路由(平时很少用户用)电信2M光纤.两个路由都接在一个二层交换机.再分到每个单元楼,到单元楼用的光纤.
   现在就是有个问题,网速极慢.有时候我在服务器上看.总共只有30个用户在使用,ARP病毒我也查了.目前没有.
   我想请教各位.有什么办法可以优化一下网络.谢谢

16 个解决方案

#1

跟你个人无关 跟网通电信有关

#2

我是想优划一下网络啊.我用本本直接接在华为2层交换机上,打开网页速度还是挺快的啊.

#3

不关你事 有时间打10000聊聊

#4

两层路由?应该是广播风暴
试试VPN

#5

你小区网内部速度如何

#6

回楼上的,不是二层路由,是两层华为交换机.

小区内部网络还可以,我在小区放了个服务器.做一些简单的管理和观查.还做了个FTP,在上面下东西还是挺快的.


我还想问问,有什么好点的设备可以很好防ARP啊?价格不要太高.

#7

现在是这样一个问题.

    小区的其它机器打开网页很慢啊,比如163,sina.这些网页都慢,主页速度还可以,二级页面就几分钟才出来了.不是一台机器这样.用迅雷下载的速度还是有一百多KB.

    请高手分析一下是什么原因引起的啊.谢谢

#8

在LAN里当然快了,把两个router的配置文件贴上来

#9

#
 sysname fengjin
#
 super password level 3 cipher 8J!*IC*4J$T^X)82DA=3;1!!
#
 local-server nas-ip 127.0.0.1 key huawei
#
 local-user password-display-mode cipher-force
#
 firewall enable
#
 nat address-group 1 221.10.39.146 221.10.39.149
#
radius scheme system
#
domain system
#
local-user admin
 password cipher .]@USE=B,53Q=^Q`MAF4<1!!
 service-type telnet terminal
 level 3
 service-type ftp
local-user huiyuankeji
local-user hytech
#
ipsec proposal 1
#
dhcp server ip-pool 1
 network 192.168.20.0 mask 255.255.255.0
 gateway-list 192.168.20.244 192.168.20.254
#
acl number 2000
 rule 0 permit source 192.168.20.0 0.0.0.255
#
acl number 3000
 rule 1 deny tcp destination-port eq 135
 rule 2 deny tcp destination-port eq 137
 rule 3 deny tcp destination-port eq 138
 rule 4 deny tcp destination-port eq 139
 rule 6 deny udp destination-port eq 135
 rule 7 deny udp destination-port eq netbios-ns
 rule 8 deny udp destination-port eq netbios-dgm
 rule 9 deny udp destination-port eq netbios-ssn
 rule 10 deny udp destination-port eq 445
 rule 11 deny tcp destination-port eq 445
 rule 12 deny tcp destination-port range 1881 1890
 rule 13 deny tcp destination-port range 6881 6890
acl number 3001
 rule 0 deny tcp source-port eq 3127
 rule 1 deny tcp source-port eq 1025
 rule 2 deny tcp source-port eq 5554
 rule 3 deny tcp source-port eq 9996
 rule 4 deny tcp source-port eq 1068
 rule 5 deny tcp source-port eq 135
 rule 6 deny udp source-port eq 135
 rule 7 deny tcp source-port eq 137
 rule 8 deny udp source-port eq netbios-ns
 rule 9 deny tcp source-port eq 138
 rule 10 deny udp source-port eq netbios-dgm
 rule 11 deny tcp source-port eq 139
 rule 12 deny udp source-port eq netbios-ssn
 rule 13 deny tcp source-port eq 593
 rule 14 deny tcp source-port eq 4444
 rule 15 deny tcp source-port eq 5800
 rule 16 deny tcp source-port eq 5900
 rule 18 deny tcp source-port eq 8998
 rule 19 deny tcp source-port eq 445
 rule 20 deny udp source-port eq 445
 rule 21 deny udp source-port eq 1434
 rule 30 deny tcp destination-port eq 3127
 rule 31 deny tcp destination-port eq 1025
 rule 32 deny tcp destination-port eq 5554
 rule 33 deny tcp destination-port eq 9996
 rule 34 deny tcp destination-port eq 1068
 rule 43 deny tcp destination-port eq 593
 rule 44 deny tcp destination-port eq 4444
 rule 45 deny tcp destination-port eq 5800
 rule 46 deny tcp destination-port eq 5900
 rule 48 deny tcp destination-port eq 8998
 rule 51 deny udp destination-port eq 1434
#
interface Aux0
 async mode flow
#
interface Ethernet0/0
 firewall ethernet-frame-filter 4001 inbound
 ip address 192.168.20.244 255.255.255.0
 dhcp select interface
 dhcp server dns-list 202.106.0.20 221.10.251.196 211.137.96.205 61.139.2.69
 dhcp server expired day 0 hour 6
 firewall packet-filter 3001 inbound
#
interface Ethernet0/1
 ip address 221.10.39.146 255.255.255.248
 nat outbound 2000
#
interface Serial0/0
 clock DTECLK1
 link-protocol ppp
 ip address ppp-negotiate
#
interface NULL0
#
 FTP server enable
#
 dhcp server ping packets 4
 dhcp server forbidden-ip 192.168.20.1 192.168.20.3
 dhcp server forbidden-ip 192.168.20.61 192.168.20.255
 undo dhcp enable
#
 ip route-static 0.0.0.0 0.0.0.0 221.10.39.145 preference 60
#
user-interface con 0
user-interface aux 0
user-interface vty 0
 user privilege level 3
 set authentication password cipher 1LB=$XW_H7H"4*AI6#%D]!!!
user-interface vty 1 4
 set authentication password cipher 1LB=$XW_H7H"4*AI6#%D]!!!
#

