七网吧技术白皮书Word格式文档下载.docx

1、Quality Of Service质量服务VLANVirtual Local Area Network虚拟局域网目 录1 概述. 41.1 产生背景. 41.2 技术优点. 42 网吧技术. 72.1 概念介绍. 72.2 广域网出口. 72.2.1 负载均衡. 72.2.2 路由策略. 72.3 核心层. 82.3.1 网络克隆. 82.3.2 英保通技术. 82.3.3 无盘启动. 92.3.4 虚拟磁盘. 92.3.5 同步更新. 102.3.6 硬盘保护与还原穿透. 102.3.7 流量监控与信息过滤. 112.4 接入层. 122.4.1 攻击防护. 122.4.2 端口绑定. 1

2、23 H3C设备技术实现. 133.1 概念介绍. 133.2 特殊功能介绍. 133.2.1 应用QOS. 133.2.2 状态检测. 133.2.3 流量控制开关. 143.2.4 网吧专区. 153.2.5 安全专区. 163.2.6 PVLAN. 174 网吧解决方案. 184.1 全千兆解决方案. 184.2 百兆接入解决方案. 204.3 成功案例. 214.3.1 杭州西子网景网吧. 214.3.2 杭州时光网吧. 224.3.3 杭州约定网吧. 231 概述1.1 产生背景随着Internet在全球的广泛应用，用户数量的迅速增加，Internet已经成为全球通信的热点之一。我国

3、作为信息产业的后起之秀，网络发展更是迅速。基于国内网络的接入现状，利用网吧等公众场所上网者占着不小的比例，以一个网络普及场所身份出现的网吧或网络咖啡屋，凭借舒适宽松的上网环境和高速便捷的上网服务，吸引了越来越多网民的光顾，使得网民的数量呈现出高速增长的态势。网吧这种经营模式已被广大用户所接受，各大城市的网吧得到了迅猛的发展，从最初的几台计算机，到现在几十台，甚至上百台计算机。大大小小的网吧已遍及全国，无论是大中城市还是小城市直到很小的县城。但同时，随着网吧的增多，行业之间的竞争也越来越激烈，为了在激烈的竞争中立足，网吧的成本控制、运行性能、管理维护技术都成为极其重要的因素，因此，如何设计和实现

4、一个低成本、高性能、易管理的网吧网络解决方案显得尤为重要。1.2 技术优点作为国内网络设备的领导厂商，H3C公司始终关注客户最急迫的需求，以客户需求为导向来开发产品和设计方案。通过对目前网吧行业的深入调研，H3C公司基于强大的技术实力和突出的方案整合能力，推出了面向广大网吧经营者的完整网吧解决方案，为网吧经营者提供了集经济和高效于一身的理想解决方案。通过对网吧业务和组网特征的深入研究，我们提出网吧网络的三层结构，通过三层结构中各自网络设备的相互配置来：图1 网吧经典三层结构图1. 广域网出口一般网吧采用路由器作为广域网出口设备，连接运营商的专线链路。目前运营商多提供10/100M的线路，可通过

5、光电转换器连接出口路由器，出口路由器对内通过以太网双绞线连接网吧核心交换机。出口路由器的选择一般参照转发流量等指标，针对不同类型的网吧的应用经验，H3C路由器专门针对网吧应用进行了软件优化和改进。针对不同规模的网吧，我们推荐相应的路由器型号：ER5200/3200、MSR 50-06等。2. 核心层核心交换机主要承担整个网吧高速数据转发功能。H3C设备针对不同的网吧业务类型，推出了完整的核心交换机优化方案。对于不同的网吧规模，对于差别迥异的网吧业务，我们推荐采用不同层次的以太网交换机作为网络核心，规模从大到小依次为S5500/S5000E/S5000P/S1200等。3. 接入层接入层设备用于

6、实现大量PC机的连接。对于电脑台数较多的的网吧，一般会把电脑划分为不同的区域，采用不同的接入交换机和电脑，以提供不同的服务，这样既满足不同顾客的需求，也提高了经营效益。H3C提供了业界最为丰富完善的以太网接入交换机产品系列。对于百兆到桌面区域推荐采用H3C S1026T/S1526/S1024R等以太网交换机；对于千兆到桌面的区域，推荐采用H3C S1200/S1200R全千兆系列交换机。2 网吧技术2.1 概念介绍网吧技术有更新快，软件种类丰富，流量密集，对时延、稳定性和安全性要求高等特点。但是万变不离其宗，只要掌握了网吧软件运行核心机制，合理定制网络设备，那么网络运行遇到的任何困难都可以迎

