|
网吧的兴起,无疑是为IT行业带来了巨大的市场商机,业不可否认的解决了中国几亿网民对于知识,信息,娱乐方面的各种需求。如今,网吧的数量如雨后春笋般蓬勃成长,有不少的投资者将眼光放在了这个充满机遇的朝阳行业。 一个网吧,从筹建到可以正常经营,不是一蹴而就的事情,而是需要从众多方面开始着手规划和筹备。其中最为重要的,也是工作量相对较大的一个方面就是技术层面的设计,实施,以及调整和优化,从而可以使网吧具有优秀的“硬环境”,以提升根本竞争力。“硬环境”所指的是网吧的“网络环境”,“硬件设备配置”,“软件选择及优化”这三个基本方面。 本篇文章的主旨,就是宏观的阐述这三个方面所设计的基本知识以及应该注意的各种问题;同时笔者用“流程图”的方式,直观体现这三个方面和其中包含的各种细节问题,以及它们的规划和实施方案。至于每个细节详细的技术知识和实施方法将在今后的文章种介绍。 首先用以下“流程图”直观说明网吧筹建中所涉及的各个层面: (接下来将对“流程图”中的各个细节进行基本的介绍,使网吧投资者了解在这些方面所需了解的基本知识和注意事项。) 网吧开始筹建时,除了获得相关部门颁发的各种执照外另一方面就是定义网吧的经营模式。此方面直接关系到网吧建设初期的规模和经济投入。经营模式和基本的经济投入确定下来后就可以开始着手进行“硬环境”的规划了。 网络环境的规划。网络环境(主要指局域网环境以及广域网的接入)的优劣直接影响着网吧的整体性能,换句话所就是直接关系到网吧的客源和经济效益。因此这个方面是在“硬环境”中最为重要也是工作量相对最高的。因为,一旦网络环境确定下来并且施工完毕也就无法在短期内去做更改。它的施工时段和网吧整体装修的时段基本是在同一时期,如果今后在综合测试时发现网络环境存在瓶颈和不稳定因素,这些无疑会使先前的整体规划大失本色,从而也就无法发挥各种设备间的整体性能。所以,在网络规划时设计出最为合理的方案,并根据方案严谨规范的进行工程实施和设备的购置就显得尤为重要。 a. 广域网接入速率对网吧来说至关重要。现在的网络游戏,网络影视,即时通讯软件,等等程序对于网络的要求越来越高,这些无一不是和广域网的速率息息相关。按照北京来说,目前大多数网吧的广域网接入速率是在20M/bps,也有些网吧会有所增减,但最低的也不会低于10M/bps。因为以北京地区审批网吧的条例来说,一般网吧的终端机数量是不会少于80台的,10M/bps的广域网接入速率对于80台终端的网吧来说也只能是刚好够用。据了解,在国内其他城市,广域网的接入速率有些可以达到100M/bps或者更高。北京地区受到接入费用以及其他多方面因素的制约,目前还不能达到此类的接入速率。据笔者经验,大概300台规模的网吧,接入速率达到20M/bps(以北京地区为标准),应该基本可以满足日常经营的需要。如果资金投入不受限制的话,接入速率当然越大越好。 b. 国内的ISP目前只有网通和电信两家,其他类型的ISP公司最终也都会接入到网通或电信的主干网络,或者有些地区的ISP公司根本没有自己的线路,直接租用网通或电信的线路来进行接入业务。所以笔者认为,网吧ISP的选择也就直截了当些,不是网吧就是电信;或者两家的线路同时接入,这样可以很好的提升网络游戏的联通性能和广域网连接速度。对于北京地区来说,由于强制性的规定,网吧行业的广域网接入只有“电信通”一家ISP提供商(北京本地ISP公司,其主干网络接入电信和网通)。据了解,“电信通”也提供网通和电信不同主干网络的接入,不过接入价格方面好象难以商量。 c. 局域网环境的设计。