H3C ER6300千兆路由器网吧典型组网方案配置.docx

《H3C ER6300千兆路由器网吧典型组网方案配置.docx》由会员分享，可在线阅读，更多相关《H3C ER6300千兆路由器网吧典型组网方案配置.docx（27页珍藏版）》请在三一办公上搜索。

1、H3C ER6300千兆路由器网吧典型组网方案配置H3C ER6300千兆路由器网吧典型组网方案配置 目录 1 网吧基本需求 1.1 网吧需求1：防ARP攻击 1.2 网吧需求2：防BT、迅雷过多占用带宽 1.3 网吧需求3：多WAN模式选择 1.4 网吧需求4：防NAT攻击、路由攻击、异常流量 2 网吧常用业务介绍 2.1 负载均衡 2.2 路由策略 2.3 Ghost网络克隆 2.4 英保通技术 2.5 无盘启动 2.6 游戏更新对比更新技术 2.7 游戏更新只读更新技术 2.8 游戏更新虚拟磁盘技术 2.9 游戏更新对等乱序更新、基于文件快照技术 2.10 游戏更新穿透还原保护技术 2.

2、11 游戏服务器同步更新 2.12 硬盘保护与还原穿透 2.13 流量监控与信息过滤 2.14 ARP攻击防护 2.15 端口绑定 3 网吧常用方案介绍 3.1 H3C有盘+Ghost网吧组网方案 3.1.1 组网图 3.1.2 配置步骤 3.2 H3C无盘网吧三层组网方案 3.2.1 组网图 3.2.2 配置步骤 3.3 H3C无盘网吧二层组网方案 3.3.1 组网图 3.3.2 配置步骤 4 H3C推荐的网吧组网产品 5 详细配置介绍 5.1 ER路由器上的配置 5.1.1 上网设置 5.1.2 QoS设置 5.1.3 防ARP攻击设置 5.2 交换机上的配置 5.2.1 端口流控设置 5

3、.2.2 端口镜像设置 5.2.3 四元绑定设置 5.2.4 端口汇聚设置 6 常见问题解答 6.1 网吧的掉线主要有哪几类？ 6.2 网吧突发性掉线问题怎么办？ 6.3 如何将AR的静态ARP表项转换导入到ER的IP/MAC绑定表？ 6.4 如何将AR的路由表转换导入到ER的负载均衡表？ 6.5 由于IP/MAC绑定错误，导致用户不能上网或无法访问设备时如何处理？ 6.6 为什么会出现“重复登陆.已登陆x.x.x.x，请确保没有其他人在登陆”提示，如何解决？ 6.7 智能均衡模式与手工均衡模式有什么区别？ 6.8 主备模式与均衡模式有什么区别？ 6.9 如何查看系统资源使用情况？ 6.10

4、W1、W2指示灯的含义？ 6.11 管理密码丢失怎么办？ 1 网吧基本需求 1.1 网吧需求1：防ARP攻击 通常情况下，网吧掉线大部分是由于ARP攻击引起的。用某网管的话说，要让网吧稳定很简单，只要让PC和路由器上都用静态ARP。虽然说是ARP攻击，但实际上大部分ARP攻击并不是恶意的。网上对于ARP攻击的产生是这样描述的： 现在网吧很多网络游戏都有外挂，但很多外挂中都有病毒。这些病毒通过发送免费ARP报文，让局域网中所有的IP都指向本地PC，以此来获得局域网中所有的数据包，然后分析数据包，将网游的账号提取出来发送给木马作者。 ARP攻击的原理如下： PC上指向网关的ARP表项被修改，导致P

5、C到Internet的数据不能被转发到PC网关； l PC网关的ARP表项被修改，PC网关不能将报文发送到相应的PC，导致该PC掉线； l ARP攻击判断方法：网吧内出现部分掉线，首先要判断的是不是受到的ARP攻击。步骤如下： (1) 从掉线PC上Ping设备网关，如果是ARP攻击引起的，则不通； (2) 在掉线PC上通过使用“arpa”命令查看PC上指向网关的ARP表项是否正确。如不正确，说明PC上的ARP表项已被修改，只要在PC上使用静态ARP就行了； (3) 如果PC上的ARP表项正常，但仍然不通。您需登陆到路由器，查看路由器的IP/MAC绑定表是否已经启用。如果启用，请检查该PC的IP