7、刃而解。我们以下从网吧的三层结构入手，介绍典型的网吧技术及其工作原理。2.22.2.1 负载均衡负载均衡是一种廉价有效透明的方法以扩展现有网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性的技术。负载均衡能力是区别于单WAN口宽带路由器的主要特征，也是考察多WAN口宽带路由器性能优劣的重要指标。根据策略的不同，负载均衡的实现也不同，不同于单WAN口宽带路由器，由于多WAN口的存在，如何分配各WAN口的数据流量成了多WAN口宽带路由器必须解决的问题，各种负载均衡策略也应运而生。不同的负载均衡策略的处理方式不一样，即使采用相同的硬件配置，如果采用不同的负载均衡策略，

8、在工作中整机的表现也会完全不一样，一般常用的负载均衡策略有对于内网IP、设备NAT、出口流量、带宽等关键参数设计和实现。2.2.2 路由策略传统的路由策略都是使用从路由协议派生出来的路由表，根据目的地址进行报文的转发。在这种机制下，路由器只能根据报文的目的地址为用户提供比较单一的路由方式，它更多的是解决网络数据的转发问题，而不能提供有差别的服务。基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力。基于策略的路由比传统路由控制能力更强，使用更灵活，它使网络管理者不仅能够根据目的地址，而且能够根据协议类型、报文大小、应用、IP源地址或者其它的策略来选择转发路径。策略可以

9、根据实际应用的需要进行定义来控制多个路由器之间的负载均衡、单一链路上报文转发的QoS或者满足某种特定需求。常见的路由策略有：基于源IP的策略路由，基于目的接口的策略路由，基于数据包大小的策略路由、基于应用的策略路由和基于默认路由的策略路由等。相对于单WAN口路由器，多WAN口路由器的路由策略选择更加灵活。2.32.3.1 网络克隆GHOST全称General Hardware Oriented Software Transfer，是Symantec公司出品的一款硬盘操作工具，目前国内网吧流行使用8.2或者8.3版本。GHOST可以采用网络方式进行一对多硬盘拷贝是其一大特色，网络拷贝的方式可以选

10、择：组播（默认方式）、广播或者单播。网吧可以使用该功能进行整个网吧电脑操作系统进行统一安装和维护。在网吧进行网络克隆时，需要在网卡上加装PXE启动芯片（PXE Boot ROM），进入纯DOS环境进行还原（GHOST已经可以支持在Windows环境下进行还原，但是如果需要还原系统盘，必须进入纯DOS状态）；对于某些型号的网卡，也可以将PXE启动代码（Boot Code）写入主板（例如目前流行的NF和945主板）的Flash ROM，支持主板集成网卡直接PXE启动。国内网吧最流行的网络克隆软件是MAXDOS。MAXDOS的原理是在Windows下把DOS的引导文件给加进去，并修改引导区，使引导区

11、出现进入DOS的选项。进入纯DOS环境后，首先查找并加载适合主机网卡的DOS驱动，随后调用GHOST主程序，进行网络克隆。MAXDOS软件核心程序仍为GHOST 8.2版本，目前新版本MAXDOS软件开始支持GHOST 8.3。另外一种网络克隆的方式是还原卡克隆，比如三茗克隆神将。在开机加载还原卡Boot Code后，可以进入还原卡自带的硬盘克隆程序，采用Server/Client构架，为选定为Server的硬盘数据向Client端进行快速分发。还原卡硬盘数据分发通常采用广播方式。2.3.2 英保通技术部分主板Flash ROM直接集成了硬盘数据分发工具，比如英特尔“英保通”技术。英特尔公司近

12、几年大力推行的英保通TM技术，根据国内网吧普遍存在的一些问题和技术难点，提出的全网解决方案。英保通Agent软件集成在Intel专用主板（目前华硕、精英也推出了支持英保通技术的主板）上的Flash Rom，客户端开机后，软件主动发出广播申请加入服务器管理域，服务器端可以选择是否接收客户端。当把客户端加入管理列表后，英保通系统采用单播方式的私有协议实现远程控制和资产管理功能；硬盘镜像和升级包部署功能，则是通过组播方式（默认方式，也可以选择单播或者广播方式）的私有协议实现，采用类似Server/Client构架。2.3.3 无盘启动无盘启动，在网吧行业也是一种不可忽视的技术。其特色就是客户端不要安

