H3C 网吧典型组网方案配置指导.docx

目录1网吧基本需求1.1网吧需求1：防ARP攻击1.2网吧需求2：防BT (P2P)、迅雷过多占用带宽1.3网吧需求3：多WAN模式选择1.4网吧需求4：防NAT攻击、路由攻击、异常流量2网吧常用业务介绍2.1负载均衡2.2路由策略2.3 Ghost网络克隆2.4英保通技术2.5无盘启动2.6游戏更新一对比更新技术2.7游戏更新一只读更新技术2.8游戏更新一虚拟磁盘技术2.9游戏更新一对等乱序更新、基于文件快照技术2.10游戏更新一穿透还原保护技术2.11游戏服务器同步更新2.12硬盘保护与还原穿透2.13流量监控与信息过滤2.14 ARP攻击防护2.15端口绑定3网吧常用方案介绍3.1 H3C有盘+Ghost网吧组网方案3.1.1组网图 3.1.2配置步骤3.2 H3C无盘网吧三层组网方案3.2.1组网图3.2.2配置步骤3.3 H3C无盘网吧二层组网方案3.3.1组网图3.3.2配置步骤4 H3C推荐的网吧组网产品5详细配置介绍5.1 ER路由器上的配置5.1.1上网设置5.1.2 QoS 设置5.1.3防ARP攻击设置5.2交换机上的配置5.2.1端口流控设置5.2.2端口镜像设置5.2.3四元绑定设置（S5000E系列或S5028）5.2.4端口汇聚设置6常见问题解答6.1网吧的掉线主要有哪几类？6.2网吧突发性掉线问题怎么办？6.3如何将AR的静态ARP表项转换导入到ER的IP/MAC绑定表？6.4如何将AR的路由表转换导入到ER的负载均衡表？6.5由于IP/MAC绑定错误，导致用户不能上网或无法访问设备时如何处理?6.6为什么会出现“重复登陆.已登陆x.x.x.x,请确保没有其他人在登陆”提 示，如何解决？6.7智能均衡模式与手工均衡模式有什么区别？6.8主备模式与均衡模式有什么区别？6.9如何查看系统资源使用情况？6.10 W1、W2指示灯的含义？6.11管理密码丢失怎么办？网吧基本需求1.1网吧需求1:防ARP攻击通常情况下，网吧掉线大部分是由于ARP攻击引起的。用某网管的话说，要让网 吧稳定很简单，只要让PC和路由器上都用静态ARP。虽然说是ARP攻击，但实 际上大部分ARP攻击并不是恶意的。网上对于ARP攻击的产生是这样描述的：现在网吧很多网络游戏都有外挂，但很多外挂中都有病毒。这些病毒通过发送免 费ARP报文，让局域网中所有的IP都指向本地PC，以此来获得局域网中所有的 数据包，然后分析数据包，将网游的账号提取出来发送给木马作者。ARP攻击的原理如下：. PC上指向网关的ARP表项被修改，导致PC到Internet的数据不能被转发 到PC网关；.PC网关的ARP表项被修改，PC网关不能将报文发送到相应的PC，导致该PC掉线；ARP攻击判断方法：网吧内出现部分掉线，首先要判断的是不是受到的ARP攻击。 步骤如下：(1) 从掉线PC上Ping设备网关，如果是ARP攻击引起的，则不通；(2) 在掉线PC上通过使用“arp - a”命令查看PC上指向网关的ARP表项是否 正确。如不正确，说明PC上的ARP表项已被修改，只要在PC上使用静态ARP 就行了；(3) 如果PC上的ARP表项正常，但仍然不通。您需登陆到路由器，查看路由 器的IP/MAC绑定表是否已经启用。如果启用，请检查该PC的IP和MAC是否在 绑定表中，若不存在，添加一条记录或取消绑定可解决；若存在，则可能另有其 他原因。【ARP攻击解决方案】：目前成熟的解决方案是通过ARP双向绑定来实现的，即分别在PC和出口路由器 上分别绑定对方的IP<>MAC地址，来达到防范ARP的目的。ER路由器上采用 导入IP/MAC绑定表，并选择“仅允许IP/MAC绑定的客户端访问外网”来防止 ARP攻击，PC上用静态ARP表项绑定网关来防止ARP攻击。1.2网吧需求2：防BT （P2P）、迅雷过多占用带宽网吧应用中，P2P电影、BT、迅雷等点对点或多线程业务，对带宽占用很大，实 际中常常会出现某一台PC在下载而导致整个网吧速率下降。网吧与企业不同， 网吧不能禁止，只能限制业务占用过多的带宽。