6、和MAC是否在绑定表中，若不存在，添加一条记录或取消绑定可解决；若存在，则可能另有其他原因。 ： 目前成熟的解决方案是通过ARP双向绑定来实现的，即分别在PC和出口路由器上分别绑定对方的IPMAC地址，来达到防范ARP的目的。ER路由器上采用导入IP/MAC绑定表，并选择“仅允许IP/MAC绑定的客户端访问外网”来防止ARP攻击，PC上用静态ARP表项绑定网关来防止ARP攻击。 1.2 网吧需求2：防BT、迅雷过多占用带宽 网吧应用中，P2P电影、BT、迅雷等点对点或多线程业务，对带宽占用很大，实际中常常会出现某一台PC在下载而导致整个网吧速率下降。网吧与企业不同，网吧不能禁止，只能限制业务占

7、用过多的带宽。 统计结果表明，200台左右的网吧用10M20M带宽的局点还是比较多的，这些网吧流量限制是必须的；对于一些带宽比较大的，网管也提出了该需求。 典型配置如下： 当带宽总数小于15M时，上行40KB/s，下行50KB/s；当用户带宽总数较高时，需要根据实际业务流量配置IP限速。网吧的业务流量可通过ER的流量统计功能来查看。 ： 使用IP流量限速，NAT限制。 1.3 网吧需求3：多WAN模式选择 在单WAN接入的网吧，无论选择何种多WAN模式都一样。但目前很多网吧都采用了双线接入，这样做的原因有多个方面，主要目的有以下几个： l 为了提高游戏速度，可以实现“电信走电信，网通走网通”；

8、 以电信为主，开通网通主要为了看网通的电影； l 为了备份线路，以便某一个运营商出问题时，可以切换到另一个线路上。对于此类双线接入的网吧，在ER上我们有三个模式可以选择：主备模式，智能负载均衡模式，手动负载均衡模式。实际环境中我们该如何选择？下面是一点建议。 l 1、一般情况下，我们推荐用户使用手工负载均衡上网。在该模式下，可以导入电信网通路由表来实现“电信走电信，网通走网通”。 2、如果网吧两条链路，其中有一条线路采用计费上网，此时可推荐使用主备模式。 几个多WAN模式说明如下： 主备模式：同一时刻只有一条线路正常工作。缺省情况下，只使用主链路转发数据。当主链路出现异常时，所有的数据都自动切

9、换到备份链路上；当设备l 检测到主链路恢复正常后，备份链路的数据又会自动切换回主链路。注意：只有当启用多WAN线路检测功能，设备才会自动切换链路上的数据。 智能负载均衡模式：如果在设备上导入了电信/网通路由表，则报文优先按照电信/网通路由表转发；如果数据包没有匹配到路由表，则自动根据WAN的带宽比例来转发；当设备检测到某一条链路出现异常时，该链路上所有数据会被自动切换到另一条链路上，当该链路恢复后，数据又会自动切换回该链路上。注意：只有当启用多WAN线路检测功能，设备才会自动切换链路上的数据。 l 手工负载均衡：该模式下需要导入电信/网通路由表，并设置默认链路。数据包优按照电信/网通路由转发，

10、如果没有匹配到路由表，则该数据从设置的缺省链路转发；如果运行过程中，某一条链路出现异常，该链路上的所有数据会被自动切换到另一条链路上，当该链路恢复后，数据又会自动切换回该链路上。注意：只有当启用多WAN线路检测功能，设备才会自动切换链路上的数据。 l 1.4 网吧需求4：防NAT攻击、路由攻击、异常流量 NAT攻击：该攻击可分为以下几类，一类是PC异常或中毒，发送源IP地址变化的报文，导致设备在建立NAT连接时无可用的端口而丢包；一类是PC异常或中毒，发送源IP不断变化的报化，消耗设备NAT表项，导致设备丢包。 l 路由攻击：主要是针对路由缓冲的攻击，PC异常或中毒，发送源IP或目的IP不断变

11、化的报文，导致设备路由缓存处于满配置状态，降低设备转发性能。 l 异常流量：PC异常或中毒，向Internet大流量发包，过量占用网吧带宽，导致网吧掉线。 l ： 按要求启用IP流量限制和NAT限制。 2 网吧常用业务介绍 2.1 负载均衡 负载均衡是一种廉价有效透明的方法以扩展现有网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性的技术。 负载均衡能力是区别于单WAN口宽带路由器的主要特征，也是考察多WAN口宽带路由器性能优劣的重要指标。根据策略的不同，负载均衡的实现也不同，不同于单WAN口宽带路由器，由于多WAN口的存在，如何分配各WAN口的数据流量成了多W

