网络附件3ICG网关网吧开局注意及典型配置.docx

1、网络附件网络附件 3ICG 网关网吧开局注意及典型配置网关网吧开局注意及典型配置 华三通信技术有限公司 解决方案名称 密级 ICG网关-网吧开局注意及典型配置 内部公开 解决方案版本：V1.01 共 14页 ICG网关-网吧开局注意及典型配置 (仅供内部使用)拟制：尹周梁 日期：2008-2-27 评审：石冬雪/陈小杰/邓云辉/郭新峰 日期：2008-2-27 批准：邓云辉 日期：2008-3-1 签发：顾文良 日期：2008-3-1 华三通信技术有限公司 版权所有 XX 修订记录 日期 修订版本 CR号 章节 修改描述 作者 2008-2-27 1.00 初稿完成 尹周梁 2008-2-27

2、 1.01 根据陈小杰、石冬雪意见修改 尹周梁 2008-3-4 1.02 根据邓云辉意见修改 尹周梁 【摘 要】开局过程可分三个阶段：开局前准备，网络设备升级，设备稳定运行。分析目前常见的网上问题，我们发现其中的大部分问题，都是由于开局前准备不充分导致的。常见的问题有：1 MAC 地址未克隆导致更换设备后，网络不能正常运行。2 ARP（IP/MAC）未做双向绑定，导致网络运行过程中，有部分 PC 受到 ARP攻击掉线。3 QoS 流量限速和 NAT表项限制未启用，从而使部分 PC 可以过多占用网吧带宽，导致网吧部分游戏频繁掉线。网络升级通常分为两种情况，一为升级现有网络设备，一为铺设新网络。

3、本文以原有网络设备升级为例，对升级过程中需要特别注意的点进行详细说明，希望大家在升级网络中能避免不必要的错误产生。本文主要说明了 ER 在网吧应用时的必要配置及配置方法。【关键词说明】【关键词说明】必要配置、MAC 克隆、IPMAC 绑定、IP 流量限制、NAT表项限制【正文】【正文】1 开局前检查必要配置是否已经启用开局前检查必要配置是否已经启用 升级现有网络设备过程中，如果准备充分，设备切换一般可以在 1 分种内完成；但如果配置有漏，就很可能会导致整个网络或部分 PC 不稳定，面对网吧不能正常运行的压力，你会很被动。因此，我们在切换设备前，一定要先检查配置，保证所有的必要配置项都已启用。1

4、.1 切换设备前必须检查的配置项切换设备前必须检查的配置项 a.设备 LAN的 MAC 地址和原有设备一致；b.设备 WAN的 MAC 地址和原有设备一致；c.启用双向 ARP 绑定，以防止 ARP 攻击；d.IP 流量限制已启用；e.NAT表项限制已启用；f.（如果是双线接入）配置双 WAN，实现流量均衡或线路备份。2 如何更改如何更改 LAN、WAN 的的 MAC 地址地址 2.1 更改更改 LAN MAC 地址（地址（“LAN MAC 克隆克隆”）一般情况下，更换网关设备后，由于 PC 网关的 MAC 地址发生变化，PC 会因为ARP 表项振荡而出现短暂的无法上网的现象（5 分钟左右，重

5、启 PC或禁用启用 PC 网卡可立即恢复）；ER 上，通过 LAN的 MAC 地址克隆可以避免 ARP 振荡的发生，无需在 PC 做任何操作，切换可以瞬间完成。注：如果部分 PC 由于操作系统原因不能正常访问外网，需手动重新启动 PC。通过以下页面可更改设备 LAN的 MAC 地址：2.2 更改更改 WAN MAC 地址（地址（“WAN MAC 克隆克隆”）目前很多地区的电信网关，都做了 IP/MAC 绑定或设置了防火墙，如果报文的MAC 地址或 IP 地址与电信绑定的地址不匹配，会被丢弃。因此为了避免不必要的掉线发生，我们在升级设备前一定要检查 WAN的 MAC 地址是否和原来设备一致。如果

6、电信分配了多个 IP 地址，强烈建议使用原来设备上的 IP 地址。通过以下页面可以修改设备 WAN的 MAC 地址：3 如何配置如何配置 IPMAC 绑定，防止绑定，防止 ARP 攻击引起网络掉线攻击引起网络掉线 IPMAC 的配置是否有错误或遗漏，都将给 ARP 攻击有可乘之机，从而导致网吧 PC 出现导网络不稳定或掉线现象。双向 ARP 绑定将有效防止网吧受到 ARP 攻击。双向 ARP 绑定即：在 ICG网关上配置 IPMAC 绑定，防止非法 ARP 攻击网关的 ARP 表项；在 PC 上配置静态 ARP 表项，防止 PC 的 ARP 表项受到攻击。注：ICG网关的 IPMAC 原理。当

