网络工程实践网吧设计

网络工程实践网吧设计内容摘要：

电脑最小的存储单位是字节 ,而一个字节是由八个二进制的位组成的。 网络速度的单位是比特率 bps,意思是比特位每秒。 对于网络速度来说 ,1Mbps=1024Kbps,而存在单位的 1MB=1024KB。 正是由于单位的不同 ,网络接入带宽的实际值并不等于网络的理论下载速度 ,网络的理论下载速度是由网络速度的理论值 ,除以 8得到的。 因此 ,一家使用 100Mb 宽带接入的 网吧 ,实际的下载速度仅仅可以维持在 11MB 左右。 网络总体 规划 1． 网络接入层设计 网吧的网络接入层 ,除要考虑网吧使用何种网络接入方式外 ,还要考虑选择何种网络接入设备。 在部分地区 ,电信运营商一般会提供路由器等网络接入设备 ,建议网吧技术人员根据自己的网吧的实际情况 ,确定是否使用电信运营商提供的免费设备。 按照笔者的经验 ,电信运营商提供的路由器接入设备 ,一般都无法满足网吧的需要 ,建议网吧另行购买。 电信运营商赠送网络接入设备 ,只是吸引用户的一大卖点而已。 2． 网络汇聚层设计 汇聚层是整个局域网的核心部分 ,一些 网吧在内部建立了在线电影点播和CS 游戏服务器 ,使得网吧内部的数据交换量特别大 ,因此 ,我们在选择汇聚层设备的时候 ,一定要选择一款合适的汇聚层网络设备。 网吧局域网内部数据 ,全部在汇聚层的交换机处进行数据交换 ,因此我们汇聚层的核心交换机 ,必须具备高强度的稳定性 ,以及快速的数据转发能力。 对于数量超过两百台机器的网吧 ,可以选择具备网管功能的的三层交换设备 ,支持 VLAN 功能是首选。 当网络容量达到一定规模后 ,为人保障网络的通畅 ,我们必须划分 VLAN。 能够衡量交换机性能的指标就是背板带宽 ,对于安置在数据汇聚层的三层交换机来 说 ,背板带宽不能低于 16G,而且要支持 MAC 地址学习功能 ,MAC 地址表不能小于 32KB。 汇聚层网络设备最好支持网络管理功能 ,方便我们的管理和维护。 汇聚层网络设备的端口数量 ,最好要比我们设备的网络端口数量多出一些 ,方便以后我们的网络升级和改造。 10 3． 网络交换层设计 交换层是整个网络中的中间层 ,连接着汇聚层和网络节点 ,是决定我们整体网络传输质量的很重要的一个环节。 随着百兆网络设备的普及 ,我们交换层的网络设备 ,肯定首选百兆。 虽然现在已经提出了千兆网络传输概念 ,但对于网吧来说 ,目前普及千兆并无实际意义。 真正的千兆网 络 ,无论是作为网络传输介质的网线 ,还是网络设备 ,与百兆网络的成本相比 ,都要高出数倍 ,而且网吧目前的技术力量 ,无法独立完成千兆网络的设计与维护工作。 最重要的一点是 ,网吧内部数量流量 ,百兆已经满足需求。 对于交换层的网络设备 ,只需要采购真正全双工的普通交换机就可以了。 交换层的交换机 ,直接与 PC 相连 ,因此不需要太多的功能 ,交换机只要转发率足够快就可以了。 目前市场上的售价千元左右的交换机 ,都可以满足网络交换层的需要。 全双工概念解释 :交换机全双工端口可以同时发送和接收数据 ,但这要交换机和所连接的设备都支持全双工工作 方式。 具有全双工功能的交换机具有以下优点 : 高吞吐量 (Throughput):两倍于单工模式通信吞吐量。 避免碰撞 (Collision Avoidance):没有发送 /接收碰撞。 目前 ,市场销售的网卡和交换机 ,基本全部支持全双工功能 ,但在购买时网吧经营者也要仔细辨别 ,避免上当。 网络安全性设计 Inter 的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题，当然也包括网吧环境中。 为了解决这些安全问题，各种安全机制、策略和工具被研究和应用。 然而，即使在使用了现有的安全 工具和机制的情况下，网吧的网络安全仍然存在很大隐患，这些安全隐患主要可以归结为以下几点： 1 、每一种安全机制都有一定的应用范围和应用环境。 防火墙是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问。 但是对于内部网络之间的访问，防火墙往往是无能为力的。 因此，对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为，防火墙是很难发觉和防范 11 的。 2 、安全工具的使用受到人为因素的影响。 