H3C ER6300千兆路由器网吧典型组网方案配置指导
H3C ER6300千兆路由器网吧典型组网方案配置指导

1 网吧基本需求
1.1  网吧需求1:防ARP攻击
通常情况下,网吧掉线大部分是由于ARP攻击引起的。用某网管的话说,要让网吧稳定很简单,只要让PC和路由器上都用静态ARP。虽然说是ARP攻击,但实际上大部分ARP攻击并不是恶意的。网上对于ARP攻击的产生是这样描述的:
现在网吧很多网络游戏都有外挂,但很多外挂中都有病毒。这些病毒通过发送免费ARP报文,让局域网中所有的IP都指向本地PC,以此来获得局域网中所有的数据包,然后分析数据包,将网游的账号提取出来发送给木马作者。
ARP攻击的原理如下:
              PC上指向网关的ARP表项被修改,导致PCInternet的数据不能被转发到PC网关;
              PC网关的ARP表项被修改,PC网关不能将报文发送到相应的PC,导致该PC掉线;
ARP攻击判断方法:网吧内出现部分掉线,首先要判断的是不是受到的ARP攻击。步骤如下:
(1)        从掉线PCPing设备网关,如果是ARP攻击引起的,则不通;
(2)        在掉线PC上通过使用“arp–a”命令查看PC上指向网关的ARP表项是否正确。如不正确,说明PC上的ARP表项已被修改,只要在PC上使用静态ARP就行了;
(3)        如果PC上的ARP表项正常,但仍然不通。您需登陆到路由器,查看路由器的IP/MAC绑定表是否已经启用。如果启用,请检查该PCIPMAC是否在绑定表中,若不存在,添加一条记录或取消绑定可解决;若存在,则可能另有其他原因。
ARP攻击解决方案】:
目前成熟的解决方案是通过ARP双向绑定来实现的,即分别在PC和出口路由器上分别绑定
对方的IP<—>MAC地址,来达到防范ARP的目的。ER路由器上采用导入IP/MAC绑定表,并选择“仅允许IP/MAC绑定的客户端访问外网”来防止ARP攻击,PC上用静态ARP表项绑定网关来防止ARP攻击。
1.2  网吧需求2:防BTP2P)、迅雷过多占用带宽
网吧应用中,P2P电影、BT、迅雷等点对点或多线程业务,对带宽占用很大,实际中常常会出现某一台PC在下载而导致整个网吧速率下降。网吧与企业不同,网吧不能禁止,只能限制业务占用过多的带宽。
统计结果表明,200台左右的网吧用10M~20M带宽的局点还是比较多的,这些网吧流量限制是必须的;对于一些带宽比较大(超过50M)的,网管也提出了该需求。
典型配置如下:
当带宽总数小于15M时,上行40KB/s,下行50KB/s;当用户带宽总数较高时,需要根据实际业务流量配置IP限速。网吧的业务流量可通过ER的流量统计功能来查看。
【防BTP2P)下载、防迅雷下载解决方案】:
使用IP流量限速,NAT限制。
1.3  网吧需求3:多WAN模式选择
在单WAN接入的网吧,无论选择何种多WAN模式都一样。但目前很多网吧都采用了双线接入,这样做的原因有多个方面,主要目的有以下几个:
              为了提高游戏速度,可以实现“电信走电信,网通走网通”;
              以电信为主,开通网通主要为了看网通的电影;
              为了备份线路,以便某一个运营商出问题时,可以切换到另一个线路上。对于此类双线接入的网吧,在ER上我们有三个模式可以选择:主备模式,智能负载均衡模式,手动负载均衡模式。实际环境中我们该如何选择?下面是一点建议。
1、一般情况下,我们推荐用户使用手工负载均衡上网。在该模式下,可以导入电信网通路由表来实现“电信走电信,网通走网通”。
2、如果网吧两条链路,其中有一条线路采用计费上网,此时可推荐使用主备模式。
几个多WAN模式说明如下:
              主备模式:同一时刻只有一条线路正常工作。缺省情况下,只使用主链路转发数据。当主链路出现异常时,所有的数据都自动切换到备份链路上;当设备检测到主链路恢复正常后,备份链路的数据又会自动切换回主链路。注意:只有当启用多WAN线路检测功能,设备才会自动切换链路上的数据。
