【導讀】網(wǎng)絡已經(jīng)深入到我們的學習、生活、工作的各個方面。對任何人來說計算機技術都是。必須要掌握的一門技術?！督瘃R網(wǎng)吧組網(wǎng)與管理》這一課題很有研究意義。行業(yè)也將會越來越興旺發(fā)達，文章就網(wǎng)吧網(wǎng)絡組建提出建議，有實在意義。

　　

【正文】 細的記錄。 三 .驗收 所有電源布線工作結束后 ,必須在所有的布線管道未封閉之前進行一系列的驗收和檢測。電源系統(tǒng)的檢測 ,主要分以下幾個方面 : :網(wǎng)吧電源布線工作結束后 ,請測試所有的線路是否能夠正常工作 ,空氣開關工作是否正常。 :運行第一步測試后 ,把網(wǎng)吧內(nèi)的設備分批次打開 ,并逐步達到網(wǎng)吧的全負載功率運行。全負載 運行的時間最好在 24 小時以上 ,這樣才能檢驗電源布線系統(tǒng)的真正性能。在全負載運行過程中 ,如果出現(xiàn)空氣開關自動跳閘或者保險絲被燒斷 ,請務必仔細檢查原因。 :經(jīng)過全負載運行后 ,可以進行短時間的超負荷運行 ,以檢測電源系統(tǒng)的質(zhì)量和抗壓性能。超負荷運行的時間可以在十個小時左右 ,根據(jù)實際情況進行測試。 四 .需要注意的幾個問題 網(wǎng)吧電源布線的整個過程中 ,必須高度重視一些小問題 ,一些微小失誤就可能造成無法估計的損失。 :細心的技術人員會發(fā)現(xiàn) ,在電腦的三相電源插頭中 ,負責接地的那一芯 ,是沒有電源 線的 ,也就是缺乏有效的接地措施。但是 ,網(wǎng)吧內(nèi)電腦和一些網(wǎng)絡設備 ,在正常工作中外殼都可能產(chǎn)生一些靜電 ,如果沒有有效的接地措施 ,靜電積累到一定程度 ,可能會燒壞硬件或者擊傷人。因此 ,在網(wǎng)吧電源布線時 ,必須安裝地線。 :在很多技術人員眼中 ,避雷似乎與網(wǎng)吧毫不相關 ,但是 ,如果網(wǎng)吧沒有良好的避雷措施 ,遇到雷擊時 ,可能會燒毀網(wǎng)吧內(nèi)所有的設備。 :對于網(wǎng)吧電源系統(tǒng)的主干線路或一些不方便檢修的線路 ,一定要布設備 22 份線路 ,如果主線路損壞 ,立即更換成備份線路。特別是對于正在營業(yè)中的網(wǎng)吧 ,布設備份線路是提高網(wǎng) 吧自身競爭力的一大舉措。 :對于百臺以上的網(wǎng)吧 ,在設計電源系統(tǒng)時最好準備一個獨立的空間安裝空氣開關、 UPS 及其它的網(wǎng)吧電源設備。 ,設計電源系統(tǒng)時 ,要保證三根火線的負載不要相差太大 ,差值以 500W 左右最佳。 網(wǎng)吧電源系統(tǒng)的布線 ,最好找專業(yè)的電工技師或者專業(yè)的綜合布線人員來做 ,并且要做好布線的檔案記錄工作 ,每一條電源線的負責范圍、走向如何等都要記錄在文檔中 ,以方便日后維護。 網(wǎng)絡系統(tǒng)布線 網(wǎng)吧網(wǎng)絡綜合布線與網(wǎng)吧電源系統(tǒng)布線相比更復雜 ,不但要考慮到網(wǎng) 絡布線 ,還要考慮到網(wǎng)絡設備的安裝位置、網(wǎng)絡通訊介質(zhì)的選擇等因素。 一 .網(wǎng)絡布線設計 網(wǎng)絡布線必須根據(jù)網(wǎng)吧的網(wǎng)絡結構來設計。目前 ,網(wǎng)吧一般都是路由器 —— 主交換機—— 交換機 —— 客戶機的網(wǎng)絡模式。在網(wǎng)絡布線設計前 ,必須了解以下兩點基礎知識 : 第一 .雙絞線最長的通訊距離 :目前 ,網(wǎng)吧內(nèi)使用最多的就是超五類雙絞線 ,理論上其點與點之間最大的通訊距離是 100 米 ,而實際上只有 95 米。所以 ,在進行網(wǎng)吧網(wǎng)絡布線設計時 ,建議最好先測量一下點與點之間的實際距離。 第二 .交換機最大的級聯(lián)數(shù)目 :對于一些面積較大的網(wǎng)吧 ,機器數(shù)目多且位置 分散 ,交換機通常需要級聯(lián) ,而級聯(lián)的最大數(shù)目不能超過五個。