统计结果表明，200台左右的网吧用10M20M带宽的局点还是比较多的，这些网 吧流量限制是必须的；对于一些带宽比较大（超过50M）的，网管也提出了该需 求。典型配置如下：当带宽总数小于15M时，上行40KB/s，下行50KB/s；当用户带宽总数较高时， 需要根据实际业务流量配置IP限速。网吧的业务流量可通过ER的流量统计功能 来查看。【防BT（P2P）下载、防迅雷下载解决方案】： 使用IP流量限速，NAT限制。1.3网吧需求3：多WAN模式选择在单WAN接入的网吧，无论选择何种多WAN模式都一样。但目前很多网吧都采用 了双线接入，这样做的原因有多个方面，主要目的有以下几个： 为了提高游戏速度，可以实现“电信走电信，网通走网通”； 以电信为主，开通网通主要为了看网通的电影； 为了备份线路，以便某一个运营商出问题时，可以切换到另一个线路上。 对于此类双线接入的网吧，在ER上我们有三个模式可以选择：主备模式，智能 负载均衡模式，手动负载均衡模式。实际环境中我们该如何选择？下面是一点建 议。1、一般情况下，我们推荐用户使用手工负载均衡上网。在该模式下，可以导入 电信网通路由表来实现“电信走电信，网通走网通”。2、如果网吧两条链路，其中有一条线路采用计费上网，此时可推荐使用主备模 式。几个多WAN模式说明如下： 主备模式：同一时刻只有一条线路正常工作。缺省情况下，只使用主链路 转发数据。当主链路出现异常时，所有的数据都自动切换到备份链路上；当设备 检测到主链路恢复正常后，备份链路的数据又会自动切换回主链路。注意：只有 当启用多WAN线路检测功能，设备才会自动切换链路上的数据。. 智能负载均衡模式：如果在设备上导入了电信/网通路由表，则报文优先按 照电信/网通路由表转发；如果数据包没有匹配到（电信/网通）路由表，则自动 根据WAN的带宽比例来转发；当设备检测到某一条链路出现异常时，该链路上所 有数据会被自动切换到另一条链路上，当该链路恢复后，数据又会自动切换回该 链路上。注意：只有当启用多WAN线路检测功能，设备才会自动切换链路上的数 据。 手工负载均衡：该模式下需要导入电信/网通路由表，并设置默认链路。数 据包优按照电信/网通路由转发，如果没有匹配到（电信/网通）路由表，则该数 据从设置的缺省链路转发；如果运行过程中，某一条链路出现异常，该链路上的 所有数据会被自动切换到另一条链路上，当该链路恢复后，数据又会自动切换回 该链路上。注意：只有当启用多WAN线路检测功能，设备才会自动切换链路上的 数据。1.4网吧需求4：防NAT攻击、路由攻击、异常流量 NAT攻击：该攻击可分为以下几类，一类是PC异常或中毒，发送源IP地 址变化的报文，导致设备在建立NAT连接时无可用的端口而丢包；一类是PC异 常或中毒，发送源IP （或目的IP、或源端口、或目的端口）不断变化的报化， 消耗设备NAT表项，导致设备丢包。 路由攻击：主要是针对路由缓冲的攻击，PC异常或中毒，发送源IP或目 的IP不断变化的报文，导致设备路由缓存处于满配置状态，降低设备转发性能。 异常流量：PC异常或中毒，向Internet大流量发包，过量占用网吧带宽， 导致网吧掉线。【NAT攻击、路由攻击、异常流量解决方案】：按要求启用IP流量限制和NAT限制。网吧常用业务介绍2.1负载均衡负载均衡是一种廉价有效透明的方法以扩展现有网络设备和服务器的带宽、增加 吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性的技术。负载均衡能力是区别于单WAN 口宽带路由器的主要特征，也是考察多WAN 口宽带 路由器性能优劣的重要指标。根据策略的不同，负载均衡的实现也不同，不同于 单WAN 口宽带路由器，由于多WAN 口的存在，如何分配各WAN 口的数据流量成了 多WAN 口宽带路由器必须解决的问题，各种负载均衡策略也应运而生。