首先要明确网吧的终端机数量,之后才能进一步规划网吧的局域网。目前绝大多数网吧的局域网拓补形式都采用“拓展星形”的连接,此种连接方式在实施上比较容易,而且维护相对简便。再有,目前网吧的局域网类型大都采用“快速以太网”,也就是100M/bps的网络连接速率。也有少数网吧跨入了“G比特以太网”的时代,局域网连接速率采用了全1000M/bps的连接方式,无庸置疑,此种类型局域网能大幅度提升网吧的整体性能,从而提高竞争力,但是在资金投入方面也相对较高。由此看来,网吧投资者要根据自身网吧的定位和实际需求来确定网络环境的基本设计。笔者认为,从核心交换到边缘交换采用“G比特以太网”连接,从边缘交换到桌面终端采用“快速以太网”连接,此种局域网组建方式可以满足投资者网络性能的要求,同时也能节省不少资金投入。 d. 网络设备购置。网络设备主要包括:路由器,核心交换机,边缘交换机,网络连接线缆等。下面就分别介绍一下这些设备的相关知识以及应用到网吧中存在的有点和不足。 路由器品牌:CISCO 3COM 化为 D-link 锐捷 霞诺 飞鱼星 等 CISCO和3COM这些都是国际大品牌,性能可靠,技术成熟但价位相对较高。D-link,锐捷等都是国内引进或自主开发生产的品牌,有专门针对网吧特点推出的相关产品,针对性强,各种功能易于实现 网吧技术攻略 随着Internet在全球的广泛推广,用户数量的迅速增加,Internet成为全球通信的热点。我国作为信息产业的后起之秀,网络发展更是迅速。基于国内网络的接入现状,利用网吧等公众场所上网者占着不小的比例,以一个网络普及场所身份出现的网吧或网络咖啡屋,凭借舒适宽松的上网环境和高速便捷的上网服务,吸引了越来越多网民的光顾,使得网民的数量呈现出高速增长的态势,网吧这种经营模式早已被广大用户所接受,各大城市的网吧得到了迅猛的发展,从最初的几台计算机,到现在几十台,甚至上百台计算机。大大小小的网吧已遍及全国,无论是大中城市还是小城市直到很小的县城。但同时,随着网吧的增多,行业之间的竞争也越来越激烈,为了在激烈的竞争中立足,网吧的成本控制、运行性能、管理维护都成为极其重要的因素,因此,如何设计和实现一个低成本、高性能、易管理的网吧网络解决方案显得尤为重要。 网吧常见问题以及应对办法 一、 ARP病毒导致网吧掉线: 表现:如果你的网吧出现下面的现象,多半你的网吧就中了ARP病毒。 大面积同时掉线和卡―――这种情况往往是ARP病毒的表现,也有少数盗号程序是这种现象。 电脑挨个掉线或者卡―――这种情况多是盗号程序所为,因为盗号程序往往是按照IP地址顺序进行攻击,所以出现电脑挨个掉线的情况。如果盗号程序做的针对性强,就出现玩同一种游戏的电脑挨个掉线。 解决办法:IP+MAC双向绑定和ARP攻击主动防御。 在网吧里面通过在路由器上面进行IP+MAC绑定和免费ARP的发送,可以有效的阻止ARP病毒。另外,在PC机上面对网关的IP地址与MAC地址进行绑定,或者在每台安装Anti-ARP Sniffer软件。 1. IP+MAC绑定;在MSR路由器的web界面上,通过“固化ARP”的操作,很方便的可以对 局域网内的所有PC机进行绑定。动态搜索ARP表,对网内的PC机的IP地址和MAC地址进行绑定,通过“全选”—“固化”按钮来完成。 2、发送免费ARP:在MSR路由器的“ARP防攻击”页面,开启防攻击的功能,然后设置每1秒钟发送一次正确的网关ARP信息。当网内受到错误的ARP广播包攻击时,路由器立即广播正确的ARP包去修正和消除攻击包的影响。 