也就是說 ,雙絞線借助于交換機的級聯(lián)可以延長傳輸距離 ,但理論上最長不能超過五百米。 二 .布線施工及注意事項 :根據(jù)網(wǎng)絡布線標準 ,雙絞線有 568A 和 568B 兩種標準接法 ,目前使用最廣泛的接法是 568B 接法。由于現(xiàn)在網(wǎng)絡設備都是智能型設備 ,支持 568A 和 568B 兩種接線標準 ,因此 ,建議使用 568B 的接線標準。 568B 接線標準中 ,定義的標準線序是 :橙白、橙、綠白、藍、藍白、綠、棕白、棕 ,從左至右是 1 號線至 8 號線 。568B 的接線標準就是水晶頭的 兩端都使用標準的線序。 :選擇水晶頭時 ,中檔品牌就可以 ,但切記不能選擇低檔的劣質(zhì)貨。劣質(zhì)水晶頭長時間使用后 ,里面的金屬卡片網(wǎng)線容易接觸不良 ,造成網(wǎng)絡傳輸質(zhì)量差。 :無論是主交換機還是二級交換機 ,在選擇安裝位置時 ,一定要把交換機放置在節(jié)點的中間位置 ,一方面可以節(jié)約網(wǎng)線的使用量 ,另外還可以將網(wǎng)絡的傳輸距離減小到最短 ,從而提高網(wǎng)絡傳輸質(zhì)量。 :布線時 ,可以把雙絞線放在 PVC 管或專業(yè)的線槽中 ,雙絞線經(jīng)過的地方 ,盡量不要有強磁場、大功能的電器 (空調(diào) )、電源 線等 ,否則會大大降低網(wǎng)絡傳輸質(zhì)量。 23 :雙絞線都有一定的使用壽命 ,加上客觀自然條件的影響 ,雙絞線損壞是正常的事情 ,所以進行網(wǎng)絡布線時 ,對于從主交換機到二級交換機之間的級聯(lián)線 ,至少要布放 12 根備份線路。交換機至工作站之間的雙絞線 ,可以根據(jù)網(wǎng)吧的實際情況 ,布放一定數(shù)量的備用線路。 :網(wǎng)絡布線時 ,把每條雙絞線都做一個編號 ,并且雙絞線的兩端要做相同的編號。為方便日后維護 ,雙絞線每隔一定的距離最好也做上編號 , 特別是對于距離比較長的雙絞線 . 小技巧 :網(wǎng)絡布線時 ,雙絞線的兩端 ,最好預 留 23 米的富裕長度 ,水晶頭故障時這條線還有再利用的價值。 三 .檢測 :網(wǎng)線布設完畢、水晶頭安裝在兩端后 ,立即用網(wǎng)絡測試儀測試線路是否可以正常工作。如果不行 ,則可以判定水晶頭與網(wǎng)線連接不好 ,這就需要重做水晶頭并測試 ,一直到網(wǎng)線可以正常工作為止。 :網(wǎng)絡設備安裝完畢后 ,加電進行測試。先測試所有的網(wǎng)絡設備包括網(wǎng)線是否工作正常 。然后測試點與點之間的網(wǎng)絡傳輸速度 。最后測試一點對多點的網(wǎng)絡傳輸速度。 :測試外部網(wǎng)絡和內(nèi)部網(wǎng)絡的互聯(lián)互通性能 ,主要包括以下幾點 :下載速度測試、網(wǎng)絡 游戲順暢程度、在線影院流暢度等。如在測試中發(fā)現(xiàn)問題 ,請仔細查找原因并排除。 網(wǎng)吧在進行綜合布線時 ,最好在裝修之前完成 ,所有的測試也必須在裝修完工之前有一個定論。否則 ,裝修完成后 ,如果布線有問題 ,你可能要進行二次裝修了 ,損失慘重。 六 .工程驗收 我方與 施工方 組成驗收小組，對提供的產(chǎn)品和集成系統(tǒng)進行檢驗。 驗收標準：布線工程、網(wǎng)絡系統(tǒng)、主機系統(tǒng)設備必須進行最少 72 小時的連續(xù)測試，測試中如果系統(tǒng)有任何部分發(fā)生故障，則沖重新開始測試。如果 7 天內(nèi)測試通不過， 我方可拒收 施工方公司 系統(tǒng)。 任何測試必須整個系統(tǒng)通過，不 允許部分驗收。 系統(tǒng)交付驗收方法：完成安裝、運行、測試、集成后并通過驗收。 系統(tǒng)交付文檔：按照國家計算機軟件工程規(guī)范國家標準分階段提交相應文檔。 七 .日常管理維護 網(wǎng)絡安全管理 其中針對路由器的攻擊會導致網(wǎng)吧的出口癱瘓，而目前路由器常見的防 DDoS 攻擊的 24 方法有三種： ， ， +計數(shù)器。 