一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理员和普通用户，不正当的设置就会产生 不安全因素。 例如， XP 系统自身可以通过路由策略来构建一个基本的，但实用的单机防火墙。 但是很少有人这么做。 网络的组建者更倾向于将这部分工作交与代理服务器或者硬件路由来完成。 又例如左轮保护工具。 这个软件在具有强大的保护功能的同时，如果使用者设置不当也能造成相当大的故障。 结果是反而起到相反的效果。 3 、系统的后门是传统安全工具难于考虑到的地方。 防火墙很难考虑到这类安全问题，多数情况下，这类入侵行为可以堂而皇之经过防火墙而很难被察觉；比如说，众所周知的 ASP 源码问题，这个问题在 IIS 服务器 以 前一直存在，它是 IIS 服务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出 ASP 程序的源码，从而可以收集系统信息，进而对系统进行攻击。 对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的访问过程和正常的 WEB 访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后缀。 4 、只要有程序，就可能存在 BUG。 甚至连安全工具本身也可能存在安全的漏洞。 几乎每天都有新的 BUG 被发现和公布出来，程序设计者在修改已知的 BUG 的同时又可能使它产生了新的 BUG。 系统的 BUG 经常被黑客利用，而且这种攻击通常不会产生日志，几乎无据可查。 比如说现在很多还原保护程序都能被黑客破解。 一旦突破了还原的保护，后果不堪设想。 还原软件一直都在出新的版本，但从未听到说哪个版本是没有破解的。 破解都只是时间上的问题而已。 5 、黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现。 然而 安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。 当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。 因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。 例如使用 qq 非法群发工具来造成网吧的 ip 被封而不能登录 qq ，或者是使用 arp 攻击工具来 12 造成网吧的频繁掉线。 这些攻击的手段和方法是不断的在变化的，很难一次就阻断黑客的攻击。 现阶段为了保证网吧网络工作顺通常用的方法如下： 1 、网络病毒的防范。 在网络环境下，病毒传播扩散快。 一旦一台单机中毒，很有可能在几分钟内就会感染全网，造成瘫痪，例如“威金”病毒。 而网吧的客户机系统在一般情况下安装有保护还原软件或是硬件。 因此就算中毒，在重新启动电脑后就能恢复。 因此网吧的病毒防范的核心就是服务器的病毒防范。 通常情况下服务器的防毒应该做到以下几点：  安装功能强大的杀毒软件，并开启实时监控。 同时设置软件的自动更新和自动扫描计划。  安装针对特定影响力大的病毒的免疫补丁，例如“威金”免疫补丁。 同时配置安全策略，限制病毒文件的运行。  服务器定期升级更新补丁。 很多时候 ，新型的病毒是伴随着新的系统漏洞而产生的。 2 、配置防火墙。 利用防火墙，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。 防火墙是一种行之有效且应用广泛的网络安全机制，防止 Inter 上的不安全因素蔓延到局域网内部，所以，防火墙是网络安全的重要一环。 目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关 ( 代理服务器 ) 以及电 路层网关、屏蔽主机防火墙、双宿主机等类型。 网吧中使用的软件路由，同时这些软件路由中包含了防火墙的功能。 其中又以 ROUTER OS 软件更为出色。 它们都是使用的是代理型防火墙。 代理型防火墙也可以被称为代理服务器 , 它的安全性要高于包过滤型产品 , 并已经开始向应用层发展。 代理服务器位于客户机与服务器之间 , 完全阻挡了二者间的数据交流。 从客户机来看 , 代理服务器相当于一台真正的服务器。 而从服务器来看 , 代理服务器又是一台真正的客户机。 当客。