12、AN口宽带路由器必须解决的问题，各种负载均衡策略也应运而生。 不同的负载均衡策略的处理方式不一样，即使采用相同的硬件配置，如果采用不同的负载均衡策略，在工作中整机的表现也会完全不一样，一般常用的负载均衡策略有： l 基于内外网IP地址； 基于设备NAT表项； 基于路由器的转发流量大小； 基于服务器的负载能力； l l l 2.2 路由策略 传统的路由策略都是使用从路由协议派生出来的路由表，根据目的地址进行报文的转发。在这种机制下，路由器只能根据报文的目的地址为用户提供比较单一的路由方式，它更多的是解决网络数据的转发问题，而不能提供有差别的服务。 基于策略的路由为网络管理者提供了比传统路由协议对

13、报文的转发和存储更强的控制能力。基于策略的路由比传统路由控制能力更强，使用更灵活，它使网络管理者不仅能够根据目的地址，而且能够根据协议类型、报文大小、应用、IP源地址或者其它的策略来选择转发路径。策略可以根据实际应用的需要进行定义来控制多个路由器之间的负载均衡、单一链路上报文转发的QoS或者满足某种特定需求。 常见的路由策略有：基于源IP的路由策略，基于目的接口的路由策略，基于数据包大小的路由策略、基于应用的路由策略和默认的策略路由等。相对于单WAN口路由器，多WAN口路由器的路由策略选择更加灵活。 2.3 Ghost网络克隆 GHOST全称General Hardware Oriented

14、Software Transfer，是Symantec公司出品的一款硬盘操作工具，目前国内网吧流行使用8.2或者8.3版本。GHOST可以采用网络方式进行一对多硬盘拷贝是其一大特色，网络拷贝的方式可以选择：组播、广播或者单播。网吧可以使用该功能进行整个网吧电脑操作系统进行统一安装和维护。 在网吧进行网络克隆时，需要在网卡上加装PXE启动芯片，进入纯DOS环境进行还原；对于某些型号的网卡，也可以将PXE启动代码写入主板的Flash ROM，支持主板集成网卡直接PXE启动。 国内网吧最流行的网络克隆软件是MAXDOS。MAXDOS的原理是在Windows下把DOS的引导文件给加进去，并修改引导区，

15、使引导区出现进入DOS的选项。进入纯DOS环境后，首先查找并加载适合主机网卡的DOS驱动，随后调用GHOST主程序，进行网络克隆。MAXDOS软件核心程序仍为GHOST 8.2版本，目前新版本MAXDOS软件开始支持GHOST 8.3。 另外一种网络克隆的方式是还原卡克隆，比如三茗克隆神将。在开机加载还原卡Boot Code后，可以进入还原卡自带的硬盘克隆程序，采用Server/Client构架，为选定为Server的硬盘数据向Client端进行快速分发。还原卡硬盘数据分发通常采用广播方式。 不建议同时进行全网克隆；建议分批进行网刻，每次克隆的PC数不超过20台。 2.4 英保通技术 部分主板

16、Flash ROM直接集成了硬盘数据分发工具，比如：英特尔“英保通”技术。英特尔公司近几年大力推行的英保通TM技术，根据国内网吧普遍存在的一些问题和技术难点，提出的全网解决方案。 英保通Agent软件集成在Intel专用主板上的Flash Rom，客户端开机后，软件主动发出广播申请加入服务器管理域，服务器端可以选择是否接收客户端。 当把客户端加入管理列表后，英保通系统采用单播方式的私有协议实现远程控制和资产管理功能；硬盘镜像和升级包部署功能，则是通过组播方式的私有协议实现，采用类似Server/Client构架。 2.5 无盘启动 无盘启动，在网吧行业也是一种不可忽视的技术。其特色就是客户端不

17、要安装物理硬盘，启动时统一调用服务器上的操作系统镜像，把网络当成客户端的逻辑硬盘。与有盘系统相比，无盘系统利于统一式管理和维护；部分无盘客户端的数据可以直接从服务器缓存中读取，在一定程度上来说让网吧维护变得更加快捷方便，同时不需要考虑物理硬盘的消耗，为网吧节省了维护成本。 由于无盘系统的实时性，对网络的报文转发速率、延时和丢包率均有较高要求，网络的质量对无盘系统的运行稳定性也有很大影响。 2.6 游戏更新对比更新技术 对比更新技术是网吧早期的游戏更新技术，最典型的莫过于迅闪软件，即在一个服务器上存放所有网络游戏的最新版本，做个共享出来。然后在客户机上用迅闪做成更新的图标来替换游戏图标。顾客双击