計數(shù)器法 計數(shù)器法通過端口計數(shù)器與事先設置的閥值，限制外網(wǎng)口收到的所有數(shù)據(jù)（無論是否由內(nèi)網(wǎng)引發(fā)），該方法抗攻擊能力較強，普通路由器器都能有 10M 以上的能力。但是該 處理方式粗放，一旦端口上的數(shù)據(jù)量達到設定的閥值就進行全局限速，進而影響全局的應用。 協(xié)議分析法 協(xié)議分析法對各種 DDoS 攻擊方式進行協(xié)議級的分析，通過 CPU 判斷所有經(jīng)過端口的報文，若報文匹配內(nèi)置的協(xié)議分析器， CPU 將對攻擊報文進行過濾，但是該處理方法消耗大量 CPU 資源，如果 CPU 性能不強將導致整體抗攻擊性能不佳。 圖 8 安全防護設置示意圖 協(xié)議分析 +計數(shù)器法 協(xié)議分析 +計數(shù)器法，該處理方法兼有協(xié)議分析法的精確與計數(shù)器法的性能，它對所有非內(nèi)部引起的連接進行監(jiān)控及協(xié)議匹配，并對其進行嚴格的計數(shù)控制，同時該處理方法還修改了 TCP/IP 協(xié)議棧，加強了抗 DDoS 能力，目前該處理方式可支持的 DDoS 攻擊協(xié)議分析已達 10 種以上。 25 圖 9 安全防護設置示意圖 圖 10安全防護設置示意圖 內(nèi)網(wǎng)攻擊主要是 ARP 攻擊和內(nèi)網(wǎng)的 DDoS 攻擊比較多，針對這種攻擊，主要有以下三種防范方法。 雙向綁定 其中雙向綁定是過去比較常用的一種方法，它在路由器或者 ROS 代理服務器上上綁定內(nèi)網(wǎng)所有 PC 的 IP 地址和 MAC 地址，在每一臺 PC 上 綁定網(wǎng)關的 IP 地址和 MAC 地址，形成一個相對固定映射關系來防止 ARP 欺騙。這種做法對過去的 ARP 病毒是有效的，隨著 ARP病毒的演進，新的 ARP 病毒會在系統(tǒng)運行過程中刪除 PC 的 ARP 綁定，此時雙向綁定將失效，所以眾多網(wǎng)吧在雙向綁定后依然出現(xiàn)個人數(shù)據(jù)、財產(chǎn)被盜取的事件。 在 PC 上安裝過濾軟件 26 在 PC 上安裝過濾軟件， PC 成為軟件防火墻過濾 PC 發(fā)出 DDoS 報文以及欺騙的 ARP 報文，一般這類軟件稱自己為防水墻。通過監(jiān)控網(wǎng)卡中所有的報文，并將其與軟件自身設定的內(nèi)容進行比對。受限于軟件自身的處理能力，該類型的軟件一般 僅過濾 TCP 協(xié)議，而對網(wǎng)吧中大量游戲、視頻應用使用的 UDP、 ICMP、 ARP 等報文不做過濾。由于過濾的報文數(shù)量眾多且持續(xù)不斷，對 PC 的性能造成了影響嚴重，經(jīng)過測試在 3040M 流量下，由于過濾軟件的原因很容易導致 PC 的 CPU 使用率超過 90% 。 比如 AntiARP 類型的軟件是通過包裝驅動層 NDIS 來過濾 ARP 數(shù)據(jù)包，每一個流進或流出的數(shù)據(jù)包都要經(jīng)過 NDIS 才能到達網(wǎng)卡，因此這是一個典型的串行系統(tǒng)。 AntiARP 在這一層變造數(shù)據(jù)包修改網(wǎng)關 ARP 和攻擊網(wǎng)管服務器 但這樣做有 3 個危險： 第一 .如果 AntiARP 驅動不穩(wěn)定，將會導致用戶計算機輕則不能上網(wǎng)，重則系統(tǒng)崩潰。 第二 .AntiARP 驅動在系統(tǒng) 0 層運行，其實用戶相當于將全部權限給了 AntiARP，如果這個軟件萬一染毒，任何殺毒軟件都無效。（殺毒軟件的權限最高也只有 0 層）。 第三 .可能引起局域網(wǎng)內(nèi) ARP 廣播風暴 。 通過安全交換機過濾非法 ARP 及 DDoS 攻擊 在經(jīng)過雙向綁定和、安裝防 ARP 欺騙軟件之后，目前網(wǎng)吧中出現(xiàn)了另一個依靠硬件的防 ARP 方法。這種方式在交換機生成每臺 PC 的 IP、 MAC 關系映射表，通過交換機自身 的ARP 過濾模塊，過濾每個端口下連接的 PC 發(fā)出的 ARP 報文。