              智能负载均衡模式:如果在设备上导入了电信/网通路由表,则报文优先按照电信/网通路由表转发;如果数据包没有匹配到(电信/网通)路由表,则自动根据WAN的带宽比例来转发;当设备检测到某一条链路出现异常时,该链路上所有数据会被自动切换到另一条链路上,当该链路恢复后,数据又会自动切换回该链路上。注意:只有当启用多WAN线路检测功能,设备才会自动切换链路上的数据。
              手工负载均衡:该模式下需要导入电信/网通路由表,并设置默认链路。数据包优按照电信/网通路由转发,如果没有匹配到(电信/网通)路由表,则该数据从设置的缺省链路转发;如果运行过程中,某一条链路出现异常,该链路上的所有数据会被自动切换到另一条链路上,当该链路恢复后,数据又会自动切换回该链路上。注意:只有当启用多WAN线路
检测功能,设备才会自动切换链路上的数据。
1.4  网吧需求4:防NAT攻击、路由攻击、异常流量
              NAT攻击:该攻击可分为以下几类,一类是PC异常或中毒,发送源IP地址变化的报文,导致设备在建立NAT连接时无可用的端口而丢包;一类是PC异常或中毒,发送源IP(或目的IP、或源端口、或目的端口)不断变化的报化,消耗设备NAT表项,导致设备丢包。
              路由攻击:主要是针对路由缓冲的攻击,PC异常或中毒,发送源IP或目的IP不断变化的报文,导致设备路由缓存处于满配置状态,降低设备转发性能。
              异常流量:PC异常或中毒,向Internet大流量发包,过量占用网吧带宽,导致网吧掉线。
NAT攻击、路由攻击、异常流量解决方案】:
按要求启用IP流量限制和NAT限制。


2 网吧常用业务介绍
2.1  负载均衡
负载均衡是一种廉价有效透明的方法以扩展现有网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性的技术。
负载均衡能力是区别于单WAN口宽带路由器的主要特征,也是考察多WAN口宽带路由器性能优劣的重要指标。根据策略的不同,负载均衡的实现也不同,不同于单WAN口宽带路由器,由于多WAN口的存在,如何分配各WAN口的数据流量成了多WAN口宽带路由器必须解决的问题,各种负载均衡策略也应运而生。
不同的负载均衡策略的处理方式不一样,即使采用相同的硬件配置,如果采用不同的负载均衡策略,在工作中整机的表现也会完全不一样,一般常用的负载均衡策略有:
              基于内外网IP地址;
              基于设备NAT表项;
              基于路由器的转发流量大小(或线路的带宽比例);
              基于服务器的负载能力(如无盘服务器的分布架构);
2.2  路由策略
传统的路由策略都是使用从路由协议派生出来的路由表,根据目的地址进行报文的转发。在这种机制下,路由器只能根据报文的目的地址为用户提供比较单一的路由方式,它更多的是解决网络数据的转发问题,而不能提供有差别的服务。
玩游戏电脑最高配置基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力。基于策略的路由比传统路由控制能力更强,使用更灵活,它使网络管理者不仅能够根据目的地址,而且能够根据协议类型、报文大小、应用、IP源地址或者其它的策略来选择转发路径。策略可以根据实际应用的需要进行定义来控制多个路由器之间的负载均衡、单一链路上报文转发的QoS或者满足某种特定需求。
常见的路由策略有:基于源IP的路由策略,基于目的接口的路由策略,基于数据包大小的路由策略、基于应用的路由策略和默认的策略路由等。相对于单WAN口路由器,多WAN口路
由器的路由策略选择更加灵活。
2.3  Ghost网络克隆
GHOST全称General Hardware Oriented Software Transfer,是Symantec公司出品的一款硬盘操作工具,目前国内网吧流行使用8.2或者8.3版本。GHOST可以采用网络方式进行一对多硬盘拷贝是其一大特,网络拷贝的方式可以选择:组播(默认方式)、广播或者单播。网吧可以使用该功能进行整个网吧电脑操作系统进行统一安装和维护。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。