不同的负载均衡策略的处理方式不一样，即使采用相同的硬件配置，如果采用不 同的负载均衡策略，在工作中整机的表现也会完全不一样，一般常用的负载均衡 策略有： 基于内外网IP地址； 基于设备NAT表项； 基于路由器的转发流量大小（或线路的带宽比例）； 基于服务器的负载能力（如无盘服务器的分布架构）；2.2路由策略传统的路由策略都是使用从路由协议派生出来的路由表，根据目的地址进行报文 的转发。在这种机制下，路由器只能根据报文的目的地址为用户提供比较单一的 路由方式，它更多的是解决网络数据的转发问题，而不能提供有差别的服务。基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强 的控制能力。基于策略的路由比传统路由控制能力更强，使用更灵活，它使网络 管理者不仅能够根据目的地址，而且能够根据协议类型、报文大小、应用、ip 源地址或者其它的策略来选择转发路径。策略可以根据实际应用的需要进行定义 来控制多个路由器之间的负载均衡、单一链路上报文转发的QoS或者满足某种特 定需求。常见的路由策略有：基于源IP的路由策略，基于目的接口的路由策略，基于数 据包大小的路由策略、基于应用的路由策略和默认的策略路由等。相对于单WAN 口路由器，多WAN 口路由器的路由策略选择更加灵活。2.3 Ghost网络克隆GHOST 全称 General Hardware Oriented Software Transfer 是 Symantec 公司 出品的一款硬盘操作工具，目前国内网吧流行使用8.2或者8.3版本。GHOST可 以采用网络方式进行一对多硬盘拷贝是其一大特色，网络拷贝的方式可以选择： 组播（默认方式）、广播或者单播。网吧可以使用该功能进行整个网吧电脑操作 系统进行统一安装和维护。在网吧进行网络克隆时，需要在网卡上加装PXE启动芯片（PXE Boot ROM），进 入纯DOS环境进行还原（GHOST已经可以支持在Windows环境下进行还原，但是 如果需要还原系统盘，必须进入纯DOS状态）；对于某些型号的网卡，也可以将 PXE启动代码（Boot Code）写入主板（例如目前流行的NF和945主板）的Flash ROM，支持主板集成网卡直接PXE启动。国内网吧最流行的网络克隆软件是MAXDOSoMAXDOS的原理是在Windows下把DOS 的引导文件给加进去，并修改引导区，使引导区出现进入DOS的选项。进入纯 DOS环境后，首先查找并加载适合主机网卡的DOS驱动，随后调用GHOST主程序， 进行网络克隆。MAXDOS软件核心程序仍为GHOST 8.2版本，目前新版本MAXDOS 软件开始支持GHOST 8.3。另外一种网络克隆的方式是还原卡克隆，比如三茗克隆神将。在开机加载还原卡 Boot Code后，可以进入还原卡自带的硬盘克隆程序，采用Server/Client构架， 为选定为Server的硬盘数据向Client端进行快速分发。还原卡硬盘数据分发通 常采用广播方式。/t注意不建议同时进行全网克隆；建议分批进行网刻，每次克隆的PC数不超过20台。2.4英保通技术部分主板Flash ROM直接集成了硬盘数据分发工具，比如：英特尔“英保通”技 术。英特尔公司近几年大力推行的英保通TM技术，根据国内网吧普遍存在的一 些问题和技术难点，提出的全网解决方案。英保通Agent软件集成在Intel专用主板（目前华硕、精英也推出了支持英保通 技术的主板）上的Flash Rom，客户端开机后，软件主动发出广播申请加入服务 器管理域，服务器端可以选择是否接收客户端。当把客户端加入管理列表后，英保通系统采用单播方式的私有协议实现远程控制 和资产管理功能；硬盘镜像和升级包部署功能，则是通过组播方式（缺省方式， 也可以选择单播或者广播方式）的私有协议实现，采用类似Server/Client构架。2.5无盘启动 无盘启动，在网吧行业也是一种不可忽视的技术。其特色就是客户端不要安装物 理硬盘，启动时统一调用服务器上的操作系统镜像，把网络当成客户端的逻辑硬 盘。与有盘系统相比，无盘系统利于统一式管理和维护；部分无盘客户端的数据 可以直接从服务器缓存中读取(比如：魔兽世界切换地图)，在一定程度上来说 让网吧维护变得更加快捷方便，同时不需要考虑物理硬盘的消耗，为网吧节省了 维护成本。