18、某个游戏图标，迅闪就会把本机的这个网络游戏和服务器上的相应游戏做对比，然后自动把不相同的文件复制到本机，相同的就跳过。所有不同文件处理完以后再自动进入网络游戏。通过这个方法就属于局域网络的游戏更新了，人工需要做的是把服务器上的每个游戏都升级成最高版本，所以讯闪的技术核心为文件对比，如果文件大小不一样就拷贝。 优点：对服务器的依赖性不大，如果服务器不能连接直接从本地启动网络游戏。 l 缺点：对比更新完后不存储，下一个顾客来上机必须再更新一次。一段时间之后需要更新的文件是越来越多，等待更新的时间也会越来越长。 l 对网络的影响：更新文件时，会产生较大的局域网流量。 2.7 游戏更新只读更新技术 利

19、用XP系统的双帐号对游戏分区进行不同的权限设置，将游戏盘设置为只有高级帐号才可以进行存储，其他所有用户为只能读取。 只读更新实现方式： (1) 首先确定需要更新的网络游戏盘不保护，并一定要采用NTFS 分区。administrators 组有2个用户。假设有administrator 和clinet 两个权限帐户，把clinet帐户设置成客人上机的默认帐户，网络游戏安装在D盘，设置成D盘不保护。 (2) 一定要使用 administrator帐户登陆系统。针对D盘，先删除 D 盘所有用户的权限，然后添加administrator帐户的权限，权限设置为：完全控制，再添加Everyone用户。再把

20、“用此显示的可以应用到的子对象的项目替代所有子对象的权限项目”打上勾，点“确定”按钮。通过以上的设置，administrator 帐户可以往D盘里面写数据，但是顾客上机使用的clinet帐户却无法往D 盘里面写数据，此时就可以通过只读更新软件实现在administrator帐户下往D盘里更新游戏数据。 l 优点：不依赖服务器，通过本地更新后可以存储起来。 缺点：D盘只能读取，只能通过更新软件的游戏菜单进入游戏，因此很多网络游戏的插件、外挂无法运行，私服不能运行。 l 2.8 游戏更新虚拟磁盘技术 虚拟磁盘技术，即将一台服务器的硬盘虚拟出来给所有客户机，客户机器多出一个盘符。但不同与早期的那个共

21、享映射，客户机对虚拟盘的盘符可以进行任何操作，但重启后盘的内容保持不变。盘上的游戏更新通过服务器来实现，网吧业主只需要在服务器的挂卷硬盘上添加目录和更新游戏，客户端的本地虚拟硬盘里就有了相应的游戏软件，不需要到每台机器进行安装。 优点：只需要在服务器上把游戏更新，下面的客户机器游戏就是最新的，而且实现了扩展客户机硬盘的目的，所有客户对挂卷硬盘可以进行任何操作而不损坏硬盘内容，包括格式化。 l 缺点：对服务器的依赖性大，对服务器的配置要求高，因为所有的游戏都要在服务器挂卷硬盘上运行，所以一旦访问量大了玩游戏会卡。 l 2.9 游戏更新对等乱序更新、基于文件快照技术 对等乱序更新模式下，局域网内的

22、每台机器根据自身的繁忙程度成为服务器或者成为客户机，使得更新从以前的从一台服务器更新发展到从众多的服务器上更新，将更新的速度提升到极限。 基与文件快照技术的更新则是将服务器与客户机上的文件进行快照，则在需要更新的时候直接对比快照数据库，不必再耗费系统资源进行文件对比，将对比速度大幅度提升。 比较典型的如易游网娱平台。 2.10 游戏更新穿透还原保护技术 假设：某家网吧发现有一个补丁包需要升级，而这家网吧每个机器上都装有还原软件，那么网管： (1) 运行制作软件 ( 名为 UpMaker)，填好版本，说明，安装目录等，然后保存目录信息。 (2) 安装的最新版本。 (3) 使用 UpMaker 制

