网吧网络常见问题与解决方案

　　2.2.3 通过安全交换机过滤网络中所有的DDoS攻击
　　通过安全交换机过滤网络中所有的DDoS攻击，该方法类似于对ARP的防御方法，通过交换机内置硬件DDoS防御模块，每个端口对收到的DDoS攻击报文，进行基于硬件的过滤。同时交换机在开启DDoS攻击防御的同时，启用自身协议保护，保证自身的CPU不被DDoS报文影响。目前已知的，通过交换机可以过滤TCP SYN、UDP SYN、ICMP SYN、Land等常见DDoS攻击，基本涵盖了网吧中常见的各种DDoS攻击。利用交换机防御DDoS攻击，防御效率高，对PC和网络无影响，是目前最经济高效的防御方式。

　　3. 网络网吧的带宽利用率低
　　网吧网络速度的快慢是网吧吸引网民的一个根本，但目前网吧中经常出现看电影慢、玩游戏卡，内网系统更新慢、更新时还在营业的PC变卡，无盘系统运行慢、无盘系统的DHCP服务器被顶替的情况。

　　3.1 网吧网络关键设备选项
　　而这一类问题中慢与卡基本都与设备的选型息息相关，接下来我们将向大家介绍路由器、交换机选型中比较关键的几个参数指标

　　3.1.1 路由器选型关键参数
　　o 转发速率--100M线路需要297.6kpps转发速率（双向），若以20M带宽为例，需要路由器的转发能力达到60Kpps（双向）。

　　o NAT会话总数--一台PC设置350-500个NAT会话数，200台PC的网吧需要7-10万条NAT会话数。

　　o 可以提供合理的基于网络使用率、上机率、时间的带宽控制，有效的提供网吧的出口带宽使用率。

　　3.1.2 交换机选型关键参数
　　o 交换容量--该参数影响交换机的转发能力，该数值的计算最低要求所有交换机端口带宽相加×2

　　o 支持ARP欺骗防御、防DDoS攻击等安全功能，且都采用硬件方式实现

　　o 支持VLAN划分，支持QoS，支持组播，可以有效避免网络克隆、广播风暴等造成的网吧卡现象

　　3.2 内网系统更新慢、营业的PC卡
　　内网系统更新慢、更新时还在营业的PC变卡，多因交换机不支持系统更新（网络克隆）所采用的组播技术。随着技术的发展，网吧系统更新已经从过去的广播模式转变成现在使用的高效的组播更新技术，系统更新数据在不支持组播的交换机上向网吧所有PC进行转发。而广播方式的转发导致正常使用的PC需接收处理无用的数据，同时广播导致网络拥塞，使得更新数据与上网数据滞留在传输通道。如采用组播更新系统，交换机仅对需要跟新的PC转发数据，保证了营业PC的正常使用，组播仅对数据进行一次复制，交换总带宽得到合理保证，有效避免网络拥塞。

　　3.3 无盘系统运行慢，DHCP服务器被人恶意攻击
　　由于无盘系统在短时间（几秒钟）内需要传输几个G的数据，此时需要全千兆网络支撑无盘网吧，而无盘系统采用与系统更新相同的先进的组播技术进行数据转发，可利用支持组播的交换机加速传输。当无盘系统启用时，首先需要一台DHCP服务器对客户端进行IP地址分配。根据DHCP协议定义，一个网络中只允许存在一台DHCP服务器，若有人蓄意架设第二台DHCP服务器，将出现网吧PC无法获得正确IP地址的情况，通过交换机的DHCP服务器保护功能，可以将所有客户端的IP地址分配都指向我们指定的DHCP服务器，保证客户端获得正确的IP地址。