网络附件3ICG网关网吧开局注意及典型配置.docx

资源描述

网络附件3ICG网关网吧开局注意及典型配置.docx

《网络附件3ICG网关网吧开局注意及典型配置.docx》由会员分享，可在线阅读，更多相关《网络附件3ICG网关网吧开局注意及典型配置.docx（11页珍藏版）》请在冰豆网上搜索。

网络附件3ICG网关网吧开局注意及典型配置.docx

网络附件网络附件3ICG网关网吧开局注意及典型配置网关网吧开局注意及典型配置华三通信技术有限公司解决方案名称密级ICG网关-网吧开局注意及典型配置内部公开解决方案版本：

V1.01共14页ICG网关-网吧开局注意及典型配置（仅供内部使用）拟制：

尹周梁日期：

2008-2-27评审：

石冬雪/陈小杰/邓云辉/郭新峰日期：

2008-2-27批准：

邓云辉日期：

2008-3-1签发：

顾文良日期：

开局前准备，网络设备升级，设备稳定运行。

分析目前常见的网上问题，我们发现其中的大部分问题，都是由于开局前准备不充分导致的。

常见的问题有：

1MAC地址未克隆导致更换设备后，网络不能正常运行。

2ARP（IP/MAC）未做双向绑定，导致网络运行过程中，有部分PC受到ARP攻击掉线。

3QoS流量限速和NAT表项限制未启用，从而使部分PC可以过多占用网吧带宽，导致网吧部分游戏频繁掉线。

网络升级通常分为两种情况，一为升级现有网络设备，一为铺设新网络。

本文以原有网络设备升级为例，对升级过程中需要特别注意的点进行详细说明，希望大家在升级网络中能避免不必要的错误产生。

本文主要说明了ER在网吧应用时的必要配置及配置方法。

【关键词说明】【关键词说明】必要配置、MAC克隆、IPMAC绑定、IP流量限制、NAT表项限制【正文】【正文】1开局前检查必要配置是否已经启用开局前检查必要配置是否已经启用升级现有网络设备过程中，如果准备充分，设备切换一般可以在1分种内完成；但如果配置有漏，就很可能会导致整个网络或部分PC不稳定，面对网吧不能正常运行的压力，你会很被动。

因此，我们在切换设备前，一定要先检查配置，保证所有的必要配置项都已启用。

1.1切换设备前必须检查的配置项切换设备前必须检查的配置项a.设备LAN的MAC地址和原有设备一致；b.设备WAN的MAC地址和原有设备一致；c.启用双向ARP绑定，以防止ARP攻击；d.IP流量限制已启用；e.NAT表项限制已启用；f.（如果是双线接入）配置双WAN，实现流量均衡或线路备份。

2如何更改如何更改LAN、WAN的的MAC地址地址2.1更改更改LANMAC地址（地址（“LANMAC克隆克隆”）一般情况下，更换网关设备后，由于PC网关的MAC地址发生变化，PC会因为ARP表项振荡而出现短暂的无法上网的现象（5分钟左右，重启PC或禁用启用PC网卡可立即恢复）；ER上，通过LAN的MAC地址克隆可以避免ARP振荡的发生，无需在PC做任何操作，切换可以瞬间完成。

注：

如果部分PC由于操作系统原因不能正常访问外网，需手动重新启动PC。

通过以下页面可更改设备LAN的MAC地址：

2.2更改更改WANMAC地址（地址（“WANMAC克隆克隆”）目前很多地区的电信网关，都做了IP/MAC绑定或设置了防火墙，如果报文的MAC地址或IP地址与电信绑定的地址不匹配，会被丢弃。

因此为了避免不必要的掉线发生，我们在升级设备前一定要检查WAN的MAC地址是否和原来设备一致。

如果电信分配了多个IP地址，强烈建议使用原来设备上的IP地址。

通过以下页面可以修改设备WAN的MAC地址：

3如何配置如何配置IPMAC绑定，防止绑定，防止ARP攻击引起网络掉线攻击引起网络掉线IPMAC的配置是否有错误或遗漏，都将给ARP攻击有可乘之机，从而导致网吧PC出现导网络不稳定或掉线现象。