23、作升级包 ( 一个 *.UP 文件 )， 然后把这个文件拷贝到本网吧服务器的一个指定目录下。 (4) 整个过程只需要 5-10 分钟。剩下的工作，包括游戏补丁的分发，传输，转储都是自动完成的。系统会自动把分发UP文件到每台电脑的非保护分区，将自己的代码写入0头0道1扇，从而能在操作系统之前得到执行权，这一点类似于引导型病毒。 然后，还原软件把中断向量表中的INT13H入口地址保存。把自己用于代替INT13H的代码常驻内存，并将中断向量表中INT13H的入口地址改为这段常驻程序的入口地址。补充一点，虚拟还原软件在修改INT13H的入口后往往都会修改一些其他中断入口，当然也是通过常驻程序来实现的，

24、这些中断用来实现对中断向量表中INT13H入口地址监控，一旦发现被修改，就马上把它改回，这样做同样是用来防止被有心人破解；同时，虚拟还原软件还需要备份INT 70H，71H中的内容，防止BIOS被修改。 常用的还原卡有三茗、小哨兵等等；常用的虚拟还原软件有还原精灵、冰点还原等等。当客户端电脑启动后，还原软件对硬盘进行的读写操作进行记录，并在电脑重启后还原这些操作，保证数据安全。 当然，严格的硬盘保护也会带来一些使用上的不方便，比如同步更新的数据每次重启后都会被还原。这时，软件开发人员想到了还原穿透技术。同步对比更新软件与还原技术相互配合，将由同步更新的数据通过指定的接口，绕过还原软件，写入客户

25、端硬盘，以达到还原穿透的目的。 2.13 流量监控与信息过滤 流量监控和信息过滤软件是公安部及文化部要求网吧必须安装的软件。常见的如过滤王、信息卫士、任子行等等。流量监控软件主要负责对通过网关的报文进行分析和过滤。一方面，将分析结果上传到公安局的管理服务器，以达到公安部门对互联网信息监控和安全管理的目的；另外一方面，配合信息过滤软件阻止非法信息访问。 从总体上来说，监控软件的工作原理相同，均需要核心交换机实现端口镜像，把核心交换机与网关之间的出入端口报文镜像到监控主机的端口，由监控主机上的Wincap和上层协议分析软件处理后，把系统日志统一发送到远端的公安局监控管理服务器。信息过滤软件阻止客户

26、端访问非法信息，则是通过对监控软件截获的HTTP报文进行内容分析和过滤，如果发现含有非法字段的网页，则根据TCP的序列号冒充远端服务器向客户端发送关闭连接的报文，实现非法信息过滤。 2.14 ARP攻击防护 Internet网络病毒泛滥和恶意攻击屡禁不止是不争的事实，网吧作为小型公共网络中心，对病毒和各种网络攻击的防护也是刻不容缓。网吧常见的攻击方式有蠕虫病毒、ARP欺骗攻击和DOS攻击。 蠕虫病毒是一类复制和传播能力很强的病毒。当蠕虫软件侵入网吧内一个主机并开始运行时，它随机选取一段IP地址，然后发出大量扫描包对这一地址段上的主机扫描，从中寻找有漏洞的主机。每发现一个目标，就立即入侵该主机。

27、当网吧内大量主机感染蠕虫病毒后，扫描包会占用大量网络带宽，造成网速大幅度下降和运行不稳定现象。 ARP欺骗攻击通常将执行脚本隐藏在网页中，当用户访问时下载到网吧内部客户端电脑后台自动执行。一方面，病毒对局域网进行扫描，伪称自己是真实的网关；另一方面，欺骗网关，冒充其他客户端的IP地址。ARP欺骗是一种典型的“中间人”攻击，目的是从监听的流量中窃取密码等敏感信息。除造成用户信息泄密外，由于ARP表震荡和网吧外部访问流量较大等原因，ARP欺骗攻击容易引起网吧频繁掉线等故障。 DOS是拒绝服务攻击的简称，这种恶意攻击的执行方式很多。比如SYN Flood攻击，网吧客户端执行该脚本后，会并发目的IP地

28、址并不存在的TCP连接，占用大量路由器NAT表项，最终引起路由器负荷过高或者NAT条目不够，造成网吧断网。 2.15 端口绑定 出于安全性和管理方便的考虑，网吧一般需要将客户端的静态MAC、IP地址和接入交换机的端口实现绑定。一方面，当网络出现异常时，可以快速确认故障点，协助定位问题；另一方面，对于非绑定主机，限制或者禁止其访问网络的权力，以免出现人为的内网攻击或者非法侵入。 此外，实现绑定的端口可以配合交换机ACL安全策略，实现内网攻击防护；针对指定端口、IP或者MAC地址，甚至指定业务流，进行速率限制等等。 3 网吧常用方案介绍 3.1 H3C有盘+Ghost网吧组网方案 本方案采用核心层