由于无盘系统的实时性，对网络的报文转发速率、延时和丢包率均有较高要求， 网络的质量对无盘系统的运行稳定性也有很大影响。2.6游戏更新一对比更新技术对比更新技术是网吧早期的游戏更新技术，最典型的莫过于迅闪软件，即在一个 服务器上存放所有网络游戏的最新版本，做个共享出来。然后在客户机上用迅闪 做成更新的图标来替换游戏图标。顾客双击某个游戏图标，迅闪就会把本机的这 个网络游戏和服务器上的相应游戏做对比，然后自动把不相同的文件复制到本 机，相同的就跳过。所有不同文件处理完以后再自动进入网络游戏。通过这个方 法就属于局域网络的游戏更新了，人工需要做的是把服务器上的每个游戏都升级 成最高版本，所以讯闪的技术核心为文件对比，如果文件大小不一样就拷贝。 优点：对服务器的依赖性不大，如果服务器不能连接直接从本地启动网络 游戏。 缺点：对比更新完后不存储，下一个顾客来上机必须再更新一次。一段时 间之后需要更新的文件是越来越多，等待更新的时间也会越来越长。对网络的影响：更新文件时，会产生较大的局域网流量。2.7游戏更新一只读更新技术利用XP系统的双帐号对游戏分区进行不同的权限设置，将游戏盘设置为只有高 级帐号才可以进行存储，其他所有用户为只能读取。只读更新实现方式：(1) 首先确定需要更新的网络游戏盘不保护，并一定要采用NTFS分区。administrators组有2个用户。假设有administrator和clinet两个权限帐 户，把clinet帐户设置成客人上机的默认帐户，网络游戏安装在D盘，设置成 D盘不保护。(2) 一定要使用administrator帐户登陆系统。针对D盘，先删除D盘所有 用户的权限，然后添加administrator帐户的权限，权限设置为：完全控制，再 添加Everyone用户(只分配读取权限)。再把“用此显示的可以应用到的子对 象的项目替代所有子对象的权限项目”打上勾，点“确定”按钮。通过以上的设 置，administrator帐户可以往D盘里面写数据，但是顾客上机使用的clinet 帐户却无法往D盘里面写数据，此时就可以通过只读更新软件实现在 administrator帐户下往D盘里更新游戏数据。 优点：不依赖服务器，通过本地更新后可以存储起来。. 缺点：D盘只能读取，只能通过更新软件的游戏菜单进入游戏，因此很多 网络游戏的插件、外挂无法运行，私服不能运行。2.8游戏更新一虚拟磁盘技术虚拟磁盘技术，即将一台服务器的硬盘虚拟出来给所有客户机，客户机器多出一 个盘符。但不同与早期的那个共享映射，客户机对虚拟盘的盘符可以进行任何操 作，但重启后盘的内容保持不变。盘上的游戏更新通过服务器来实现，网吧业主 只需要在服务器的挂卷硬盘上添加目录和更新游戏，客户端的本地虚拟硬盘里就 有了相应的游戏软件，不需要到每台机器进行安装。 优点：只需要在服务器上把游戏更新，下面的客户机器游戏就是最新的， 而且实现了扩展客户机硬盘的目的，所有客户对挂卷硬盘可以进行任何操作而不 损坏硬盘内容，包括格式化。 缺点：对服务器的依赖性大，对服务器的配置要求高，因为所有的游戏都 要在服务器挂卷硬盘上运行，所以一旦访问量大了玩游戏会卡。2.9游戏更新一对等乱序更新、基于文件快照技术对等乱序更新模式下，局域网内的每台机器根据自身的繁忙程度成为服务器或者 成为客户机，使得更新从以前的从一台服务器更新发展到从众多的服务器上更 新，将更新的速度提升到极限。基与文件快照技术的更新则是将服务器与客户机上的文件进行快照，则在需要更 新的时候直接对比快照数据库，不必再耗费系统资源进行文件对比，将对比速度 大幅度提升。比较典型的如易游网娱平台。2.10游戏更新一穿透还原保护技术假设：某家网吧发现<< 传奇"有一个补丁包需要升级，而这家网吧每个机器上 都装有还原软件，那么网管：(1) 运行制作软件(名为UpMaker)，填好版本，说明，安装目录等，然后保存目录信息。(2) 安装<< 传奇"的最新版本。(3) 使用UpMaker制作升级包(一个*.UP文件)，然后把这个文件拷贝 到本网吧服务器的一个指定目录下。