H3C 网吧典型组网方案配置指导.docx

《H3C 网吧典型组网方案配置指导.docx》由会员分享，可在线阅读，更多相关《H3C 网吧典型组网方案配置指导.docx（34页珍藏版）》请在三一办公上搜索。

1、目录1网吧基本需求1.1网吧需求1：防ARP攻击1.2网吧需求2：防BT (P2P)、迅雷过多占用带宽1.3网吧需求3：多WAN模式选择1.4网吧需求4：防NAT攻击、路由攻击、异常流量2网吧常用业务介绍2.1负载均衡2.2路由策略2.3 Ghost网络克隆2.4英保通技术2.5无盘启动2.6游戏更新一对比更新技术2.7游戏更新一只读更新技术2.8游戏更新一虚拟磁盘技术2.9游戏更新一对等乱序更新、基于文件快照技术2.10游戏更新一穿透还原保护技术2.11游戏服务器同步更新2.12硬盘保护与还原穿透2.13流量监控与信息过滤2.14 ARP攻击防护2.15端口绑定3网吧常用方案介绍3.1 H3

2、C有盘+Ghost网吧组网方案3.1.1组网图 3.1.2配置步骤3.2 H3C无盘网吧三层组网方案3.2.1组网图3.2.2配置步骤3.3 H3C无盘网吧二层组网方案3.3.1组网图3.3.2配置步骤4 H3C推荐的网吧组网产品5详细配置介绍5.1 ER路由器上的配置5.1.1上网设置5.1.2 QoS 设置5.1.3防ARP攻击设置5.2交换机上的配置5.2.1端口流控设置5.2.2端口镜像设置5.2.3四元绑定设置（S5000E系列或S5028）5.2.4端口汇聚设置6常见问题解答6.1网吧的掉线主要有哪几类？6.2网吧突发性掉线问题怎么办？6.3如何将AR的静态ARP表项转换导入到ER

3、的IP/MAC绑定表？6.4如何将AR的路由表转换导入到ER的负载均衡表？6.5由于IP/MAC绑定错误，导致用户不能上网或无法访问设备时如何处理?6.6为什么会出现“重复登陆.已登陆x.x.x.x,请确保没有其他人在登陆”提 示，如何解决？6.7智能均衡模式与手工均衡模式有什么区别？6.8主备模式与均衡模式有什么区别？6.9如何查看系统资源使用情况？6.10 W1、W2指示灯的含义？6.11管理密码丢失怎么办？网吧基本需求1.1网吧需求1:防ARP攻击通常情况下，网吧掉线大部分是由于ARP攻击引起的。用某网管的话说，要让网 吧稳定很简单，只要让PC和路由器上都用静态ARP。虽然说是ARP攻击

4、，但实 际上大部分ARP攻击并不是恶意的。网上对于ARP攻击的产生是这样描述的：现在网吧很多网络游戏都有外挂，但很多外挂中都有病毒。这些病毒通过发送免 费ARP报文，让局域网中所有的IP都指向本地PC，以此来获得局域网中所有的 数据包，然后分析数据包，将网游的账号提取出来发送给木马作者。ARP攻击的原理如下：. PC上指向网关的ARP表项被修改，导致PC到Internet的数据不能被转发 到PC网关；.PC网关的ARP表项被修改，PC网关不能将报文发送到相应的PC，导致该PC掉线；ARP攻击判断方法：网吧内出现部分掉线，首先要判断的是不是受到的ARP攻击。 步骤如下：(1) 从掉线PC上Pin

5、g设备网关，如果是ARP攻击引起的，则不通；(2) 在掉线PC上通过使用“arp - a”命令查看PC上指向网关的ARP表项是否 正确。如不正确，说明PC上的ARP表项已被修改，只要在PC上使用静态ARP 就行了；(3) 如果PC上的ARP表项正常，但仍然不通。您需登陆到路由器，查看路由 器的IP/MAC绑定表是否已经启用。如果启用，请检查该PC的IP和MAC是否在 绑定表中，若不存在，添加一条记录或取消绑定可解决；若存在，则可能另有其 他原因。【ARP攻击解决方案】：目前成熟的解决方案是通过ARP双向绑定来实现的，即分别在PC和出口路由器 上分别绑定对方的IPMAC地址，来达到防范ARP的目