双向ARP绑定将有效防止网吧受到ARP攻击。

双向ARP绑定即：

在ICG网关上配置IPMAC绑定，防止非法ARP攻击网关的ARP表项；在PC上配置静态ARP表项，防止PC的ARP表项受到攻击。

注：

ICG网关的IPMAC原理。

当配置IPMAC绑定表后，设备会自动生成静态ARP表项，以防止这些ARP表项被非法的ARP报文修改。

如果同时启用了“仅允许绑定的客户端访问外网”，路由器将对ARP报文验证，丢弃不符合IPMAC绑定表的ARP请求，以防止ARP攻击。

3.1ICG网关防网关防ARP攻击配置攻击配置3.1.1生成生成IPMAC绑定表绑定表如果网吧以前没有作IPMAC绑定，那我们首先要收集IPMAC绑定表，可用工具“MacScan.exe-MAC地址扫描器”（见附件）来收集：

打开MacScan.exe，输入要扫描的内网IP范围，点击按钮。

程序自动对该IP范围内的电脑进行扫描，并将扫描到的IP和MAC地址信息显示在界面上，同时在程序目录下生成ArpList.ini文件，将ArpList.ini文件中的IPMAC格式转换成适用于ER的格式即可。

如果以前网吧做过IPMAC绑定，则也可以从原来设备上导出IPMAC后，再转换成适用于ER的格式。

ER的IPMAC的格式如下：

通过Excel可以比较方便地转换IPMAC绑定表格式，下面是将AR上的静态ARP表项转换为IPMAC绑定表的一个例子：

3.1.2导入导入IPMAC绑定表绑定表3.1.3启用防启用防ARP攻击攻击启用“仅允许IP/MAC绑定的客户端访问外网”后，设备对LAN内所有PC的防ARP攻击生效，否则，设备仅对满足IPMAC绑定表中PC的防ARP攻击生效3.1.4维护维护IPMAC绑定表绑定表可以在IPMAC绑定页面，通过手工添加、删除、编辑来维护IPMAC绑定表项。

注意：

在维护IPMAC绑定表项过程中，建议不要取消IP/MAC绑定中“只允许绑定用户上网”，否则，对于不满足IPMAC绑定表中的PC就有可能会收到ARP攻击。

3.2PC上防上防ARP攻击配置攻击配置当前网上有很多可免费下载的ARP防攻击工具，下面以BindArp.exe为例，介绍如何在PC上使用该工具来防ARP攻击。

BindArp.exe通过扫描发现内网电脑的IP和MAC地址，并自动生成arp绑定脚本，只需拷贝到各台电脑上做成启动脚本就可实现IP、MAC地址静态绑定。

同时提供全能绑定程序，可对windows98以上所有操作系统做IP、MAC地址绑定。

操作步骤：

1先运行MAC扫描工具“MacScan.exe”，扫描完成后关闭该扫描工具，此时扫描结果将自动被保存到同目录下的BindArp.bat和ArpList.ini文件中。

（这两个文件都可以用文档直接打开编辑）2打开ARP绑定程序BindArp.exe，此时扫描到的IP已全在绑定程序中：

3查看绑定程序中是否已包含了所有的IP地址，如没有，就需要手工添加。

4添加完成后，需再次运行“MacScan.exe”，确保网吧内所有的PC已保存在BindArp.bat和ArpList.ini文件中。

5修改注册表，将BindArp.bat设置为开机自动运行：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun新建“字符串”值：

DocumentsandSettingsy05979桌面ARP防攻击BindArpBindArp.bat（该文件的绝对路径）4如何配置如何配置QoS策略，防止流量拥塞、路由攻击、策略，防止流量拥塞、路由攻击、NAT表表攻击引起网络掉线攻击引起网络掉线目前ER上的QoS功能实现了IP流量限制和NAT数限制，这里先举个例子，先说明为什么网吧里必须配置IP流量限制和NAT数限制，在低带宽下建议配置应用通道管理功能：