交換機只轉發(fā)擁有正確映射關系的 ARP 報文，對所有 IP 或 MAC 不對應的 ARP 報文自動丟棄。該處理方法無需對 PC 進行任何操作，節(jié)省了 PC 的資源。 通過安全交換機過濾網(wǎng)絡中所有的 DDoS 攻擊，該方法類似于對 ARP 的防御方法，通過交換機內(nèi)置硬件 DDoS 防御模塊，每個端口對收到的 DDoS 攻擊報文，進行基于硬件的過濾。同時交換機在開啟 DDoS 攻擊防御的同時，啟用自身協(xié)議保護，保證自身的 CPU 不被DDoS 報文影響。目前已知的，通過交換機可以過濾 TCP SYN、 UDP SYN、 ICMP SYN、 Land等常見 DDoS 攻擊，基本涵蓋了網(wǎng)吧中常見的各種 DDoS 攻擊。利用交換機防御 DDoS 攻擊，防御效率高，對 PC 和網(wǎng)絡無影響，是目前最經(jīng)濟高效的防御方式。 圖 11安全防護設置示意圖 27 客戶上網(wǎng)行為監(jiān)控 應嚴格遵守國家相關部分的政策，做好上網(wǎng) 客戶的資料登記等相關工作，加強對上網(wǎng)客戶的上網(wǎng)行為監(jiān)控，發(fā)行異常，果斷采取必要的措施，發(fā)現(xiàn)客戶上非法的網(wǎng)站，一方面 進行勸導，另一方面在出口設備上將非法網(wǎng)站列入黑名單，發(fā)現(xiàn)客戶發(fā)表非法言論，一方面 進行勸導，同時進行相關證據(jù)收集，及時通報給相關部門。 條件允許的話最好能夠配置一臺日志服務器，詳細記錄網(wǎng)吧的上網(wǎng)日志信息，發(fā)生安全事件或是某些人利用網(wǎng)吧網(wǎng)絡環(huán)境發(fā)表一些非法言論時，能夠及時記錄在冊便于后期的跟蹤和處理。 域名過濾，屏蔽非法網(wǎng)站 對于一些非法的網(wǎng)站或者不健康的網(wǎng)站，我們應該堅決屏蔽 掉，給網(wǎng)民提供一個干凈的上網(wǎng)環(huán)境，也讓犯罪份子上不了這些非法的網(wǎng)站，無力可施，最大限度減小網(wǎng)絡安全時間的發(fā)生和非法言論的傳播。 監(jiān)控網(wǎng)絡設備狀態(tài)，并調(diào)整網(wǎng)絡配置 調(diào)整網(wǎng)絡出口設備安全配置，只允許本地合法 IP 報文發(fā)送，過濾非法報文。避免網(wǎng)吧成為不法分子攻擊的工具。 對每個用戶上流量進行限制和監(jiān)控，如果流量持續(xù)非常大，而且不是正常應用的網(wǎng)絡地址，要找到對應機器，查看運行情況。如果是機器中毒，要進行殺毒或者隔離，如果是上網(wǎng)客戶故意攻擊，要進行勸導，勸導無效，要報告給相關部門。 網(wǎng)吧安全防范 預案 對 PC 的連接數(shù)進行限制 為了防止某些人使用大的網(wǎng)絡帶寬發(fā)動網(wǎng)絡攻擊，避免造成大的損失后后果，有必要對每臺 PC 的連接數(shù)進行限制，一旦發(fā)動網(wǎng)絡攻擊的時候會建立非常多的網(wǎng)絡連接，嚴重消耗網(wǎng)絡資源，對連接數(shù)進行限制以后，及時某些 PC 被控制實施網(wǎng)絡攻擊，由于受限于連接數(shù)，所以其攻擊造成的危害相對會小一些，攻擊能力會較弱，也可以起到一定的防護作用。 啟用防火墻安全策略 不管是軟路由還是專門的路由器，都可以自己添加一下防火墻的安全策略，增強出口設備的抗攻擊能力，保證網(wǎng)吧內(nèi)網(wǎng)的安全。所以我們也 需要實時跟蹤最新的一些已經(jīng)發(fā)現(xiàn)的病毒和網(wǎng)絡攻擊，找出他們攻擊的方式或利用的協(xié)議漏洞， TCP、 UDP 或是其它的一些協(xié)議，有的是針對特點端口的攻擊，那就需要關掉相應的端口，阻止針對特點端口的攻擊。及時添加安全策略，防范這種網(wǎng)絡攻擊對網(wǎng)吧網(wǎng)絡的影響，提高網(wǎng)吧抗攻擊能力。 做好系統(tǒng)還原保護 為了保證每臺 PC 盡可能小的機會染上病