6、的。ER路由器上采用 导入IP/MAC绑定表，并选择“仅允许IP/MAC绑定的客户端访问外网”来防止 ARP攻击，PC上用静态ARP表项绑定网关来防止ARP攻击。1.2网吧需求2：防BT （P2P）、迅雷过多占用带宽网吧应用中，P2P电影、BT、迅雷等点对点或多线程业务，对带宽占用很大，实 际中常常会出现某一台PC在下载而导致整个网吧速率下降。网吧与企业不同， 网吧不能禁止，只能限制业务占用过多的带宽。统计结果表明，200台左右的网吧用10M20M带宽的局点还是比较多的，这些网 吧流量限制是必须的；对于一些带宽比较大（超过50M）的，网管也提出了该需 求。典型配置如下：当带宽总数小于15M时，

7、上行40KB/s，下行50KB/s；当用户带宽总数较高时， 需要根据实际业务流量配置IP限速。网吧的业务流量可通过ER的流量统计功能 来查看。【防BT（P2P）下载、防迅雷下载解决方案】： 使用IP流量限速，NAT限制。1.3网吧需求3：多WAN模式选择在单WAN接入的网吧，无论选择何种多WAN模式都一样。但目前很多网吧都采用 了双线接入，这样做的原因有多个方面，主要目的有以下几个： 为了提高游戏速度，可以实现“电信走电信，网通走网通”； 以电信为主，开通网通主要为了看网通的电影； 为了备份线路，以便某一个运营商出问题时，可以切换到另一个线路上。 对于此类双线接入的网吧，在ER上我们有三个模式

8、可以选择：主备模式，智能 负载均衡模式，手动负载均衡模式。实际环境中我们该如何选择？下面是一点建 议。1、一般情况下，我们推荐用户使用手工负载均衡上网。在该模式下，可以导入 电信网通路由表来实现“电信走电信，网通走网通”。2、如果网吧两条链路，其中有一条线路采用计费上网，此时可推荐使用主备模 式。几个多WAN模式说明如下： 主备模式：同一时刻只有一条线路正常工作。缺省情况下，只使用主链路 转发数据。当主链路出现异常时，所有的数据都自动切换到备份链路上；当设备 检测到主链路恢复正常后，备份链路的数据又会自动切换回主链路。注意：只有 当启用多WAN线路检测功能，设备才会自动切换链路上的数据。. 智

9、能负载均衡模式：如果在设备上导入了电信/网通路由表，则报文优先按 照电信/网通路由表转发；如果数据包没有匹配到（电信/网通）路由表，则自动 根据WAN的带宽比例来转发；当设备检测到某一条链路出现异常时，该链路上所 有数据会被自动切换到另一条链路上，当该链路恢复后，数据又会自动切换回该 链路上。注意：只有当启用多WAN线路检测功能，设备才会自动切换链路上的数 据。 手工负载均衡：该模式下需要导入电信/网通路由表，并设置默认链路。数 据包优按照电信/网通路由转发，如果没有匹配到（电信/网通）路由表，则该数 据从设置的缺省链路转发；如果运行过程中，某一条链路出现异常，该链路上的 所有数据会被自动切换

10、到另一条链路上，当该链路恢复后，数据又会自动切换回 该链路上。注意：只有当启用多WAN线路检测功能，设备才会自动切换链路上的 数据。1.4网吧需求4：防NAT攻击、路由攻击、异常流量 NAT攻击：该攻击可分为以下几类，一类是PC异常或中毒，发送源IP地 址变化的报文，导致设备在建立NAT连接时无可用的端口而丢包；一类是PC异 常或中毒，发送源IP （或目的IP、或源端口、或目的端口）不断变化的报化， 消耗设备NAT表项，导致设备丢包。 路由攻击：主要是针对路由缓冲的攻击，PC异常或中毒，发送源IP或目 的IP不断变化的报文，导致设备路由缓存处于满配置状态，降低设备转发性能。 异常流量：PC异常

11、或中毒，向Internet大流量发包，过量占用网吧带宽， 导致网吧掉线。【NAT攻击、路由攻击、异常流量解决方案】：按要求启用IP流量限制和NAT限制。网吧常用业务介绍2.1负载均衡负载均衡是一种廉价有效透明的方法以扩展现有网络设备和服务器的带宽、增加 吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性的技术。负载均衡能力是区别于单WAN 口宽带路由器的主要特征，也是考察多WAN 口宽带 路由器性能优劣的重要指标。根据策略的不同，负载均衡的实现也不同，不同于 单WAN 口宽带路由器，由于多WAN 口的存在，如何分配各WAN 口的数据流量成了 多WAN 口宽带路由器必须解决的问题，各种负载均