13、装物理硬盘，启动时统一调用服务器上的操作系统镜像，把网络当成客户端的逻辑硬盘。与有盘系统相比，无盘系统利于统一式管理和维护；部分无盘客户端的数据可以直接从服务器缓存中读取（比如魔兽世界切换地图），在一定程度上来说更加快捷方便；同时不需要考虑物理硬盘的消耗，为网吧节省了经营成本。目前市面上无盘启动系统非常多，各自都有自己的特色，比如BXP、上海网众NXD、上海锐起、EHD（阿尔派斯）、湖南明智等等。这些无盘操作系统在PXE引导阶段原理基本相同：BOOTP方式获得IP地址-TFTP协议传输NBP最小镜像文件-利用最小镜像启动部分服务-引导客户端连接服务器，读取操作系统镜像，放入客户端系统内存-客户

14、端无盘工作站启动。只是在处理客户端系统镜像、服务器磁盘管理和报文分发方面存在差异。由于无盘系统的实时性，对网络的报文转发速率、延时和丢包率均有较高要求，网络的质量对无盘系统的运行稳定性也有很大影响。2.3.4 虚拟磁盘虚拟磁盘技术，基本每个网吧都会使用。它将服务器的硬盘数据通过虚拟软件映射至客户机的逻辑盘符，实现远程共享。网吧的虚拟磁盘服务器通常存放大量不常用的游戏，节约客户机硬盘空间；同时逻辑映像盘不受读写限制，无论客户端怎么修改数据，重启后即还原，给网吧维护带来极大的便利。当客户端需要读取数据时，通过软件模拟的iSCSI协议复制虚拟盘数据，并绕过还原软件或者还原卡，存放到客户端的物理硬盘，

15、常见的虚拟软件有遥志iSCSI Cake、上海网众、上海锐起、网维大师等等。以上海网众NXD虚拟磁盘为例。NXD 幻想磁盘系统就是把常用的游戏放在客户端的小硬盘里面（这样大大降低服务器的压力，如果把游戏全部放在服务器上，可能造成网络短时间内拥塞，导致网络延时偏大，这个是局域网游戏的大忌），不常用的游戏放在服务器上做扩容用。协议原理：基于软件Initiator驱动程序的iSCSI Initiator 。服务器采用普通以太网卡来进行网络连接，通过运行上层软件来实现iSCSI和TCP/IP协议栈功能层。这种方式只需要采用普通以太网网卡，就可以实现iSCSI传输，在一定程度上提高了文件复制速率。2.3

16、.5 同步更新网吧通常需要在客户端安装大量网络游戏，而网络游戏的更新速度极快，难道每个游戏更新后都需要在客户端执行手动更新？这时就要用到游戏更新软件。通常游戏更新软件都是采用同步对比更新的方法，其原理是客户端从服务器获得文件的MD5值列表，里面包含所有最新文件的MD5值。在对比服务器和客户端本地文件列表MD5值的差异后，与客户端本地文件不同或者本地文件根本不存在，则从服务器下载该文件。常用的游戏同步更新软件有迅闪、网维大师、网吧点点通、网吧同步更新专家等等。这些同步更新软件，对比更新的原理基本相同，只是在界面和从服务器获取文件的方式略有不同。2.3.6 硬盘保护与还原穿透由于网吧顾客参差不齐，

17、客户端电脑数据必须进行保护，以免造成系统崩溃或者被人植入恶意代码。通常的做法是安装还原卡或者还原软件，当客户端电脑启动时，还原卡和还原软件会抢先夺取引导权，将原来的0头0道1扇保存在一个其他的扇区（具体备份到哪个扇区是不一定的），将自己的代码写入0头0道1扇，从而能在操作系统之前得到执行权，这一点类似于引导型病毒。然后，还原软件把中断向量表中的INT13H入口地址保存。把自己用于代替INT13H的代码常驻内存，并将中断向量表中INT13H的入口地址改为这段常驻程序的入口地址。补充一点，虚拟还原软件在修改INT13H的入口后往往都会修改一些其他中断入口，当然也是通过常驻程序来实现的，这些中断用来

18、实现对中断向量表中INT13H入口地址监控，一旦发现被修改，就马上把它改回，这样做同样是用来防止被有心人破解；同时，虚拟还原软件还需要备份INT 70H，71H中的内容，防止BIOS被修改。常用的还原卡有三茗、小哨兵等等；常用的虚拟还原软件有还原精灵、冰点还原等等。当客户端电脑启动后，还原软件对硬盘进行的读写操作进行记录，并在电脑重启后还原这些操作，保证数据安全。当然，严格的硬盘保护也会带来一些使用上的不方便，比如同步更新的数据每次重启后都会被还原。这时，软件开发人员想到了还原穿透技术。同步对比更新软件与还原技术相互配合，将由同步更新的数据通过指定的接口，绕过还原软件，写入客户端硬盘，以达到还