3、PC上做绑定:在每台PC机上面设置IP与MAC地址的绑定。 微软的操作系统中都带有ARP这一命令行程序,我们可以在windows的命令行界面来使用它。打开windows 的命令行提示符如下: 通过“arp-s +路由器IP如192.168.1.1+路由器的MAC地址”这一条命令来实现对路由器的ARP条目的静态绑定,可以看到在arp -a 命令的输出中,已经有了我们刚才添加的条目,Type类型为static表示是静态添加的。 二、内、外网攻击导致路由器死机 表现:如果你的网吧出现下面的现象,多半你的网吧就受到攻击了。 外网攻击:每到上网高峰期就掉线―――受到攻击的网吧多数是学校附近网吧密集地区生意较好的网吧,这些网吧常成为附近生意较冷清同业的竞争对手,每当网吧晚上或者周末生意好的时候,就出现掉线情况。这是非常典型的外网攻击,让路由器CPU利用剧增,直到瘫痪。 内网攻击:这种攻击经常是借助外挂程序内部植入的功能所发生的,这种情况比较发生在网吧客户无意中成为攻击者。一般常见的现象,是网吧客户为了玩特定的网游,而从互联网上下载外挂软件。但该外挂软件内植入攻击程序,因此造成掉断的情况。在这种情况下,网吧客户经常是在不知情的情况下,成了攻击的元凶。 解决办法:身份隐藏+攻击防御+攻击日志查询。 1、隐藏IP地址:你找不到我,又怎么攻击我呢? 利用电信分配的多个外网IP:在出接口配置1个IP,在Nat转换的地址池使另外的IP地址,这样访问外网时使用的IP地址并非是路由器的IP地址,即便攻击也没有用。 禁止外网的ICMP请求报文:在出接口上面禁止响应ICMP报文,让外面的ping没有响应,无法知道IP是否真实存在。 禁止外网地址扫描和端口扫描:开启地址扫描和端口扫描防范功能,可以防止攻击者的恶意扫描。用MSR5006加强端口扫描为MAX 为1的时候,用流光一扫出一个错! 2、攻击防范:即使你找到我,你也攻不死我!
在东莞某网吧(420台PC机)的服务器上面,利用千兆网卡向路由器发送攻击数据,对华为3Com的MSR5006路由器进行攻击,路由器运行正常。效果见下面的数据: 可见攻击对于MSR5006的影响不大,网络运行正常。在网吧里面,你可以利用这些攻击软件对自己的路由器进行测试,看一下防攻击的能力,尤其是使用阿拉丁UDP洪水攻击器,效果非常明显。 3、日志查询:如果你攻击了我,我就能把你找出来! 下面是设备受到攻击时,路由器的提醒日志,从日志中你可以清楚地看到攻击发生的时间、 攻击的类型和攻击者的IP地址。
三、P2P流量过大导致带宽浪费 中国很多地区的网吧一般外网带宽都在10-30M左右,而内网流量可以超过外网带宽。尤其是现在P2P的软件非常流行,其下载速率非常快,在给网民带来实惠的同时,也给网吧增加了负担。10M的带宽很快就被使用下载工具的机器占完了,其他机器上网速率非常慢,甚至根本就无法上网了。如果你出现下面的情况,很可能说明你的网吧里有人在下载。 1、局域网内突发流量非常大,短时间内网速比较慢,玩游戏非常卡。过一会儿又好了。 2、流量过大,路由器CPU利用率到100%,访问外网不通,整体掉线。重起设备就好了。 面对这种情况,最好的办法是增加带宽,但是处于成本考虑,很多网吧不愿意增加带宽。这种情况下就必须对机器进行速率限制,这样可以有效的防止内网流量过大。 比如10M的带宽,有100-200台机器,这时候最好对每台机器的速率进行限制,上行300K,下行500K,能够满足网吧大多数的应用。在华为3Com的MSR路由器上面,可以轻松的实现对每台机器的带宽控制。在“流量控制”界面,输入需要限速的IP地址段和相应限制的速率,便可以轻松实现。