7、配置 IPMAC 绑定表后，设备会自动生成静态ARP 表项，以防止这些 ARP 表项被非法的 ARP 报文修改。如果同时启用了“仅允许绑定的客户端访问外网”，路由器将对 ARP 报文验证，丢弃不符合 IPMAC 绑定表的 ARP请求，以防止 ARP 攻击。3.1 ICG 网关防网关防 ARP 攻击配置攻击配置 3.1.1 生成生成 IPMAC 绑定表绑定表 如果网吧以前没有作 IPMAC 绑定，那我们首先要收集 IPMAC 绑定表，可用工具“MacScan.exe-MAC 地址扫描器”（见附件）来收集：打开 MacScan.exe，输入要扫描的内网 IP 范围，点击按钮。程序自动对该 IP 范

8、围内的电脑进行扫描，并将扫描到的 IP 和 MAC 地址信息显示在界面上，同时在程序目录下生成 ArpList.ini 文件，将 ArpList.ini 文件中的 IPMAC 格式转换成适用于 ER 的格式即可。如果以前网吧做过 IPMAC 绑定，则也可以从原来设备上导出 IPMAC 后，再转换成适用于 ER 的格式。ER 的 IPMAC 的格式如下：通过 Excel 可以比较方便地转换 IPMAC 绑定表格式，下面是将 AR 上的静态ARP 表项转换为 IPMAC 绑定表的一个例子：3.1.2 导入导入 IPMAC 绑定表绑定表 3.1.3 启用防启用防 ARP攻击攻击 启用“仅允许 IP/

9、MAC 绑定的客户端访问外网”后，设备对 LAN内所有 PC 的防ARP 攻击生效，否则，设备仅对满足 IPMAC 绑定表中 PC 的防 ARP攻击生效 3.1.4 维护维护 IPMAC 绑定表绑定表 可以在 IPMAC 绑定页面，通过手工添加、删除、编辑来维护 IPMAC 绑定表项。注意：在维护 IPMAC 绑定表项过程中，建议不要取消 IP/MAC 绑定中“只允许绑定用户上网”，否则，对于不满足 IPMAC 绑定表中的 PC 就有可能会收到 ARP 攻击。3.2 PC 上防上防 ARP 攻击配置攻击配置 当前网上有很多可免费下载的 ARP 防攻击工具，下面以 BindArp.exe为例，介

10、绍如何在 PC 上使用该工具来防 ARP 攻击。BindArp.exe通过扫描发现内网电脑的 IP 和 MAC 地址，并自动生成 arp绑定脚本，只需拷贝到各台电脑上做成启动脚本就可实现 IP、MAC 地址静态绑定。同时提供全能绑定程序，可对 windows 98 以上所有操作系统做 IP、MAC 地址绑定。操作步骤：1 先运行 MAC 扫描工具“MacScan.exe”，扫描完成后关闭该扫描工具，此时扫描结果将自动被保存到同目录下的 BindArp.bat 和 ArpList.ini 文件中。（这两个文件都可以用文档直接打开编辑）2 打开 ARP 绑定程序 BindArp.exe，此时扫描到

11、的 IP 已全在绑定程序中：3 查看绑定程序中是否已包含了所有的 IP 地址，如没有，就需要手工添加。4 添加完成后，需再次运行“MacScan.exe”，确保网吧内所有的 PC 已保存在BindArp.bat 和 ArpList.ini 文件中。5 修改注册表，将 BindArp.bat 设置为开机自动运行：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 新建“字符串”值：C:Documents and Settingsy05979桌面ARP 防攻击BindArpBindArp.bat（该文件的绝对路径）4 如何配置如何

12、配置 QoS 策略，防止流量拥塞、路由攻击、策略，防止流量拥塞、路由攻击、NAT 表表攻击引起网络掉线攻击引起网络掉线 目前 ER 上的 QoS 功能实现了 IP 流量限制和 NAT数限制，这里先举个例子，先说明为什么网吧里必须配置 IP 流量限制和 NAT 数限制，在低带宽下建议配置应用通道管理功能：例一：现象 重庆某网吧，10M 电信+10M 网通带宽接入，下挂 360台 PC，IP 流量限制为上行 100KB，下行 150KB，网吧经常出现网游卡，部分 PC 掉线问题。原因定位 分析近几天流量（可通过 QoS 流量统计来关注），该网吧正常情况下（没有 BT、在线电影等业务时）流量并不高，

