小型网吧设计方案

小型网吧设计方案
一、网络拓扑设计
（1）设计思想
本实训项目报告为小型网吧规划设计，该小型网吧的电脑数目初始规划为100台，所以硬件需要一台路由器，一台中央交换机，一台48个端口的交换机，两台24个端口的交换机，三台服务器，一台网管机，100台pc机。

该小型网吧分为VIP区、影视区、游戏区和普通区四个区，每个区分别对应一个交换机，并且每个区也对应一个子网，最后组成一个局域网。

（2）拓扑设计图
（3）拓扑图分析
该拓扑图明确的表明了从中心交换机分出的网线把该小型网吧分为了四个区，并且还有服务器进行软件、游戏的更新和文件的管理，有网管进行计时、收费和管理。

服务器
二、IP规划
（1）IP需求
IP地址标识着网络中一个系统的位置。

我们知道每个IP地址都是由两部分组成的：网络号和主机号。

其中网络号标识一个物理的网络，同一个网络上所有主机需要同一个网络号，该号在互联网中是唯
一的；而主机号确定网络中的一个工作端、服务器、路由器其它TCP/IP 主机。

对于同一个网络号来说，主机号是唯一的。

每个TCP/IP主机由一个逻辑IP地址确定。

（2）网段划分原则
IP是由四段数字组成，在此，我们先来了解一下3类常用的IP A类IP段0.0.0.0 到127.255.255.255
B类IP段128.0.0.0 到191.255.255.255
C类IP段192.0.0.0 到223.255.255.255
XP默认分配的子网掩码每段只有255或0
Ａ类的默认子网掩码255.0.0.0一个子网最多可以容纳1677万多台电脑
Ｂ类的默认子网掩码255.255.0.0一个子网最多可以容纳6万台电脑
Ｃ类的默认子网掩码255.255.255.0一个子网最多可以容纳254台电脑
但在实际中并不是只有这几个子网掩码，子网掩码的范围可以从255.0.0.0到255.255.255.255我们可以用其中任何一个号来划分不同需要的网络，有了子网掩码后不仅极大扩大了可用的ip地址要看几个不同的ip在不在同一个网段，不能简单看开始的极短是不是相同，必须与子网掩码一起考虑要想在同一网段，必需做到网络标识相同，那网络标识怎么算呢？各类ＩＰ的网络标识算法都是不
一样的。

Ａ类的，只算第一段。

Ｂ类，只算第一、二段。

Ｃ类，算第一、二、三段。

算法只要把IP和子网掩码的每位数AND就可以了。

AND方法：0和1＝00和0＝01和1＝1如：And192.168.0.1，255.255.255.0，先转换为二进制，然后AND每一位IP11000000.10101000.00000000.00000001子网掩码11111111.11111111.11111111.00000000得出AND结果11000000.10101000.00000000.00000000转换为十进制192.168.0.0，这就是网络标识，再将子网掩码反取，也就是00000000.00000000.00000000.11111111，与IP AND得出结果00000000.00000000.00000000.00000001，转换为10进制，即0.0.0.1，这0.0.0.1就是主机标识。

要想在同一网段，必需做到网络标识一样（3）网段划分设计与分析
由于这是小型网吧只有100台左右的机器，故用C类地址。

下表为网吧的IP划分表：
三、硬件设备选择
（1）交换设备需求及选择分析
目前网吧预计有100电脑，将来还有可能扩大，考虑到扩展性，以及不同的需求，划分不同的vlan，以及要考虑到局域网内部的带宽，保证快速以太网的千兆带宽，同时价格也应该考虑到，以及品牌和商家的售后服务。

对比之后我们选择了H3C S5120-28P-SI智能交换机为中央交换机。

产品类型：智能三层交换机，传输速率：1000Mbps，存储-转发，包转发率：42M bps, 24个端口，背板带宽:192Gbps，端口结构:非模块化，端口数量:28，端口描述:24个,10/100/1000Base-T以太网端口，
4个1000Base-X SFP千兆以太网端口，支持全双工，支持基于端口的VLAN（4K个），支持IEEE 802.1p/DSCP优先级，支持优先级映射，支持端口信任模式，支持端口信任模式，支持端口队列调度（SP/WRR/SP+WRR）。

支持IGMP Snoopingv1/v2/v3，MLD Snooping，支持组播VLAN支持XModem/FTP/TFTP加载升级，支持命令行接口（CLI），Telnet，Console口进行配置，支持SNMP，WEB网管，支持RMON（Remote Monitoring），支持iMC智能管理中心，支持系统日志，分级告警，调试信息输出，支持HGMPv2，支持Modem 远端拨号，支持NTP，支持Ping，Tracert，支持Telnet远程维护，支持VCT（Virtual Cable Test）电缆检测功能，支持Loopback-detection端口环回检测。

电源电压AC 100-240V，50-60Hz，环境标准工作温度：0-45℃，工作湿度：10%-90%（非凝露）。

选择D-Link DIS-2024T网吧专用交换机为接入层交换机。

价格为3000产品类型：二层交换机，传输速率：10/100/1000Mbps，交换方式：存储-转发，背板带宽：48Gbps，包转发率：35.7Mbps，MAC地址表：8K，端口数量：24个，网络标准：IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，网络协议：CSMA/CD，端口接口：非模块化，端口描述：24个10/100/1000Mbps端口，传输模式：全双工/半双工自适应，电源电压：AC 100-240V，50-60Hz，电源功率：17.3W，环境标准：工作温度：0-40℃，工作湿度：10%-90%（无凝结），存储温度：-10-70℃，存储湿度：5%-90%（无凝结）。

