H3CER6300千兆路由器网吧典型组网方案配置指导.doc

H3C ER6300千兆路由器网吧典型组网方案配置指导 1 网吧基本需求... 3 1.1 网吧需求1：防ARP攻击.. 3 1.2 网吧需求2：防BT（P2P）、迅雷过多占用带宽.. 3 1.3 网吧需求3：多WAN模式选择.. 4 1.4 网吧需求4：防NAT攻击、路由攻击、异常流量.. 5 2 网吧常用业务介绍... 6 2.1 负载均衡.. 6 2.2 路由策略.. 6 2.3 Ghost网络克隆.. 6 2.4 英保通技术.. 7 2.5 无盘启动.. 7 2.6 游戏更新—对比更新技术.. 8 2.7 游戏更新—只读更新技术.. 8 2.8 游戏更新—虚拟磁盘技术.. 9 2.9 游戏更新—对等乱序更新、基于文件快照技术.. 9 2.10 游戏更新—穿透还原保护技术.. 9 2.11 游戏服务器同步更新.. 10 2.12 硬盘保护与还原穿透.. 10 2.13 流量监控与信息过滤.. 11 2.14 ARP攻击防护.. 11 2.15 端口绑定.. 11 3 网吧常用方案介绍... 12 3.1 H3C有盘+Ghost网吧组网方案.. 12 3.1.1 组网图.. 12 3.1.2 配置步骤.. 12 3.2 H3C无盘网吧三层组网方案.. 13 3.2.1 组网图.. 13 3.2.2 配置步骤.. 13 3.3 H3C无盘网吧二层组网方案.. 14 3.3.1 组网图.. 14 3.3.2 配置步骤.. 14 4 H3C推荐的网吧组网产品... 16 5 详细配置介绍... 18 5.1 ER路由器上的配置.. 18 5.1.1 上网设置.. 18 5.1.2 QoS设置.. 19 5.1.3 防ARP攻击设置.. 20 5.2 交换机上的配置.. 21 5.2.1 端口流控设置.. 21 5.2.2 端口镜像设置.. 21 5.2.3 四元绑定设置（S5000E系列或S5028）.. 21 5.2.4 端口汇聚设置.. 25 6 常见问题解答... 26 6.1 网吧的掉线主要有哪几类？.. 26 6.2 网吧突发性掉线问题怎么办？.. 26 6.3 如何将AR的静态ARP表项转换导入到ER的IP/MAC绑定表？.. 26 6.4 如何将AR的路由表转换导入到ER的负载均衡表？.. 27 6.5 由于IP/MAC绑定错误，导致用户不能上网或无法访问设备时如何处理？.. 27 6.6 为什么会出现“重复登陆.已登陆x.x.x.x，请确保没有其他人在登陆”提示，如何解决？.. 27 6.7 智能均衡模式与手工均衡模式有什么区别？.. 28 6.8 主备模式与均衡模式有什么区别？.. 28 6.9 如何查看系统资源使用情况？.. 28 6.10 W1、W2指示灯的含义？.. 29 6.11 管理密码丢失怎么办？.. 29  1 网吧基本需求 1.1? 网吧需求1：防ARP攻击 通常情况下，网吧掉线大部分是由于ARP攻击引起的。用某网管的话说，要让网吧稳定很简单，只要让PC和路由器上都用静态ARP。虽然说是ARP攻击，但实际上大部分ARP攻击并不是恶意的。网上对于ARP攻击的产生是这样描述的： 现在网吧很多网络游戏都有外挂，但很多外挂中都有病毒。这些病毒通过发送免费ARP报文，让局域网中所有的IP都指向本地PC，以此来获得局域网中所有的数据包，然后分析数据包，将网游的账号提取出来发送给木马作者。 ARP攻击的原理如下： ?????????????? PC上指向网关的ARP表项被修改，导致PC到Internet的数据不能被转发到PC网关； ?????????????? PC网关的ARP表项被修改，PC网关不能将报文发送到相应的PC，导致该PC掉线； ARP攻击判断方法：网吧内出现部分掉线，首先要判断的是不是受到的ARP攻击。步骤如下： (1)??????? 从掉线PC上Ping设备网关，如果是ARP攻击引起的，则不通； (2)??????? 在掉线PC上通过使用“arp–a”命令查看PC上指向网关的ARP表项是否正确。如不正确，说明PC上的ARP表项已被修改，只要在PC上使用静态ARP就行了； (3)??????? 如果PC上的ARP表项正常，但仍然不通。您需登陆到路由器，查看路由器的IP/MAC绑定表是否已经启用。如果启用，请检查该PC的IP和MAC是否在绑定表中，若不存在，添加一条记录或取消绑定可解决；若存在，则可能另有其他原因。 【ARP攻击解决方案】： 目前成熟的解决方案是通过ARP双向绑定来实现的，即分别在PC和出口路由器上分别绑定对方的IP—MAC地址，来达到防范ARP的目的。ER路由器上采用导入IP/MAC绑定表，并选择“仅允许IP/MAC绑定的客户端访问外网”来防止ARP攻击，PC上用静态ARP表项