29、和接入层二层组网结构，具有以下特征： l 结构简单，方便管理维护； 可满足网吧所有基本需求，经济实惠，性价比高。 l 3.1.1 组网图 3.1.2 配置步骤 1. 接入交换机上的配置 关闭流控，具体设置请参见“5.2.1 ”。 2. 核心交换机上的配置 (1) 关闭流控，具体设置请参见“5.2.1 ”。 (2) 启用端口镜像，具体设置请参见“5.2.2 ”。 (3) 启用四元绑定，具体设置请参见“5.2.3 ”。 3. 路由器上的配置 (1) 设置上网方式，具体设置请参见“5.1.1 ”； (2) 启用防ARP攻击，具体设置请参见“5.1.3 ”； (3) 启用QoS限速，具体设置请参见“5

30、.1.2 ”； (4) 启用网络连接限制，具体设置请参见“5.1.2 ”。 l 如果需要使用Ghost网刻，则必须关闭流控，否则会导致网刻速度慢。 网刻时，由于单个PC的网卡性能会影响到所有PC的网刻速度，因此我们不推荐全网同时网刻，建议在单个接入交换机下分批网刻。 l 3.2 H3C无盘网吧三层组网方案 本方案采用核心层、汇聚层、接入层三层组网架构，具有以下特征： l 结构清晰，网络可展扩性好；新增网络节点不会影响到已有网络的稳定性。 从网络结构上对无盘服务器的流量进行均衡，减轻服务器负载。 网吧实现区域化管理，方便定位故障。 增加网吧可靠性，一台无盘服务器发生故障时不会影响到其他无盘服务器

31、。 l l l 3.2.1 组网图 3.2.2 配置步骤 1. 接入交换机上的配置 启用流控，具体设置请参见“5.2.1 ”。 2. 汇聚交换机上的配置 启用流控，请参见“5.2.1 ”。 3. 核心交换机上的配置 (1) 启用流控，具体设置请参见“5.2.1 ”。 (2) 启用端口镜像，具体设置请参见“5.2.2 ”。 (3) 启用四元绑定，具体设置请参见“5.2.3 ”。 4. 路由器上的配置 (1) 设置上网方式，具体设置请参见“5.1.1 ”； (2) 启用防ARP攻击，具体设置请参见“5.1.3 ”； (3) 启用QoS限速，具体设置请参见“5.1.2 ”； (4) 启用网络连接限制

32、，具体设置请参见“5.1.2 ”。 3.3 H3C无盘网吧二层组网方案 3.3.1 组网图 3.3.2 配置步骤 1. 接入交换机配置： (1) 启用流控，具体设置请参见“5.2.1 ”。 (2) 启用端口聚合，具体设置请参见“5.2.4 ”。 2. 核心交换机配置 (1) 启用流控，具体设置请参见“5.2.1 ”。 (2) 启用端口镜像，具体设置请参见“5.2.2 ”。 (3) 启用端口聚合，具体设置请参见“5.2.4 ” 3. 路由器上的配置 (1) 设置上网方式，具体设置请参见“5.1.1 ”。 (2) 启用防ARP攻击，具体设置请参见“5.1.3 ”。 (3) 启用QoS限速，具体设置

33、请参见“5.1.2 ”。 (4) 启用网络连接限制，具体设置请参见“5.1.2 ”。 4 H3C推荐的网吧组网产品 H3C推荐的网吧组网产品 路由器 MSR50-06 ER8300 ER6300 ER5200 ER5100 ER3260 ER3200 ER3100 核心交换机 S5028 特点说明 多WAN，全千兆，最高带机量1000 双WAN，全千兆，双核，最高带机量400 双WAN，全千兆，双核，最高带机量300 双WAN，千兆下行，双核，最高带宽量300 单WAN，千兆下行，双核，最高带宽量300 双WAN，百兆，最高带机量200 双WAN，百兆，最高带机量150 单WAN，百兆，最高带

34、机量150 全千兆线速交换，支持网吧安全特性，最高带机量400，背板带宽52Gbps 全千兆线速交换，支持网吧安全特性，最高带机量350，背板带宽48Gbps 全千兆线速交换，可网管，最高带机量300，背板带宽48Gbps 全千兆线速交换，支持网吧安全特性，最高带机量400，背板带宽52Gbps 全千兆线速交换，支持网吧安全特性，最高带机量350，背板带宽48Gbps 全千兆线速交换，可网管，最高带机量300，背板带宽48Gbps S5024E S5024P 汇聚交换机 S5028 S5024E S5024P 接入交换机 H3C推荐的网吧组网产品 S5024E 特点说明 全千兆线速交换，支持网