#10

这是华为2811的设置,电信那个路由,是WEB页面的.

我现在主要是想怎么防ARP.现在这个毒把我头都整大了

#11

没啥问题,口子底下写点注释嘛,久了咋记得到嘛。

#
interface   Ethernet0/0
  firewall   ethernet-frame-filter   4001   inbound    这个4001是在哪定义的哦?
  dhcp   server   expired   day   0   hour   6         这个刷新时间改过没,若改过建议恢复默认
#

在核心交换机下级联了几级哦?

关于arp,你如果用的是华为的交换机,应该可以配置端口安全之类的东西,记不到了,你查下命令手册,好像有个功能可以锁MAC地址,就是比如24端口24地址,配好过后保存了直接重启,先进来的24个地址就锁了,后来的一律不转发

我觉得问题就是在arp上,你好好找找原因!

#12

DHCP现在没有用哈.我现在是用二层交换机把每个端口隔开的,把中毒范围缩小哦.目前好多了哈.还可以隔广播包.

#13

vlan呢?

#14

也没有用.

#15

尝试设置VLAN,
然后进行ARP映射(动态还是静态自己看着办).
或者配置MAC:
<Quidway> system-view
[Quidway] mac-address static <MAC地质> interface ethernet <端口> vlan <VLAN ID>
[Quidway] mac-address timer aging 500(500为地址老化时间)

有VLAN隔离要好些.

#16

嗯,谢了.

#1

跟你个人无关 跟网通电信有关

#2

我是想优划一下网络啊.我用本本直接接在华为2层交换机上,打开网页速度还是挺快的啊.

#3

不关你事 有时间打10000聊聊

#4

两层路由?应该是广播风暴
试试VPN

#5

你小区网内部速度如何

#6

回楼上的,不是二层路由,是两层华为交换机.

小区内部网络还可以,我在小区放了个服务器.做一些简单的管理和观查.还做了个FTP,在上面下东西还是挺快的.


我还想问问,有什么好点的设备可以很好防ARP啊?价格不要太高.

#7

现在是这样一个问题.

    小区的其它机器打开网页很慢啊,比如163,sina.这些网页都慢,主页速度还可以,二级页面就几分钟才出来了.不是一台机器这样.用迅雷下载的速度还是有一百多KB.