(4) 整个过程只需要5-10分钟。剩下的工作，包括游戏补丁的分发，传输， 转储都是自动完成的。系统会自动把分发UP文件到每台电脑的非保护分区(这 个非保护分区大小为1-2G，一般设为隐藏分区且不安装任何软件)。重新启动 后，操作系统会发现UP文件并且把它转储到硬盘上，一次安装，永远有效。(5) 客户端软件会自动校验UP文件，一旦数据损坏，客户端软件也会自动重 新拷贝，安装。一直到所有需要安装的UP文件包都正确安装为止。.优点：基本可以在全盘保护的状态下进行游戏更新数据的转储，从最大的限度上减少了网吧母盘的故障发生和感染病毒机率。. 缺点：如果在客户上机的时候游戏更新了，只能让用户重启一次计算机才 行。如果再在系统里加入对比更新这个功能，基本上就能满足目前游戏更新的问 题了。2.11游戏服务器同步更新网吧通常需要在客户端安装大量网络游戏，而网络游戏的更新速度极快，难道每 个游戏更新后都需要在客户端执行手动更新？这时需要用到游戏更新软件。通常，游戏更新软件都是采用同步对比更新的方法， 其原理是客户端从服务器获得文件的MD5值列表，里面包含所有最新文件的MD5 值。在对比服务器和客户端本地文件列表MD5值的差异后，与客户端本地文件不 同或者本地文件根本不存在，则从服务器下载该文件。常用的游戏同步更新软件有迅闪、网维大师、网吧点点通、网吧同步更新专家等。 这些同步更新软件，对比更新的原理基本相同，只是在界面和从服务器获取文件 的方式略有不同。2.12硬盘保护与还原穿透由于网吧顾客参差不齐，客户端电脑数据必须进行保护，以免造成系统崩溃或者 被人植入恶意代码。通常的做法是安装还原卡或者还原软件，当客户端电脑启动 时，还原卡和还原软件会抢先夺取引导权，将原来的0头0道1扇保存在一个其 他的扇区(具体备份到哪个扇区是不一定的)，将自己的代码写入0头0道1 扇，从而能在操作系统之前得到执行权，这一点类似于引导型病毒。然后，还原软件把中断向量表中的INT13H入口地址保存。把自己用于代替INT13H 的代码常驻内存，并将中断向量表中INT13H的入口地址改为这段常驻程序的入 口地址。补充一点，虚拟还原软件在修改INT13H的入口后往往都会修改一些其 他中断入口，当然也是通过常驻程序来实现的，这些中断用来实现对中断向量表 中INT13H入口地址监控，一旦发现被修改，就马上把它改回，这样做同样是用 来防止被有心人破解；同时，虚拟还原软件还需要备份INT 70H，71H中的内容， 防止BIOS被修改。常用的还原卡有三茗、小哨兵等等；常用的虚拟还原软件有还原精灵、冰点还原 等等。当客户端电脑启动后，还原软件对硬盘进行的读写操作进行记录，并在电 脑重启后还原这些操作，保证数据安全。当然，严格的硬盘保护也会带来一些使用上的不方便，比如同步更新的数据每次 重启后都会被还原。这时，软件开发人员想到了还原穿透技术。同步对比更新软 件与还原技术相互配合，将由同步更新的数据通过指定的接口，绕过还原软件， 写入客户端硬盘，以达到还原穿透的目的。2.13流量监控与信息过滤流量监控和信息过滤软件是公安部及文化部要求网吧必须安装的软件。常见的如 过滤王、信息卫士、任子行等等。流量监控软件主要负责对通过网关的报文进行 分析和过滤。一方面，将分析结果上传到公安局的管理服务器，以达到公安部门 对互联网信息监控和安全管理的目的；另外一方面，配合信息过滤软件阻止非法 信息访问。从总体上来说，监控软件的工作原理相同，均需要核心交换机实现端口镜像，把 核心交换机与网关（比如路由器）之间的出入端口报文镜像到监控主机的端口， 由监控主机上的Wincap和上层协议分析软件处理后，把系统日志统一发送到远 端的公安局监控管理服务器。信息过滤软件阻止客户端访问非法信息，则是通过 对监控软件截获的HTTP报文（明文）进行内容分析和过滤，如果发现含有非法 字段的网页，则根据TCP的序列号冒充远端服务器向客户端发送关闭连接的报文（TCP RST报文），实现非法信息过滤。2.14 ARP攻击防护Internet网络病毒泛滥和恶意攻击屡禁不止是不争的事实，网吧作为小型公共 网络中心，对病毒和各种网络攻击的防护也是刻不容缓。