35、吧安全特性，最高带机量350，背板带宽48Gbps 全千兆线速交换，可网管，最高带机量300，背板带宽48Gbps 全千兆线速交换，16千兆电口，带流控开关 全千兆线速交换，24千兆电口，带流控开关 全千兆线速交换，24千兆电口，带流控开关，19英寸机箱可上机架 S5024P S1216 S1224 S1224R 5 详细配置介绍 5.1 ER路由器上的配置 5.1.1 上网设置 此处以静态地址为例，具体使用哪种上网方式请咨询ISP。 (1) WAN设置-连接到因特网 (2) LAN设置-局域网设置 如果您是用本设备替换软路由或其他路由器，请使用LAN MAC地址克隆功能：将本设备的MAC地址

36、修改成原来设备的MAC地址，这样可防止网吧中的PC由于ARP表项没有及时更新而掉线。 5.1.2 QoS设置 (1) 高级设置-QoS设置-IP流量限制。通过QoS限速，可达到限制P2P电影、BT、迅雷等点对点、多线程业务对带宽的占用，以此来保证网吧中其他业务的稳定运行。 QoS限速值建议： 推荐的下行限速值 50100KB 100200KB 200300KB 300500KB 网吧出口带宽 小于10M 1020M 2050M 50M以上 推荐的上行限速值 4070KB 70150KB 100200KB 200300KB 允许每IP通道借用空闲的带宽：启用该功能后，设备将自动检测当前在线的主机

37、数，根据当前在线的主机数，动态为在线主机分配带宽；在线的主机数越少，各主机可用的有效带宽就越大。 l 每IP通道只能使用预设的带宽：启用该功能后，每个主机的速率上限将严格按照设置的限速值。 l (2) 高级设置-QoS设置-网络连接限数。 5.1.3 防ARP攻击设置 (1) 安全专区-ARP防攻击-IP/MAC表。导入网吧所有PC的IP/MAC绑定表，并且启用“仅允许IP/MAC绑定的客户端访问外网”。 (2) 安全专区-ARP防攻击-防ARP攻击。 网吧中对于ARP攻击和ARP欺骗，最好的解决方法是通过ARP双向绑定来实现，即分别在PC和路由器上分别绑定对方的IPMAC地址。因此，如果网吧

38、PC上做了ARP绑定后，建议此处就不要启用ARP防欺骗功能，以免影响网络整体性能。 5.2 交换机上的配置 5.2.1 端口流控设置 您可以进入“端口设置”页面对端口流控进行设置。流控状态改变后，端口会自动Down/Up一次进行流控协商，可能会造成暂时性网络通信中断。 5.2.2 端口镜像设置 镜像端口通常是连接装有公安局监控软件的服务器的端口；被镜像端口通常选择交换机连接路由器的端口，镜像方向选择镜像入和出端口。在实际组网过程中，请尽量不要配置单个镜像端口监控多个被镜像端口，也不要配置低速率端口监控高速率端口，否则可能造成网络拥塞。您可以进入“端口镜像”页面对其进行设置。 5.2.3 四元绑

39、定设置 1. 手动添加绑定配置步骤 (1) “安全专区”-“IP过滤”-“四元绑定”，如下图所示。 图5-1 四元绑定界面 (2) 单击按钮，将自动跳转“新增绑定配置”页面，您可以增加新的四元绑定表项。在该页面可以手动填入客户端电脑的IP、MAC、VLAN和端口信息。如下图所示。 请务必确认手动输入信息的正确性，否则可能导致客户端电脑无法正常网络通信。 端口和VLAN ID输入0或者不输入，表示四元绑定表项针对所有端口或者所有VLAN生效。 图5-2 新增四元绑定项 (3) 单击按钮，返回四元绑定界面可以看到之前配置的静态表项已经生成。如下图所示。 图5-3 四元绑定表项 (4) 在四元绑定界