由于路由器的内存和CPU决定了他能承受的最大Nat连接数,同时为了防止类似于迅雷等软件建立众多的Nat连接,也可以对每台机器的Nat连接数进行限制。
四、网通电信双接入不能实现游戏的智能切换 在很多地区,网吧用户同时申请了中国电信和中国网通两条宽带接入线路,如果此时双线路采用常规的“负载均衡”方式,就会发生访问网通站点走电信线路,访问电信站点走网通线路的情况,由于当前网通和电信两个运营商之间存在着互联互通速度慢的问题,造成速度瓶颈。 华为3Com的MSR系列产品支持双线路接入,通过基于策略路由的线路备份功能,完美的实现了“访问网通的网站,数据就走网通的光纤;访问电信的网站,数据就走电信的光纤。以最短的路径最快的速度访问网络”这个想法。同时,这一切都是路由器自动完成,客户机不需要做任何设置调整。 通过MSR的Web界面,在路由策略当中导入现有的路由表,就可以轻松的完成双线配置。
五、网吧维护软件与交换机兼容性差 网吧中有很多网吧维护软件,这些软件给网吧的管理带来了极大的便利。但是由于软件开发者不同,采用的协议和标准不同,导致这些软件与交换机配合可能出现问题。在对网吧业务进行深入研究的基础上,华为3Com公司对S1000系列、S5000系列等网吧交换机做了相应的改进和优化,以适应网吧业务的需要。
英保通系统是Intel公司推出的一套网吧网络解决方案,针对网吧常见的一些问题和难点,英保通可以实现系统部署、硬盘维护、远程监控和资产管理等功能。 华为3Com技术有限公司和Intel亚太研发有限公司合作,以英保通V3.0.版本为基础,进行了H3C全系列交换机的测试(详细的测试结果可以参考双方共同推出的文档)。上文提出的几种组网方式,在实验室运行英保通系统状态良好。 2、无盘启动 基于PXE技术的无盘启动系统,在网吧使用非常广泛。无盘技术不但可以为网吧节省一笔不菲的费用(客户端PC不需要物理硬盘),而且实现的集中式管理和维护是其最大的优势。 H3C全系列交换机在正式进入市场前,均经过了NXD(Demo版)和BXP(演示版)无盘系统的速度测试。上文中涉及的几种组网方案,在实验室全部得到充分验证。 3、iSCSI虚拟磁盘 iSCSI(虚拟磁盘)技术是近几年在网吧业兴起的一股新兴潮流。在许多网吧,虚拟磁盘技术可以承载不常用数据,减少客户端硬盘的负载,也给数据更新带来很大方便。 目前网吧很流行的一种做法是,将本地硬盘隐藏起来,用户看到的只是iSCSI服务器上的系统桌面,而运行起游戏又调用本地硬盘上的数据。这样既保护了本地数据的安全,操作系统不容易被破坏,同时也方便客户对网吧进行整体维护。 H3C全系列交换机对目前较为流行的ISCSI Cake进行了产品验证性测试,运行速率完全正常。 4、GHOST网络克隆 GHOST全称General Hardware Oriented Software Transfer,是Symantec公司出品的一款硬盘操作工具,目前比较流行的是8.2版本,主要用于硬盘的拷贝和还原。GHOST可以采用网络方式进行硬盘拷贝是其一大特色,目前国内有盘网吧的维护基本都是采用该软件进行。 H3C全系列交换机在研发过程中,充分考虑了网吧运行该款软件的需求,以国内目前最流行的网刻软件MAXDOS为工具,进行了多种交换机组合网络克隆速率验证。 5、VOD视频点播 传统VOD视频点播软件在网吧运用的五花八门,各类视频点播软件都有自己的优劣,其原理不外乎通过单播或者组播的方式,将服务器上的视频内容传送到客户端。