网吧常见的攻击方式有 蠕虫病毒、ARP欺骗攻击和DOS攻击。蠕虫病毒是一类复制和传播能力很强的病毒。当蠕虫软件侵入网吧内一个主机并 开始运行时，它随机选取一段IP地址，然后发出大量扫描包对这一地址段上的 主机扫描，从中寻找有漏洞的主机。每发现一个目标，就立即入侵该主机。当网 吧内大量主机感染蠕虫病毒后，扫描包会占用大量网络带宽，造成网速大幅度下 降和运行不稳定现象。ARP欺骗攻击通常将执行脚本隐藏在网页中，当用户访问时下载到网吧内部客户 端电脑后台自动执行。一方面，病毒对局域网进行扫描，伪称自己是真实的网关； 另一方面，欺骗网关，冒充其他客户端的IP地址。ARP欺骗是一种典型的“中 间人”攻击，目的是从监听的流量中窃取密码等敏感信息。除造成用户信息泄密 外，由于ARP表震荡和网吧外部访问流量较大等原因，ARP欺骗攻击容易引起网 吧频繁掉线等故障。DOS是拒绝服务攻击的简称，这种恶意攻击的执行方式很多。比如SYN Flood攻 击，网吧客户端执行该脚本后，会并发目的IP地址并不存在的TCP连接，占用 大量路由器NAT表项，最终引起路由器负荷过高或者NAT条目不够，造成网吧断 网。2.15端口绑定出于安全性和管理方便的考虑，网吧一般需要将客户端的静态MAC、IP地址和接 入交换机的端口实现绑定。一方面，当网络出现异常时，可以快速确认故障点， 协助定位问题；另一方面，对于非绑定主机，限制或者禁止其访问网络的权力， 以免出现人为的内网攻击或者非法侵入。此外，实现绑定的端口可以配合交换机ACL安全策略，实现内网攻击防护；针对 指定端口、IP或者MAC地址，甚至指定业务流，进行速率限制等等。网吧常用方案介绍3.1 H3C有盘+Ghost网吧组网方案本方案采用核心层和接入层二层组网结构，具有以下特征:结构简单，方便管理维护；.可满足网吧所有基本需求，经济实惠，性价比高。3.1.1组网图3.1.2配置步骤1. 接入交换机上的配置关闭流控，具体设置请参见“5.2.1 ”。2. 核心交换机上的配置(1) 关闭流控，具体设置请参见“5.2.1 ”。(2) 启用端口镜像，具体设置请参见“5.2.2 ”。(3) 启用四元绑定(可选)，具体设置请参见“ 5.2.33. 路由器上的配置设置上网方式，具体设置请参见“ 5.1.1 ”启用防ARP攻击，具体设置请参见“5.1.3 ”启用QoS限速，具体设置请参见“互旦 ”启用网络连接限制，具体设置请参见“ 5.1.2 ”。如果需要使用Ghost网刻，则必须关闭流控，否则会导致网刻速度慢。.网刻时，由于单个pc的网卡性能会影响到所有pc的网刻速度，因此 我们不推荐全网同时网刻，建议在单个接入交换机下分批网刻。3.2 H3C无盘网吧三层组网方案本方案采用核心层、汇聚层、接入层三层组网架构，具有以下特征:结构清晰，网络可展扩性好；新增网络节点不会影响到已有网络的稳定性。从网络结构上对无盘服务器的流量进行均衡，减轻服务器负载。网吧实现区域化管理，方便定位故障。增加网吧可靠性，一台无盘服务器发生故障时不会影响到其他无盘服务器。3.2.1组网图3.2.2配置步骤1. 接入交换机上的配置 启用流控，具体设置请参见“ 5.2.12. 汇聚交换机上的配置 启用流控，请参见“ 5.2.13. 核心交换机上的配置(1)启用流控，具体设置请参见“5.2.1(2) 启用端口镜像，具体设置请参见“ 5.2.2(3) 启用四元绑定，具体设置请参见“ 5.2.34. 路由器上的配置(1) 设置上网方式，具体设置请参见“ 5.1.1(2) 启用防ARP攻击，具体设置请参见“5.1.3启用QoS限速，具体设置请参见“5.1.2 启用网络连接限制，具体设置请参见“ 5.1.2 ”。3.3盘网H3C无盘网吧二层组网方案3.3.1组网图3.3.2配置步骤1. 接入交换机配置:(1)启用流控，具体设置请参见“ 5.2.1 ”。(2) 启用端口聚合(可选)，具体设置请参见“ 5.2.4 ”。2. 核心交换机配置启用流控，具体设置请参见“"！ ”。