知名网吧专业技术白皮书
目录1网吧基本需求...31.1防ARP攻击...31.2BT、迅雷限制...31.3多线路ISP接入...41.4防NAT表、路由表、异常流量攻击...42有盘+Ghost网吧组网方案...52.1组网图...52.2配置步骤...53H3C无盘网吧三层组网方案...63.1组网图...63.2配置步骤...74H3C无盘网吧二层组网方案...74.1组网图...74.2配置步骤...75H3C产品推荐...86网吧技术...96.1负载均衡...96.2路由策略...96.3Ghost网络克隆...106.4英保通技术...116.5无盘启动...116.6游戏更新-对比更新技术...116.7游戏更新-只读更新技术...126.8游戏更新-虚拟磁盘技术...136.9游戏更新-对等乱序更新、基于文件快照技术...136.10游戏更新-穿透还原保护技术...146.11游戏服务器同步更新...146.12硬盘保护与还原穿透...156.13流量监控与信息过滤...156.14ARP攻击防护...166.15端口绑定...167ER系列路由器配置说明...177.1上网设置...177.1.1WAN设置-连接到因特网...177.1.2LAN设置-局域网设置...187.2QoS限速...187.2.1高级设置-QoS设置-IP流量限制...197.2.2高级设置-QoS设置-网络连接限数...207.3安全专区...207.3.1安全专区-ARP防攻击-IP/MAC表...217.3.2安全专区-ARP防攻击-防ARP攻击...217.4内网流量监控...227.4.1系统状态-运行信息-流量统计...227.5版本升级和版本回退...227.6密码恢复...237.7版本获取...238H3C网吧交换机配置说明...238.1端口镜像（公安局监控）...238.2端口流控（无盘或Ghost网刻）...248.3链路聚合（无盘）...258.3.1选择链路聚合算法...258.3.2创建链路聚合组...259网吧常见问题（FAQ）...26
1网吧基本需求
1.1防ARP攻击
ARP攻击原理：1、PC上指向网关的ARP表项被修改，导致PC到Internet的数据不能被转发到PC网关；2、PC网关的ARP表项被修改，PC网关不能将报文发送相应PC，导致该PC掉线；网吧内如果出现部分PC掉线，首先需要排除是否受到了ARP攻击。ARP攻击判别方法：1、从掉线PC上Ping设备网关，如是ARP攻击引起的，则不通；2、在掉线PC上用arp–a查看PC上指向网关的ARP表项是否正确，如不正确，则说明PC上的ARP被修改，只要在PC上使用静态ARP就行了；3、如果PC上ARP表项正常，但还是不通，登陆到路由器，查看路由器的IP/MAC绑定表是否已经启用，如果启用，检查该PC的IP和MAC是否在绑定表中，如果不在，添加一条记录或取消绑定可解决。如果在绑定表中，则另外有其他原因。【ARP攻击解决方案】：目前成熟的解决方案是通过ARP双向绑定来实现的，即分别在PC和出口路由器上分别绑定对方的IP<—MAC地址，来达到防范ARP的目的。配置如下：1、ER路由器上采用导入IP/MAC绑定表，则IPMAC绑定的PC静态生成ARP表项，同时并选择“仅允许IP/MAC绑定的客户端访问外网”使设备不能动态学习ARP表，从而彻底防止ARP攻击。2、PC上用静态ARP表项绑定网关来防止ARP攻击。
1.2BT、迅雷限制
网吧应用中，P2P电影、BT、迅雷等点对点、多线程业务，对带宽占用很大，实际中常常会出现某几台PC在下载而导致整个网吧速率下降。通过QoS限速，可有效限制P2P电影、BT、迅雷对带宽的占用，保证网吧中其他业务的稳定运行。IP流量限速值设置过大，会导致点对点、多线程业务对带宽占用过多；IP流量限速值设置过小，会影响用户上网速率。因此对于不同出口带宽的网吧，我们建议如下：
网吧出口带宽
推荐的上行限速值
推荐的下行限速值
以上推荐值仅作为参考。实际配置时可参考当地其他网吧的配置值。
1.3多线路ISP接入
配置多WAN前，必须先了解网吧接入多条线路的目的：1、如果是为了实现电信走电信，网通走网通。推荐使用手工负载均衡；2、如果网吧两条链路，其中有一条线路采用计费上网，此时可推荐使用主备模式。ER系列路由器多WAN模式说明：主备模式：同一时刻只有一条线路正常工作。缺省下只使用主链路转发数据，当主链路出现异常时，所有的数据都自动切换到备份链路上；当设备检测到主链路恢复正常后，备份链路的数据又会自动切换回主链路。注意：只有当启用多WAN线路检测功能，设备才会自动切换链路上的数据。智能负载均衡模式：如果在设备上导入了电信网通路由表，则报文优先按照电信网通路由表转发；如果数据包没有匹配到（电信网通）路由表，则自动根据WAN的带宽比例来转发；当设备检测到某一条链路出现异常时，该链路上所有数据会被自动切换到另一条链路上，当该链路恢复后，数据又会自动切换回该链路上。注意：只有当启用多WAN线路检测功能，设备才会自动切换链路上的数据。