还有一部分网吧接入了“小锅”,将卫星接收的节目在服务器转录后提供给客户在线观看,这时还需要一个调制和解调的过程。 华为3Com的工程师在实验室,搭建了Windows 2000 Server内嵌的Media Play视频点播服务器,对每一款H3C交换机均进行了组播方式的VOD点播测试。 6、还原卡 较为传统的网吧,喜欢使用还原卡或者还原精灵进行网吧系统保护。部分还原卡(比如三茗、蓝光等)还可以实现硬盘数据分发,达到系统安装和维护的目的。 H3C系列交换机在实验室通过了三茗还原卡、小哨兵还原卡和蓝光还原卡的网络克隆测试,以保证常见几款还原卡型号的运行正常。 华为3Com网吧典型配置 目前全国的网吧有大约13万家,各地区网吧的规模都相同。为了制定出适合全国各个地区网吧实际情况的方案,华为3Com公司花了6个月的时间,走访了全国的80多个城市,进行了深入的调研和分析,最后总结出了一套适合各种规模网吧的方案。网吧解决方案以最先进的网络建设思路和最贴近需求的网吧建设为原则,以高速、稳定、组网灵活性为目标,以资金投入结构最合理为依据。在网吧网络的方案中,设计应始终贯彻面向应用、注重实效的方针,经济实用。下面是我们的解决方案列表。
典型方案一:百兆网卡--百兆无网管+骨干千兆+单Wan口路由 网络设备:S1126R+S5024P+ICG1000 网络拓扑:
方案特色: 1、路由保证网络稳定 通过对病毒端口的封闭来防止内部网络病毒。 通过IP+MAC地址绑定来防ARP病毒。 2、骨干千兆提升内网速率 全千兆骨干网络,S5024P全千兆,S1126R千兆上行。 交换机上做端口镜像,满足公安和文化监控要求。 典型方案二:千兆网卡--全千兆无网管+双Wan口路由 网络设备:S1224R+S5024P+ICG1800 网络拓:
1、双线接入游戏爽 ICG路由器双Wan口支持网通、电信负载均衡。 支持智能切换和手动切换模式,路由表自动添加。 2、全千兆极速享受 从接入交换机到核心交换机再到出口路由器,每个接口都是千兆 PC机和服务器上千兆网卡,整网速度比100M环境大幅提升 3、千兆相对于百兆的优势 我们在网吧实验室里测试,得到下面的结果,如果提升服务器磁盘性能,速率提升就会很可观,5-6倍的性能应该没问题。
(以上数据只做参考,受 PC 性能影响可能会有差别) 典型方案三:百兆网卡 -- 百兆全智能网管 + 防攻击路由 网络设备: S1526+S5600-26C+MSR5006 网络拓扑:
组网特色:全网管网络,将网络病毒扼杀在摇篮,将网络攻击挡在外面。 S1526的强大功能: 基于端口的Vlan:端口之间直接隔离,任何病毒都无法传染网络 ? 端口速率的限制:限制端口上行、下行速率,可以抵御攻击。 S5600-26C的强大功能: 防止 ARP病毒:绑定IP与MAC地址,禁止假冒网关的数据,ARP流量限制。 防止网络病毒:通过ACL限制端口来防止Logo1、威金、阻击波等网络病毒。 MSR5006的强大功能: 防止各种网上攻击:、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、Land、Smurf、 Fraggle、WinNuke、Ping of Death、Tear Drop等24种网络常见攻击。 防止P2P软件:通过基于IP地址的流量控制,限制关键字等方法来防止P2P软件。 关于交换机的配合,为了适应不同的业务系统的要求,对不同的组合做了不同的说明,大家可以参考。
|
|
|