例一：

现象重庆某网吧，10M电信+10M网通带宽接入，下挂360台PC，IP流量限制为上行100KB，下行150KB，网吧经常出现网游卡，部分PC掉线问题。

原因定位分析近几天流量（可通过QoS流量统计来关注），该网吧正常情况下（没有BT、在线电影等业务时）流量并不高，360个人之中，最多只有15个人是需要高带宽的（他在使用BT、迅雷下载，或看在线电影），其他的345个人平时使用的带宽不到30K，且很大一部分是1-10K。

当带宽限制为150K下行，当那15个人用尽他们的带宽时，将需要总带宽18M（150KB*8Kbit/B*15），在目前10M的带宽下，就会出现游戏卡的现象。

这是最初设置的带宽的结果：

晚上带宽消耗高峰期，玩游戏较卡。

当带宽限制为下行50K时，还是15个人用尽50K，只会消耗掉6M的带宽。

剩余4M，完全可满足所有人玩游戏不会卡。

解决方法修改IP流量限制为上行40KB/s，下行50KB/s后，允许每IP通道借用空闲的带宽。

或者配置应用通道中的绿色通道和限制通道，限制通道的带宽为6M，绿色通道的带宽为3M。

从目前的网络现状看，部分地区由于出口带宽较少，网吧只能申请到10M的出口带宽，导致如果没有设置合理的QoS策略，网吧很容易出现由于流量拥塞而引起掉线。

通过IP流量限制和NAT表项限制，可以防止某些PC过多占用网吧带宽以及某些应用过多生成连接，多而提高网络整体质量。

QoS策略的配置很灵活，要得到最优的配置策略，我们不仅要考虑到网吧的实际带宽、实际的带机量，还需要了解网吧的实时的业务流量大小。

下面是根据我们的经验，对不同规模的网吧给出的QoS策略的推荐值：

IP流量限速（对于100PCs-200PCs的网吧）：

启用“允许每IP通道借用空闲的带宽”接入总带宽上行速率限制（KB/s）下行速率限制（KB/s）小于10M40KB/s50KB/s10M到20M40KB/s50KB/s20M到50M40KB/s70KB/s50M到100M70KB/s100KB/s大于100M100KB/s400KB/sNAT表项限制，推荐值：

300。

根据实际流量情况，可在300500之间调整。

应用通道中绿色通道的带宽和限制通道的带宽和应小于设备的总出口带宽，否则规则不能生效。

4.1IP流量限制配置界面流量限制配置界面4.2NAT数限制配置界面数限制配置界面4.3应用通道管理界面应用通道管理界面应用通道管理：

主要应用在总出口带宽小的场景，通过启用限制通道和绿色通道来实现数据转发；当网络拥塞时，优先转发绿色通道的数据（如TCP控制报文、游戏报文），优先丢弃限制通道的报文（如BT下载）。

5如何配置路由策略，充分合理利用双如何配置路由策略，充分合理利用双WAN带宽带宽对于双线接入的网吧，可通过配置均衡路由，可以对网吧的流量进行分流，这里推荐的分流策略有：

2、电信单线路。

只需配置接入方式，无需配置路由策略。

3、电信双线路（主备模式）。

配置WAN1和WAN2的接入方式，选择主备模式并指定主链路（一般为带宽大的线路）。

4、电信双线路（上网+专线）。

配置WAN1和WAN2的接入方式，推荐使用手动负载均衡，将专线服务器的路由导入到负载均衡表中。

下面对分流策略下的配置作详细说明：

（推荐选择带宽高的线路作为缺省链路，此处假设置WAN1带宽大于WAN2带宽）a.选择“手动负载均衡”，配置WAN1和WAN2接入方式；b.选择WAN1作为缺省链路；c.编辑、导入负载均衡路由表（专线上服务器的路由表）；d.开启WAN检测功能；（同时启用Ping检测和DNS检测）5.1设置多设置多WAN模式和默认链路模式和默认链路5.2导入负载均衡路由表（导入负载均衡路由表（“WAN设置设置”-“连接到因特网连接到因特网”页面）页面）6附件附件6.1PC上上ARP防攻击工具防攻击工具

展开阅读全文