    请高手分析一下是什么原因引起的啊.谢谢

#8

在LAN里当然快了,把两个router的配置文件贴上来

#9

#
 sysname fengjin
#
 super password level 3 cipher 8J!*IC*4J$T^X)82DA=3;1!!
#
 local-server nas-ip 127.0.0.1 key huawei
#
 local-user password-display-mode cipher-force
#
 firewall enable
#
 nat address-group 1 221.10.39.146 221.10.39.149
#
radius scheme system
#
domain system
#
local-user admin
 password cipher .]@USE=B,53Q=^Q`MAF4<1!!
 service-type telnet terminal
 level 3
 service-type ftp
local-user huiyuankeji
local-user hytech
#
ipsec proposal 1
#
dhcp server ip-pool 1
 network 192.168.20.0 mask 255.255.255.0
 gateway-list 192.168.20.244 192.168.20.254
#
acl number 2000
 rule 0 permit source 192.168.20.0 0.0.0.255
#
acl number 3000
 rule 1 deny tcp destination-port eq 135
 rule 2 deny tcp destination-port eq 137
 rule 3 deny tcp destination-port eq 138
 rule 4 deny tcp destination-port eq 139
 rule 6 deny udp destination-port eq 135
 rule 7 deny udp destination-port eq netbios-ns
 rule 8 deny udp destination-port eq netbios-dgm
 rule 9 deny udp destination-port eq netbios-ssn
 rule 10 deny udp destination-port eq 445
 rule 11 deny tcp destination-port eq 445
 rule 12 deny tcp destination-port range 1881 1890
 rule 13 deny tcp destination-port range 6881 6890
acl number 3001
 rule 0 deny tcp source-port eq 3127
 rule 1 deny tcp source-port eq 1025
 rule 2 deny tcp source-port eq 5554
 rule 3 deny tcp source-port eq 9996
 rule 4 deny tcp source-port eq 1068
 rule 5 deny tcp source-port eq 135
 rule 6 deny udp source-port eq 135
 rule 7 deny tcp source-port eq 137
 rule 8 deny udp source-port eq netbios-ns
 rule 9 deny tcp source-port eq 138
 rule 10 deny udp source-port eq netbios-dgm
 rule 11 deny tcp source-port eq 139
 rule 12 deny udp source-port eq netbios-ssn
 rule 13 deny tcp source-port eq 593
 rule 14 deny tcp source-port eq 4444
 rule 15 deny tcp source-port eq 5800
 rule 16 deny tcp source-port eq 5900
 rule 18 deny tcp source-port eq 8998
 rule 19 deny tcp source-port eq 445
 rule 20 deny udp source-port eq 445
 rule 21 deny udp source-port eq 1434
 rule 30 deny tcp destination-port eq 3127
 rule 31 deny tcp destination-port eq 1025
 rule 32 deny tcp destination-port eq 5554
 rule 33 deny tcp destination-port eq 9996
 rule 34 deny tcp destination-port eq 1068
 rule 43 deny tcp destination-port eq 593
 rule 44 deny tcp destination-port eq 4444
 rule 45 deny tcp destination-port eq 5800
 rule 46 deny tcp destination-port eq 5900
 rule 48 deny tcp destination-port eq 8998
 rule 51 deny udp destination-port eq 1434
#
interface Aux0
 async mode flow
#
interface Ethernet0/0
 firewall ethernet-frame-filter 4001 inbound
 ip address 192.168.20.244 255.255.255.0
 dhcp select interface
 dhcp server dns-list 202.106.0.20 221.10.251.196 211.137.96.205 61.139.2.69
 dhcp server expired day 0 hour 6
 firewall packet-filter 3001 inbound
#
interface Ethernet0/1
 ip address 221.10.39.146 255.255.255.248
 nat outbound 2000
#
interface Serial0/0
 clock DTECLK1
 link-protocol ppp
 ip address ppp-negotiate
#
interface NULL0
#
 FTP server enable
#
 dhcp server ping packets 4
 dhcp server forbidden-ip 192.168.20.1 192.168.20.3
 dhcp server forbidden-ip 192.168.20.61 192.168.20.255
 undo dhcp enable
#
 ip route-static 0.0.0.0 0.0.0.0 221.10.39.145 preference 60
#
user-interface con 0
user-interface aux 0
user-interface vty 0
 user privilege level 3
 set authentication password cipher 1LB=$XW_H7H"4*AI6#%D]!!!
user-interface vty 1 4
 set authentication password cipher 1LB=$XW_H7H"4*AI6#%D]!!!
#

#10

这是华为2811的设置,电信那个路由,是WEB页面的.

我现在主要是想怎么防ARP.现在这个毒把我头都整大了

#11

没啥问题,口子底下写点注释嘛,久了咋记得到嘛。

#
interface   Ethernet0/0
  firewall   ethernet-frame-filter   4001   inbound    这个4001是在哪定义的哦?
  dhcp   server   expired   day   0   hour   6         这个刷新时间改过没,若改过建议恢复默认
#

在核心交换机下级联了几级哦?

关于arp,你如果用的是华为的交换机,应该可以配置端口安全之类的东西,记不到了,你查下命令手册,好像有个功能可以锁MAC地址,就是比如24端口24地址,配好过后保存了直接重启,先进来的24个地址就锁了,后来的一律不转发

我觉得问题就是在arp上,你好好找找原因!

#12

DHCP现在没有用哈.我现在是用二层交换机把每个端口隔开的,把中毒范围缩小哦.目前好多了哈.还可以隔广播包.

#13

vlan呢?

#14

也没有用.

#15

尝试设置VLAN,
然后进行ARP映射(动态还是静态自己看着办).
或者配置MAC:
<Quidway> system-view
[Quidway] mac-address static <MAC地质> interface ethernet <端口> vlan <VLAN ID>
[Quidway] mac-address timer aging 500(500为地址老化时间)

有VLAN隔离要好些.

#16

嗯,谢了.
标签:

相关文章