40、面使能对应端口的绑定功能，单击按钮，即可完成配置。如下图所示。 图5-4 开启端口绑定功能 2. 智能绑定配置步骤 (1) 单击“安全专区”-“IP过滤”-“智能绑定”。如下图所示。 图5-5 智能绑定主界面 (2) 单击按钮，将自动跳转“搜索网络主机”页面，您可以在局域网内通过发送嗅探性ARP报文来查找在线主机，从而自动生成四元绑定表项。注意：请确认在执行智能绑定过程中，需要绑定的客户端电脑全部处于开机状态并能够正常应答ARP报文。如下图所示。 图5-6 搜索网络主机 (3) 等待搜索完成后，单击按钮，即可实现将搜索到的IP地址全部绑定成四元绑定表项。如下图所示。 图5-7 智能绑定成功 (

41、4) 单击“安全专区”-“IP过滤”-“四元绑定”，您可以看到已经生成的静态四元绑定表项，如下图所示。 图5-8 四元绑定表项 如果部分客户端，在智能搜索过程中没有被发现，建议通过手动添加方式增加对应的四元绑定表项。 (5) 开启对应端口的绑定功能，即可完成配置。注意：路由器所在端口不允许使能绑定功能。如下图所示。 图5-9 开启端口绑定功能 5.2.4 端口汇聚设置 1. 选择链路聚合算法 交换机链路聚合是按照聚合算法进行数据流的负载分担，请根据实际组网选择合适的聚合算法。缺省情况下，交换机采用源MAC地址+目的MAC地址的聚合算法。您可以进入“端口汇聚”页面对其进行设置。 2. 创建链路聚

42、合组 输入聚合组号并选择正确的链路聚合方式，然后选择参与链路聚合的端口，即可成功创建一个链路聚合组。 错误的端口聚合配置，可能造成网络通信中断或者设备无法正常网管。请注意： 链路聚合主要供网络设备之间进行负载分担和链路备份，设置为聚合的端口不能直接连接电脑。 l 网络设备之间配置链路聚合时，选择链路聚合方式必须一致，链路聚合算法可以不同。 l 6 常见问题解答 6.1 网吧的掉线主要有哪几类？ 1. ISP线路原因引起掉线 ISP网关问题或DNS服务器问题，导致全网掉线。 2. 网络攻击攻击引起掉线 ARP攻击导致部分或所有PC掉线。 3. 网络流量拥塞引起掉线 非恶性攻击如BT、迅雷下载，L

43、AN内PC异常或中毒，引起网络拥塞； 从外网或内网发起的恶性攻击，引起网络拥塞。 4. 网吧物理环境引起掉线 网线松动或组网过程中Switch端口绑定有误引起网络不通。 6.2 网吧突发性掉线问题怎么办？ (1) 根据现象及经验，补充判断掉线引起的原因。 (2) 排除ISP线路原因和物理环境引起的掉线。 (3) 想想近期有没有更改网络拓朴，或更改网络配置。如有更改，可先恢复成原来的配置环境。 (4) 关注核心交换机的端口指示灯，拔掉闪烁最快的端口上的网线。 (5) 查看交换机路由器的配置，确认厂家提供的推荐配置都已经启用。 (6) 向厂家求助。 6.3 如何将AR的静态ARP表项转换导入到ER

44、的IP/MAC绑定表？ 参见： 6.4 如何将AR的路由表转换导入到ER的负载均衡表？ 通过excel转换，可快速批量导入，转换方法类似于7.3 如何将AR的静态ARP表项转换导入到ER的IP/MAC绑定表？。 6.5 由于IP/MAC绑定错误，导致用户不能上网或无法访问设备时如何处理？ 方法一：找一台可以访问设备WEB页面的PC，修改IP/MAC绑定配置。 方法二：在串口上关闭IP/MAC绑定。在串口输入以下命令：ipmac-restrict disable。用一台PC登陆设备WEB管理页面，修改IP/MAC绑定配置。 方法三：通过串口恢复出厂设置后重新配置。在串口输入以下命令：restore default 。恢复出厂设置后，用一台PC登陆设备WEB管理页面，重新设置ER上的配置。 6.6 为什么会出现“重复登陆.已登陆x.x.x.x，请确保没有其他人在登陆”提示，如何解决？ 从安全性考虑，ER同时只允许单个用户管理设备，当IP地址x.x.x.x在管理时，其IP不能登到设备上。当ER上配置完成后，请点退出管理。 注：当配置完成后，直接关闭窗口并没有真正的退出管理页面。因此直接关闭窗口后，有一段时间内，其他PC还是无法访问ER管理界面。 方法一：找到IP地址为x.x.x.x的PC，在页面上点退出管理后，其他PC可立即管理设备。 方法二：等待5