13、360个人之中，最多只有 15个人是需要高带宽的（他在使用 BT、迅雷下载，或看在线电影），其他的 345个人平时使用的带宽不到 30K，且很大一部分是 1-10K。当带宽限制为 150K 下行，当那 15个人用尽他们的带宽时，将需要总带宽 18M（150KB*8Kbit/B*15），在目前 10M 的带宽下，就会出现游戏卡的现象。这是最初设置的带宽的结果：晚上带宽消耗高峰期，玩游戏较卡。当带宽限制为下行 50K时，还是 15个人用尽 50K，只会消耗掉 6M 的带宽。剩余 4M，完全可满足所有人玩游戏不会卡。解决方法 修改 IP 流量限制为上行 40KB/s，下行 50KB/s 后，允许每

14、IP 通道借用空闲的带宽。或者 配置应用通道中的绿色通道和限制通道，限制通道的带宽为 6M，绿色通道的带宽为 3M。从目前的网络现状看，部分地区由于出口带宽较少，网吧只能申请到 10M 的出口带宽，导致如果没有设置合理的 QoS 策略，网吧很容易出现由于流量拥塞而引起掉线。通过 IP 流量限制和 NAT表项限制，可以防止某些 PC 过多占用网吧带宽以及某些应用过多生成连接，多而提高网络整体质量。QoS 策略的配置很灵活，要得到最优的配置策略，我们不仅要考虑到网吧的实际带宽、实际的带机量，还需要了解网吧的实时的业务流量大小。下面是根据我们的经验，对不同规模的网吧给出的 QoS 策略的推荐值：IP

15、 流量限速（对于 100PCs-200PCs 的网吧）：启用“允许每 IP 通道借用空闲的带宽”接入总带宽 上行速率限制（KB/s）下行速率限制（KB/s）小于 10M 40 KB/s 50 KB/s 10M 到 20M 40KB/s 50KB/s 20M 到 50M 40KB/s 70KB/s 50M 到 100M 70KB/s 100KB/s 大于 100M 100KB/s 400KB/s NAT表项限制，推荐值：300。根据实际流量情况，可在 300500之间调整。应用通道中绿色通道的带宽和限制通道的带宽和应小于设备的总出口带宽，否则规则不能生效。4.1 IP 流量限制配置界面流量限制配

16、置界面 4.2 NAT 数限制配置界面数限制配置界面 4.3 应用通道管理界面应用通道管理界面 应用通道管理：主要应用在总出口带宽小的场景，通过启用限制通道和绿色通道来实现数据转发；当网络拥塞时，优先转发绿色通道的数据（如 TCP 控制报文、游戏报文），优先丢弃限制通道的报文（如 BT下载）。5 如何配置路由策略，充分合理利用双如何配置路由策略，充分合理利用双 WAN 带宽带宽 对于双线接入的网吧，可通过配置均衡路由，可以对网吧的流量进行分流，这里推荐的分流策略有：2、电信单线路。只需配置接入方式，无需配置路由策略。3、电信双线路（主备模式）。配置 WAN1 和 WAN2 的接入方式，选择主备

17、模式并指定主链路（一般为带宽大的线路）。4、电信双线路（上网+专线）。配置 WAN1 和 WAN2 的接入方式，推荐使用手动负载均衡，将专线服务器的路由导入到负载均衡表中。下面对分流策略下的配置作详细说明：（推荐选择带宽高的线路作为缺省链路，此处假设置 WAN1 带宽大于 WAN2 带宽）a.选择“手动负载均衡”，配置 WAN1 和 WAN2 接入方式；b.选择 WAN1 作为缺省链路；c.编辑、导入负载均衡路由表（专线上服务器的路由表）；d.开启 WAN检测功能；（同时启用 Ping检测和 DNS 检测）5.1 设置多设置多 WAN 模式和默认链路模式和默认链路 5.2 导入负载均衡路由表（导入负载均衡路由表（“WAN 设置设置”-“连接到因特网连接到因特网”页面）页面）6 附件附件 6.1 PC 上上 ARP 防攻击工具防攻击工具