19、原穿透的目的。2.3.7 流量监控与信息过滤流量监控和信息过滤软件是公安部及文化部要求网吧必须安装的软件。常见的如过滤王、信息卫士、任子行等等。流量监控软件主要负责对通过网关的报文进行分析和过滤。一方面，将分析结果上传到公安局的管理服务器，以达到公安部门对互联网信息监控和安全管理的目的；另外一方面，配合信息过滤软件阻止非法信息访问。从总体上来说，监控软件的工作原理相同，均需要核心交换机实现端口镜像，把核心交换机与网关（比如路由器）之间的出入端口报文镜像到监控主机的端口，由监控主机上的Wincap和上层协议分析软件处理后，把系统日志统一发送到远端的公安局监控管理服务器。信息过滤软件阻止客户端访问

20、非法信息，则是通过对监控软件截获的HTTP报文（明文）进行内容分析和过滤，如果发现含有非法字段的网页，则根据TCP的序列号冒充远端服务器向客户端发送关闭连接的报文（TCP RST报文），实现非法信息过滤。2.42.4.1 攻击防护Internet网络病毒泛滥和恶意攻击屡禁不止是不争的事实，网吧作为小型公共网络中心，对病毒和各种网络攻击的防护也是刻不容缓。网吧常见的攻击方式有蠕虫病毒、ARP欺骗攻击和DOS攻击。蠕虫病毒是一类复制和传播能力很强的病毒。当蠕虫软件侵入网吧内一个主机并开始运行时，它随机选取一段IP地址，然后发出大量扫描包对这一地址段上的主机扫描，从中寻找有漏洞的主机。每发现一个目标

21、，就立即入侵该主机。当网吧内大量主机感染蠕虫病毒后，扫描包会占用大量网络带宽，造成网速大幅度下降和运行不稳定现象。ARP欺骗攻击通常将执行脚本隐藏在网页中，当用户访问时下载到网吧内部客户端电脑后台自动执行。一方面，病毒对局域网进行扫描，伪称自己是真实的网关；另一方面，欺骗网关，冒充其他客户端的IP地址。ARP欺骗是一种典型的“中间人”攻击，目的是从监听的流量中窃取密码等敏感信息。除造成用户信息泄密外，由于ARP表震荡和网吧外部访问流量较大等原因，ARP欺骗攻击容易引起网吧频繁掉线等故障。DOS是拒绝服务攻击的简称，这种恶意攻击的执行方式很多。比如SYN Flood攻击，网吧客户端执行该脚本后，

22、会并发目的IP地址并不存在的TCP连接，占用大量路由器NAT表项，最终引起路由器负荷过高或者NAT条目不够，造成网吧断网。2.4.2 端口绑定出于安全性和管理方便的考虑，网吧一般需要将客户端的静态MAC、IP地址和接入交换机的端口实现绑定。一方面，当网络出现异常时，可以快速确认故障点，协助定位问题；另一方面，对于非绑定主机，限制或者禁止其访问网络的权力，以免出现人为的内网攻击或者非法侵入。此外，实现绑定的端口可以配合交换机ACL安全策略，实现内网攻击防护；针对指定端口、IP或者MAC地址，甚至指定业务流，进行速率限制等等。3 H3C设备技术实现3.1凭借H3C公司多年网络产品研发的经验，和长期

23、对网吧技术发展的观察理解，H3C网络设备近几年迅速在国内网吧业界，形成了自己的品牌及技术优势。在路由器和交换机的产品开发上，我司专门针对网吧现有技术进行设备功能优化，不仅支持常见的双WAN负载均衡、路由策略配置、端口镜像（Port Mirror）、广播风暴抑制、端口限速等功能，还推出了诸如应用QOS、状态检测、流量控制开关、网吧专区、安全专区、PVLAN等特殊功能。3.2 特殊功能介绍3.2.1 应用QOS网络中的业务流根据可靠性要求和时延性要求可以分为三类。第一类是对可靠性、延时要求比较高，对带宽要求比较低的，如控制报文，游戏报文；第二类是对可靠性、延时要求比较低，对带宽要求比较高的，如下载

24、报文；第三类是普通报文。对于不同类别的报文规定不同的优先级进行转发，这样当通过设备的数据流拥塞时，设备会根据预先设定的规则，对通过设备的数据流进行分类、整形和调度，转发优先级高的报文，限制优先级低的报文。ER5200/3260提供IP限速、NAT限制和应用通道限制等QOS功能，网吧管理者可以根据出口的实际带宽和网络中的具体业务进行设置，从而保证游戏等重要性业务数据流，限制BT/FTP等业务数据流。3.2.2 状态检测线路检测的目的是为了监控当前设备工作的WAN接口运行状态，当检测到设备的某一WAN接口运行异常（端口异常、线路异常等）时，就会触发检测失败的处理机制。通过线路检测机制，可实现对多个