(2)启用端口镜像，具体设置请参见“ 5.2.2 ”。启用端口聚合(可选)，具体设置请参见“ 5.2.4 ”3. 路由器上的配置设置上网方式，具体设置请参见“ 5.1.1 ”。(2)启用防ARP攻击，具体设置请参见“5.1.3 ”。启用QoS限速，具体设置请参见“5.1.2 ”。(4) 启用网络连接限制，具体设置请参见“ 5.1.2H3C推荐的网吧组网产品H3C推荐的网吧组网产品特点说明路由器MSR50-06多WAN,全千兆，最高带机量1000ER8300双叩入匕 全千兆，双核，最高带机量400ER6300双叩入匕 全千兆，双核，最高带机量300ER5200双WAN，千兆下行，双核，最高带宽量300ER5100单WAN，千兆下行，双核，最高带宽量300ER3260双WAN，百兆，最高带机量200ER3200双WAN，百兆，最高带机量150ER3100单WAN，百兆，最高带机量150核心交换机S5028全千兆线速交换，支持网吧安全特性，最高带机量400，背板带宽52GbpsS5024E全千兆线速交换，支持网吧安全特性，最高带机量350，背板带宽48GbpsS5024P全千兆线速交换，可网管，最高带机量300，背板带宽 48Gbps汇聚交换机S5028全千兆线速交换，支持网吧安全特性，最高带机量400，背板带宽52GbpsS5024E全千兆线速交换，支持网吧安全特性，最高带机量350，背板带宽48GbpsS5024P全千兆线速交换，可网管，最高带机量300，背板带宽 48Gbps接入交换机H3C推荐的网吧组网产品特点说明S5024E全千兆线速交换，支持网吧安全特性，最高带机量350, 背板带宽48GbpsS5024P全千兆线速交换，可网管，最高带机量300，背板带宽 48GbpsS1216全千兆线速交换，16千兆电口，带流控开关S1224全千兆线速交换，24千兆电口，带流控开关S1224R全千兆线速交换，24千兆电口，带流控开关，19英寸 机箱可上机架详细配置介绍5.1ER路由器上的配置5.1.1上网设置此处以静态地址为例，具体使用哪种上网方式请咨询ISP。 WAN设置-连接到因特网网口 L推态地址滓工配置地批)MTUt '1500情DNS服务黔22L 1E 33.22ftIP itih面 ，于网掩浦：255.255.25E.0塑省网关： 22L 12. fl. 254(2) LAN设置-局域网设置庄章：1.修改LAM 口的IP地址后'零要重新登录到新的设暮地址才肓携续曾推,2.可密配的地址期颁要句心口 IP在同一个网朕里“0:00:00:11:11:0000:00:00:00:00:00哲说明如果您是用本设备替换软路由或其他路由器，请使用LAN MAC地址克隆功能：将 本设备的MAC地址修改成原来设备的MAC地址，这样可防止网吧中的PC由于ARP 表项没有及时更新而掉线。5.1.2 0。，设置(1) 高级设置->QoS设置->IP流量限制。通过QoS限速，可达到限制P2P电影、 BT、迅雷等点对点、多线程业务对带宽的占用，以此来保证网吧中其他业务的稳 定运行。0 量限烈常助。，讦瑚口遇谨蔺用堂蹄帮-卜岫*® egg通谨只使用理役的帮童【只起闾做hi此普酿|里希曲黑就l1皿成rr蜀限卧向c强国限谡-限速揍口不底分口 与中上行漓普上熙L疝(电田mgClQK熟作儿 茄生，咛进的可<PTri4Sg-tzlRf200ffiMill000DKayte/s)指述FQoS限速值建议:一推荐的下行限速网吧出口带宽推荐的上行限速值值小于10M4070KB50100KB1020M70150KB100200KB2050M100200KB200300KB50M以上200300KB300500KB允许每IP通道借用空闲的带宽：启用该功能后，设备将自动检测当 前在线的主机数，根据当前在线的主机数，动态为在线主机分配带宽;在线的主机数越少，各主机可用的有效带宽就越大。每IP通道只能使用预设的带宽：启用该功能后，每个主机的速率上 限将严格按照设置的限速值。(2)高级设置->QoS设置->网络连接限数。5.1.3防ARP攻击设置(1) 安全专区->ARP防攻击->IP/MAC表。