12、衡策略也应运而生。不同的负载均衡策略的处理方式不一样，即使采用相同的硬件配置，如果采用不 同的负载均衡策略，在工作中整机的表现也会完全不一样，一般常用的负载均衡 策略有： 基于内外网IP地址； 基于设备NAT表项； 基于路由器的转发流量大小（或线路的带宽比例）； 基于服务器的负载能力（如无盘服务器的分布架构）；2.2路由策略传统的路由策略都是使用从路由协议派生出来的路由表，根据目的地址进行报文 的转发。在这种机制下，路由器只能根据报文的目的地址为用户提供比较单一的 路由方式，它更多的是解决网络数据的转发问题，而不能提供有差别的服务。基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存

13、储更强 的控制能力。基于策略的路由比传统路由控制能力更强，使用更灵活，它使网络 管理者不仅能够根据目的地址，而且能够根据协议类型、报文大小、应用、ip 源地址或者其它的策略来选择转发路径。策略可以根据实际应用的需要进行定义 来控制多个路由器之间的负载均衡、单一链路上报文转发的QoS或者满足某种特 定需求。常见的路由策略有：基于源IP的路由策略，基于目的接口的路由策略，基于数 据包大小的路由策略、基于应用的路由策略和默认的策略路由等。相对于单WAN 口路由器，多WAN 口路由器的路由策略选择更加灵活。2.3 Ghost网络克隆GHOST 全称 General Hardware Oriented

14、Software Transfer 是 Symantec 公司 出品的一款硬盘操作工具，目前国内网吧流行使用8.2或者8.3版本。GHOST可 以采用网络方式进行一对多硬盘拷贝是其一大特色，网络拷贝的方式可以选择： 组播（默认方式）、广播或者单播。网吧可以使用该功能进行整个网吧电脑操作 系统进行统一安装和维护。在网吧进行网络克隆时，需要在网卡上加装PXE启动芯片（PXE Boot ROM），进 入纯DOS环境进行还原（GHOST已经可以支持在Windows环境下进行还原，但是 如果需要还原系统盘，必须进入纯DOS状态）；对于某些型号的网卡，也可以将 PXE启动代码（Boot Code）写入主板

15、（例如目前流行的NF和945主板）的Flash ROM，支持主板集成网卡直接PXE启动。国内网吧最流行的网络克隆软件是MAXDOSoMAXDOS的原理是在Windows下把DOS 的引导文件给加进去，并修改引导区，使引导区出现进入DOS的选项。进入纯 DOS环境后，首先查找并加载适合主机网卡的DOS驱动，随后调用GHOST主程序， 进行网络克隆。MAXDOS软件核心程序仍为GHOST 8.2版本，目前新版本MAXDOS 软件开始支持GHOST 8.3。另外一种网络克隆的方式是还原卡克隆，比如三茗克隆神将。在开机加载还原卡 Boot Code后，可以进入还原卡自带的硬盘克隆程序，采用Server

16、/Client构架， 为选定为Server的硬盘数据向Client端进行快速分发。还原卡硬盘数据分发通 常采用广播方式。/t注意不建议同时进行全网克隆；建议分批进行网刻，每次克隆的PC数不超过20台。2.4英保通技术部分主板Flash ROM直接集成了硬盘数据分发工具，比如：英特尔“英保通”技 术。英特尔公司近几年大力推行的英保通TM技术，根据国内网吧普遍存在的一 些问题和技术难点，提出的全网解决方案。英保通Agent软件集成在Intel专用主板（目前华硕、精英也推出了支持英保通 技术的主板）上的Flash Rom，客户端开机后，软件主动发出广播申请加入服务 器管理域，服务器端可以选择是否接收

17、客户端。当把客户端加入管理列表后，英保通系统采用单播方式的私有协议实现远程控制 和资产管理功能；硬盘镜像和升级包部署功能，则是通过组播方式（缺省方式， 也可以选择单播或者广播方式）的私有协议实现，采用类似Server/Client构架。2.5无盘启动 无盘启动，在网吧行业也是一种不可忽视的技术。其特色就是客户端不要安装物 理硬盘，启动时统一调用服务器上的操作系统镜像，把网络当成客户端的逻辑硬 盘。与有盘系统相比，无盘系统利于统一式管理和维护；部分无盘客户端的数据 可以直接从服务器缓存中读取(比如：魔兽世界切换地图)，在一定程度上来说 让网吧维护变得更加快捷方便，同时不需要考虑物理硬盘的消耗，为