25、WAN接口状态的实时监控，并根据WAN接口状态的变化更改当前的业务流和路由策略。在多WAN模块常见的线路检测的方式有以下几种：ARP请求，PING网关、DNS请求、NTP请求等。ER5200/3260设备的线路检测业务有PING网关、PING固定IP，DNS请求和NTP请求；通过线路检测功能，网吧管理者可以实时监控WAN接口运行状态、快速定位线路故障。3.2.3 流量控制开关流量控制（Flow Control，以下简称流控）是交换机常用的一种端口拥塞避免方式。IEEE 802.3X协议规定，当报文发送端口的传输速率大于接收端口的传输速率时，接收端口拥塞可能导致报文丢失。当开启端口流控功能后，接

26、收端口可以采用PAUSE帧或者背压（Back Pressure）方式通知发送端口适当降低发送速率，以达到拥塞避免的目的。网吧服务器通常采用性能较强的千兆网卡，而当客户端采用百兆网卡或者性能较弱的千兆网卡时，如果网络设备不支持流控功能，那么很可能引起报文丢失，导致报文重传。在顾客看来，就是英保通硬盘部署速率不稳定、无盘启动速度很慢、局域网游戏很卡或者游戏更新速度很慢等等情况。而采用GHOST进行网络克隆时，如果网络设备开启了流控功能，那么如果网络中存在一个低速端口，会导致所有GHOST客户端的接收速率全部变慢。比如在全千兆网吧运行MAXDOS进行硬盘克隆，由于路由器端口通常为百兆，或者交换机上连

27、接了1个10兆HUB，会导致整体网络克隆速率很慢。H3C S1224/S1224R/S1026T等无管理交换机，在前面板右下角具备H3C独创的流量控制拨码开关（已申请通信技术发明专利）。网吧业主可以根据运行实际业务的情况来控制交换机端口流控的开启或者关闭，非常方便。图2 H3C S1224R交换机前面板示意图& 说明： 无管理交换机的流控开关通过硬件置位实现。拨动开关后，交换机必须下电重启才能使配置生效。 有管理交换机的端口流控，可以进入CLI命令行或者WEB网页执行设定。3.2.4 网吧专区网吧专区是H3C WEB网管系统特有的一项功能。网吧业主只需要根据页面提示，按照实际业务情况填入端口号

28、，H3C WEB网管系统就能够自动进行交换机端口设置。不但让普通网络管理人员即可对交换机进行快速配置，而且可以避免因为交换机配置错误，导致业务运行问题。H3C S5000E WEB网管支持此项特性。图3 网吧专区设置页面 在网吧专区配置完成后，请运行智能端口检查，查看当前配置是否存在问题。 请务必确认实际连接端口与设置端口状态相同，否则可能造成业务运行异常。 网吧专区的详细设置方法，请参考用户说明书，或者拨打400热线进行咨询。3.2.5 安全专区安全专区是H3C WEB网管系统特有的一项功能。普通网络管理人员只需要按照安全专区提示，将三元绑定表（MAC、IP和PORT绑定）填写完整，即可以实

29、现端口绑定和对ARP欺骗攻击的有效防护。防蠕虫病毒攻击和防DOS攻击开启后，通过自动配置端口ACL策略实现防护，省心省力。此外，安全专区的策略还可以通过配置脚本进行导入导出，网吧业主可以从H3C网站下载到最新的安全专区配置脚本，实现对流行病毒的实时防护。图4 安全专区设置页面说明： 防ARP欺骗功能中，建议将网关设置为ARP信任端口。报文统计功能主要用于统计与三元绑定规则不符的ARP报文，仅供参考。 禁止在设置为路由器的端口添加三元绑定，否则可能造成全网断线。 防蠕虫或者防DOS攻击策略，可能引起部分网络业务运行异常，请谨慎使用。 安全专区的详细设置方法，请参考用户说明书，或者拨打400热线进行咨询。3.2.6 PVLANPort Based VLAN（简称PVLAN）是一种基于端口的VLAN划分方式。网吧可以采用PVLAN将服务器和网关统一划分在公共端口区域，而把客户端电脑划分到独立的PVLAN内进行隔离。或者部分网吧同时使用有盘和无盘客户端，需要PVLAN将有盘区域和无盘区域的电脑进行划分，保证双方不会相互影响，而又可以访问相同的服务器和网关。PVLAN划分实现简单，不会把报文加上VLAN TAG进行处理；而且客户端电脑之间相互隔离，有效解决局