增加路由器的連接方法：路由器轉發性能多少合適

客戶反映在使用我方提供的三條互聯網專線網絡時經常出現上網慢、無法上網等故障現象。針對這一問題，本人去現場對這三條互聯網專線的網絡進行了比較全面的測試和分析，現將整個測試做如下彙報。

一、網絡拓撲

客戶反映的存在故障的三條互聯網專線分別用於辦公樓、宿舍樓和辦公樓WiFi覆蓋，其公網IP地址分別是111.X.X.154、111.X.X.165和111.X.X.163，其內網IP分別192.168.16.X、192.168.88.X、192.168.90.X。為其網絡拓撲結構大致如圖1所示（選中圖片後可點擊放大查看）。從圖中可看出辦公樓和宿舍樓接入了很多的二/三級路由器。

圖1：客戶互聯網專線網絡拓撲

二、存在的問題

1、辦公樓網絡

⑴、主路由器性能低下（初步判斷是硬件老化），內網時延較大且不穩定，經常無法轉發大包（超過1KB位元組的包），如圖2所示。

圖2：內網ping大包最大只能ping900位元組的包

知識點：ping 命令加 -f 表示不分片，利用不分片去ping可檢測路由器MTU的大小，當路由器性能下降或其他原因導致路由器不能轉發大包，如超過900位元組的報文，超過900位元組路由器會進行分片轉發，導致路由器轉發性能下降。

⑵、主路由器下接的部分二級路由器配置不當（當交換機使用卻沒有關閉DHCP功能）導致上網終端經常無法獲取正確的IP地址，如圖3所示。

圖4：用戶電腦獲取的IP不正確

PS：用戶的內網IP是192.168.16.0段，但電腦獲取的是192.168.0.段，說明電腦沒有從主路由器獲取IP，內網存在非法路由器（路由器當交換機使用缺沒有關閉DHCP）。

⑶、二/三級路由器沒修改LAN口的IP為不同段，導致IP地址存在衝突:，如圖5所示：

圖5：IP存在衝突的抓包截圖

PS：通過wireshark抓包可以看出內網存在免費arp檢測衝突，下級路由器沒有修改LAN口的網段導致與上級路由器的IP衝突。

2、宿舍樓網絡

與辦公樓專線網絡存在的問題大致一致。

3、辦公樓WiFi覆蓋

⑴、路由器性能低下（初步判斷是硬件老化），經常無法轉發大包（超過1KB位元組的包）；100M速率的帶寬經過該路由器後測速只達到28M，如圖6和圖7所示。

圖6：內網不能轉發超過1000位元組的報文

圖7：單機測速100M的帶寬只有28M

⑵、AP之間以及AP與其他無線路由器的WiFi信道存在干擾，如圖8所示。

圖8：客戶的AP信號檢測圖

PS：客戶的AP信道存在重疊，同頻干擾嚴重，對上網影響很大，一般可以修改AP的信道分別從1到13，盡量避免信道重疊。

三、優化建議

1、更換新的企業級千兆路由器和交換機。

2、找出所有的二級路由器，對其配置進行優化整改。

配置方式一：當主路由器的LAN口接二級路由器的WAN口時，必須並將二級路由的LAN口IP改成跟主路由器的LAN口IP不同段。

配置方式二：當主路由器的LAN口接二級路由器的LAN口時，必須關閉二級路由的DHCP功能。

建議採用第一種方式，該方式能縮小衝突域，能有效隔離廣播報文、降低故障風險。

3、優化WiFi信號的通道使相鄰AP之間的通道不重合，避免信號出現干擾。

4、加強對IP地址和設備接入的規範化管理並形成台賬，避免單位人員因私接路由器導致故障。

5、梳理網線走向並打好標籤，方便日常故障定位，同時也能避免形成環路的風險。