导入网吧所有PC的IP/MAC绑定表，并且启用“仅允许IP/MAC绑定的客户端访问外网”。tUC讦DHCP帜毒易为跆喜尸谀宙御*隍 回髭尤滞【*MAC盅都客尸单带耳外柯IM Im 1I1p*tt1MACitttT11112A6fl.l.2OOzOO:00:OD:DD：OL22192a 168.1.3D»0O;0D;OD;OD:D233192.166.1.400:00:00:00:00:0344192.1.5qd诚:Q0曲演:Q45s030:00:00:00:05口661W,16S.1 J000:00:00:00106口771.168.1.800:00:00:00:000788192.168.1.900:00:00:00:00:09.口091.168,11000100:00:09:00口10101924694-110C：W：QQ:Q?：O10rl 1B iFk* 4 c n H v口至逸| ：度2(2) 安全专区->ARP防攻击->防ARP攻击。皆说明网吧中对于ARP攻击和ARP欺骗，最好的解决方法是通过ARP双向绑定来实现， 即分别在PC和路由器上分别绑定对方的IP<->MAC地址。因此，如果网吧PC上 做了 ARP绑定后，建议此处就不要启用ARP防欺骗功能，以免影响网络整体性能。5.2交换机上的配置5.2.1端口流控设置您可以进入“端口设置”页面对端口流控进行设置。流控状态改变后，端口会自 动Down/Up 一次进行流控协商，可能会造成暂时性网络通信中断。5.2.2端口镜像设置镜像端口通常是连接装有公安局监控软件的服务器的端口；被镜像端口通常选择 交换机连接路由器的端口，镜像方向选择镜像入和出端口。在实际组网过程中， 请尽量不要配置单个镜像端口监控多个被镜像端口，也不要配置低速率端口监控 高速率端口，否则可能造成网络拥塞。您可以进入“端口镜像”页面对其进行设5.2.3四元绑定设置(S5000E系列或S5028)1. 手动添加绑定配置步骤“安全专区” -> “IP过滤”-> “四元绑定”，如下图所示。图5-1四元绑定界面际狎1a*i：-trrtSF='. mm口 也|避沽口，秋：不好JFAC+PORU VLArO时止5W吨啷!HJKgMWl. i初止站卬并釜闭曰元岫瑙It,IPHLQI : ULMI 就志内5下幻降(2) 单击新建按钮，将自动跳转“新增绑定配置”页面，您可以增加新的四 元绑定表项。在该页面可以手动填入客户端电脑的IP、MAC、VLAN和端口信息。 如下图所示。哲说明请务必确认手动输入信息的正确性，否则可能导致客户端电脑无法正常网络通 信。端口和VLAN 1。输入0或者不输入，表示四元绑定表项针对所有端口或者所有 VLAN生效。图5-2新增四元绑定项地批匚地址琲口'AM 0192. 16B. 1.9»话iltl黯入四丘堆是信旦，苦则可窒导袒圈通讯中困f;2. WJXN回/溟鞘入巳径吞狂枷WL讯口必滨瀚入实际存在哄口号：3, 房口和'"ISTHD刷入Q16考格氏'事示ED元弟定府攻针闵Wi有雄口戏考所有必N性食.(3) 单击确定按钮，返回四元绑定界面可以看到之前配置的静态表项已经生 成。如下图所示。图5-3四元绑定表项(4) 在四元绑定界面使能对应端口的绑定功能，单击确定按钮，即可完成配 置(注意：路由器所在端口不允许使能绑定功能)。如下图所示。图5-4开启端口绑定功能IP-i-MAG-i-PORT - VLA3定螂部匡底rneai口 CZLsKan1*:fca |g汹St明:著导队汶用国口，啊M?密E口，龄;TlfSdHl加定硝哇-2. 智能绑定配置步骤(1) 单击“安全专区” -> “IP过滤”-> “智能绑定”。如下图所示。图5-5智能绑定主界面(2) 单击搜索主机按钮，将自动跳转“搜索网络主机”页面，您可以在局域 网内通过发送嗅探性ARP报文来查找在线主机，从而自动生成四元绑定表项。注 意：请确认在执行智能绑定过程中，需要绑定的客户端电脑全部处于开机状态并 能够正常应答ARP报文。如下图所示。图5-6搜索网络主机(3) 等待搜索完成