（2）路由设备需求及选择分析
对网吧来说，解决接入线路的问题主要是采用大带宽的光纤接入，一般几十M是必要的，不然无法流畅的支持外网的网络游戏和QQ 视频聊天，大部分网吧宽带路由器都可以通过使用一个光纤收发器将光纤线路转换成常规网线线路，也有些网吧宽带路由器本身带有光纤模块插口，通过安装光纤模块就能直接接入光纤线路。

而多W AN 技术并不是网吧解决带宽的常见办法，其更多的意义反而在于南北互通，一个W AN口接入电信线路，一个W AN口接入网通线路，通过设定好的IP访问策略实现双线路的智能访问负载均衡，因此很多网吧宽带路由器都是采用几个W AN口。

也有一些网吧是采用光纤＋双线来达到网络的畅通高速。

对比之后我们选择了H3C ER8300路由器。

路由器类型：网吧专用路由器，网络协议：PPPoE，DHCP，NAPT，NTP，DDNS，传输速率：10/100/1000Mbps，端口结构：非模块化，广域网接口：2个，局域网接口：8个，其他接口：1个Console接口，网络管理：基于Web的用户管理接口（远程管理/本地管理）HTTPS 远程管理，防火墙：内置防火墙，支持Qos，支持VPN，产品内存：128MB DDRII，处理器：MIPS 64位双核700MHz 网络处理器，电源电压：AC 100-240V，50/60Hz，电源功率：20W，产品认证：CE ClassA，CCC，环境标准：工作温度：0-40℃，工作湿度：10%-90%（无凝结），存储温度：-10-70℃，存储湿度：5%-90%（无凝结）。

（3）服务器的选择及分析
从网吧的应用方面来看，随着网络规模的不断扩大，各种服务彼此分开，服务器需要处理的业务量也不断增大，有必要根据不同应用选购配置不同的服务器，以获得更优的性能和稳定性。

游戏服务器存放游戏，游戏更新，用于本地更新游戏，有效的节省网络带宽和用户时间。

视频服务器存放大量电影，电视剧，动漫，供用户使用，有效的节省网络带宽，使用户享受高清电影。

文件服务器文件服务器是用来提供网络用户访问文件、目录的并发控制和安全保密措施的局域网服务器，它要求在服务器和用户磁盘之间实现大容量数据高速传输。

四、全规划设计
（1）安全问题
安全的应用往往是建立在网络系统之上的。

因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，锐捷网络充分考虑安全性，针对的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。

在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应
分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。

（2）安全技术分析
目前网吧网络，可能面临的风险有：
线路稳定和网络带宽保证。

无论是采用ADSL接入或者专线接入的网吧，由于长时间连续和公网连接，容易成为黑客攻击和利用的目标，如果没有有效的防护措施，极有可能成为黑客攻击他人的跳板，这不仅仅会带了网络的安全问题，同时还会使网络性能下降，带宽降低。

黑客入侵、病毒感染。

对于网吧经营者，每天上网的顾客来来往往，网上病毒传输又难以操控，总会给网络带来一些不安全因素。

随着计算机技术的不断进步，黑客和病毒技术也在不断发展，并且有日益融合的趋势。

仅靠简单的防病毒软件，已经很难防止网络蠕虫病毒的扩散和传播，必须采用防病毒、防火墙、入侵检测等多种技术的有机结合才能起到比较好的防护、阻挡作用，最近的“冲击波”病毒就是一个很好的例子。

不良网站和信息的访问。

国家政策明文规定，限制互联网上网服务营业场所经营单位和上网消费者对某些不良站点和信息的访问，并且要求用户上网记录有据可查。

也就是说网吧经营者必须加强对用户网络行为管理。

带宽管理（QOS）和多种媒体支持。

网吧上网人数的猛增，网吧
提供的Internet接入解决了网民的部分需求，但随着网民视野的开阔，兴趣的转移，网民的需求不断提高，简单的网页浏览、ICQ已不能满足网民的需求，对于没有QOS保证的互连网VOD、游戏服务，虽然网吧提供了宽带接入，但多个网民同时进行操作时，仍不能保证画面的流畅、声音的同步，为了留住网民、发展网民，为网民提供高质量的视听效果，成了网吧业主的当务之急。

了解了网吧用户的网络需求、应用以及安全隐患之后，国恒联合科技结合现有的网络技术，根据不同规模网吧的应用需求，设计了如下图所示的动态安全防护体系。

通过这样的设计可以尽可能地阻止来着外部的攻击、监控和管理内部的访问，保障线路的畅通和应用服务的正常进行，提供对网吧系统高效、实用的安全保障。

（3）安全的解决方法
由于网吧的客户来源十分复杂，我们要充分考虑到各个方面的安全防范。

综合考虑，我们决定采用软件与硬件结合的方式，为网吧的安全制定两道防线。

首先，在硬件方面，在介入因特网时，我们采用硬件防火墙，这样一来，我们可以阻挡大部分来自网吧以外的攻击。

及时地对各种流量做出准确的分析，对于各种攻击做出最快的响应，并阻止常见病毒的传播。

另外在IP地址的分配上，我们采取对固定机器固定IP的做法，最大限制地防止ARP攻击。

在软件层次上，由于考虑到软件成本，我们不可能在每台PC
装上完整的杀毒软件（那样对用户的速度也有很大的限制），但是我们在每台服务器上必须有功能强大的杀毒软件和软件防火墙。

在每台客户机，我们采用冰点保护软件保护每一台客户机，屏蔽一些影响系统安全的操作（如：修改IP地址）。

在电脑启动时，就将电脑的配置恢复到初始的状态。

在服务器上，我们采用Windows Server 2003网络操作系统，功能相对强大，能满足网吧管理要求。

在网吧管理工作站上，我们可以严格监视每一台客户端的各种行为，一旦发现重要文件被篡改，便及时提示网络管理人员。