18、网吧节省了 维护成本。由于无盘系统的实时性，对网络的报文转发速率、延时和丢包率均有较高要求， 网络的质量对无盘系统的运行稳定性也有很大影响。2.6游戏更新一对比更新技术对比更新技术是网吧早期的游戏更新技术，最典型的莫过于迅闪软件，即在一个 服务器上存放所有网络游戏的最新版本，做个共享出来。然后在客户机上用迅闪 做成更新的图标来替换游戏图标。顾客双击某个游戏图标，迅闪就会把本机的这 个网络游戏和服务器上的相应游戏做对比，然后自动把不相同的文件复制到本 机，相同的就跳过。所有不同文件处理完以后再自动进入网络游戏。通过这个方 法就属于局域网络的游戏更新了，人工需要做的是把服务器上的每个游戏都升级 成

19、最高版本，所以讯闪的技术核心为文件对比，如果文件大小不一样就拷贝。 优点：对服务器的依赖性不大，如果服务器不能连接直接从本地启动网络 游戏。 缺点：对比更新完后不存储，下一个顾客来上机必须再更新一次。一段时 间之后需要更新的文件是越来越多，等待更新的时间也会越来越长。对网络的影响：更新文件时，会产生较大的局域网流量。2.7游戏更新一只读更新技术利用XP系统的双帐号对游戏分区进行不同的权限设置，将游戏盘设置为只有高 级帐号才可以进行存储，其他所有用户为只能读取。只读更新实现方式：(1) 首先确定需要更新的网络游戏盘不保护，并一定要采用NTFS分区。administrators组有2个用户。假设有

20、administrator和clinet两个权限帐 户，把clinet帐户设置成客人上机的默认帐户，网络游戏安装在D盘，设置成 D盘不保护。(2) 一定要使用administrator帐户登陆系统。针对D盘，先删除D盘所有 用户的权限，然后添加administrator帐户的权限，权限设置为：完全控制，再 添加Everyone用户(只分配读取权限)。再把“用此显示的可以应用到的子对 象的项目替代所有子对象的权限项目”打上勾，点“确定”按钮。通过以上的设 置，administrator帐户可以往D盘里面写数据，但是顾客上机使用的clinet 帐户却无法往D盘里面写数据，此时就可以通过只读更新软件

21、实现在 administrator帐户下往D盘里更新游戏数据。 优点：不依赖服务器，通过本地更新后可以存储起来。. 缺点：D盘只能读取，只能通过更新软件的游戏菜单进入游戏，因此很多 网络游戏的插件、外挂无法运行，私服不能运行。2.8游戏更新一虚拟磁盘技术虚拟磁盘技术，即将一台服务器的硬盘虚拟出来给所有客户机，客户机器多出一 个盘符。但不同与早期的那个共享映射，客户机对虚拟盘的盘符可以进行任何操 作，但重启后盘的内容保持不变。盘上的游戏更新通过服务器来实现，网吧业主 只需要在服务器的挂卷硬盘上添加目录和更新游戏，客户端的本地虚拟硬盘里就 有了相应的游戏软件，不需要到每台机器进行安装。 优点：只需

22、要在服务器上把游戏更新，下面的客户机器游戏就是最新的， 而且实现了扩展客户机硬盘的目的，所有客户对挂卷硬盘可以进行任何操作而不 损坏硬盘内容，包括格式化。 缺点：对服务器的依赖性大，对服务器的配置要求高，因为所有的游戏都 要在服务器挂卷硬盘上运行，所以一旦访问量大了玩游戏会卡。2.9游戏更新一对等乱序更新、基于文件快照技术对等乱序更新模式下，局域网内的每台机器根据自身的繁忙程度成为服务器或者 成为客户机，使得更新从以前的从一台服务器更新发展到从众多的服务器上更 新，将更新的速度提升到极限。基与文件快照技术的更新则是将服务器与客户机上的文件进行快照，则在需要更 新的时候直接对比快照数据库，不必再

23、耗费系统资源进行文件对比，将对比速度 大幅度提升。比较典型的如易游网娱平台。2.10游戏更新一穿透还原保护技术假设：某家网吧发现 传奇有一个补丁包需要升级，而这家网吧每个机器上 都装有还原软件，那么网管：(1) 运行制作软件(名为UpMaker)，填好版本，说明，安装目录等，然后保存目录信息。(2) 安装QoS设置-IP流量限制。通过QoS限速，可达到限制P2P电影、 BT、迅雷等点对点、多线程业务对带宽的占用，以此来保证网吧中其他业务的稳 定运行。0 量限烈常助。，讦瑚口遇谨蔺用堂蹄帮-卜岫* egg通谨只使用理役的帮童【只起闾做hi此普酿|里希曲黑就l1皿成rr蜀限卧向c强国限谡-限速揍口

24、不底分口 与中上行漓普上熙L疝(电田mgClQK熟作儿 茄生，咛进的可QoS设置-网络连接限数。5.1.3防ARP攻击设置(1) 安全专区-ARP防攻击-IP/MAC表。导入网吧所有PC的IP/MAC绑定表，并且启用“仅允许IP/MAC绑定的客户端访问外网”。tUC讦DHCP帜毒易为跆喜尸谀宙御*隍 回髭尤滞【*MAC盅都客尸单带耳外柯IM Im 1I1p*tt1MACitttT11112A6fl.l.2OOzOO:00:OD:DD：OL22192a 168.1.3D0O;0D;OD;OD:D233192.166.1.400:00:00:00:00:0344192.1.5qd诚:Q0曲演:Q4

25、5s030:00:00:00:05口661W,16S.1 J000:00:00:00106口771.168.1.800:00:00:00:000788192.168.1.900:00:00:00:00:09.口091.168,11000100:00:09:00口10101924694-110C：W：QQ:Q?：O10rl 1B iFk* 4 c n H v口至逸| ：度2(2) 安全专区-ARP防攻击-防ARP攻击。皆说明网吧中对于ARP攻击和ARP欺骗，最好的解决方法是通过ARP双向绑定来实现， 即分别在PC和路由器上分别绑定对方的IPMAC地址。因此，如果网吧PC上 做了 ARP绑定后，建

26、议此处就不要启用ARP防欺骗功能，以免影响网络整体性能。5.2交换机上的配置5.2.1端口流控设置您可以进入“端口设置”页面对端口流控进行设置。流控状态改变后，端口会自 动Down/Up 一次进行流控协商，可能会造成暂时性网络通信中断。5.2.2端口镜像设置镜像端口通常是连接装有公安局监控软件的服务器的端口；被镜像端口通常选择 交换机连接路由器的端口，镜像方向选择镜像入和出端口。在实际组网过程中， 请尽量不要配置单个镜像端口监控多个被镜像端口，也不要配置低速率端口监控 高速率端口，否则可能造成网络拥塞。您可以进入“端口镜像”页面对其进行设5.2.3四元绑定设置(S5000E系列或S5028)1

27、. 手动添加绑定配置步骤“安全专区” - “IP过滤”- “四元绑定”，如下图所示。图5-1四元绑定界面际狎1a*i：-trrtSF=. mm口 也|避沽口，秋：不好JFAC+PORU VLArO时止5W吨啷!HJKgMWl. i初止站卬并釜闭曰元岫瑙It,IPHLQI : ULMI 就志内5下幻降(2) 单击新建按钮，将自动跳转“新增绑定配置”页面，您可以增加新的四 元绑定表项。在该页面可以手动填入客户端电脑的IP、MAC、VLAN和端口信息。 如下图所示。哲说明请务必确认手动输入信息的正确性，否则可能导致客户端电脑无法正常网络通 信。端口和VLAN 1。输入0或者不输入，表示四元绑定表项针

28、对所有端口或者所有 VLAN生效。图5-2新增四元绑定项地批匚地址琲口AM 0192. 16B. 1.9话iltl黯入四丘堆是信旦，苦则可窒导袒圈通讯中困f;2. WJXN回/溟鞘入巳径吞狂枷WL讯口必滨瀚入实际存在哄口号：3, 房口和ISTHD刷入Q16考格氏事示ED元弟定府攻针闵Wi有雄口戏考所有必N性食.(3) 单击确定按钮，返回四元绑定界面可以看到之前配置的静态表项已经生 成。如下图所示。图5-3四元绑定表项(4) 在四元绑定界面使能对应端口的绑定功能，单击确定按钮，即可完成配 置(注意：路由器所在端口不允许使能绑定功能)。如下图所示。图5-4开启端口绑定功能IP-i-MAG-i-PORT - VLA3定螂部匡底rneai口 CZLsKan1*:fca |g汹St明:著导队汶用国口，啊M?密E口，龄;TlfSdHl加定硝哇-2. 智能绑定配置步骤(1) 单击“安全专区” - “IP过滤”- “智能绑定”。如下图所示。图5-5智能绑定主界面(2) 单击搜索主机按钮，将自动跳转“搜索网络主机”页面，您可以在局域 网内通过发送嗅探性ARP报文来查找在线主机，从而自动生成四元绑定表项。注 意：请确认在执行智能绑定过程中，需要绑定的客户端电脑全部处于开机状态并 能够正常应答ARP报文。如下图所示。图5-6搜索网络主机(3) 等待搜索完成