【对应软件版本】

ER5100V100R003

ER5200V100R003

【摘 要】

ER5000系列路由器是杭州华三通信技术有限公司（以下简称H3C）为网吧量身定制的双WAN口高性能千兆路由器，它采用专业的64位双核网络处理器，同时提供丰富的网吧专有特性。ER5000系列路由器是H3C公司宽带路由器中的中高端产品，是网吧用户的理想选择。

本文的重点是描述如何利用ER路由器搭建稳定的网吧环境。本文将从最常用的解决方案的角度，描述了网吧需求以及组建一个稳定的网吧所需的一些必要配置，最后通过FAQ对网吧应用中容易碰到的一些问题作了总结。

ER5000系列路由器包含以下型号：

表1-1 ER5000系列路由器型号列表

型号	端口	主要特性
H3C ER5100企业级路由器 （以下简称ER5100）	1个10/100Base-TX WAN口 3个10/100/1000Base-T LAN口 1个Console接口	64位双核网络处理器，主频500MHz ARP防攻击，防欺骗 网络流量限速 静态NAT
H3C ER5200企业级路由器 （以下简称ER5200）	2个10/100Base-TX WAN口 3个10/100/1000Base-T LAN口 1个Console接口	64位双核网络处理器，主频500MHz 双WAN口负载均衡 源地址路由 策略路由（手动负载均衡） ARP防攻击，防欺骗 网络流量限速 静态NAT

【关键词说明】

需求、稳定的、网吧、解决方案、配置、比较

1  网吧基本需求

本章列出了网吧最基本的需求，并在每节中对需求作了较详细的描述，在最后提出了对该需求的解决方案。通过本文，您可以了解构建一个稳定的网吧应用环境所需要的一些必要配置。其中多WAN模式的配置主要是针对双WAN接入的网吧。

1.1  网吧需求1：防ARP攻击

可以说，网吧掉线大部分是由于ARP攻击引起的，用某网管的话说，要让网吧稳定很简单，只要让PC和路由器上都用静态ARP。虽然说是ARP攻击，但实际上大部分ARP攻击并不是恶意的，网上对于ARP攻击的产生是这样描述的：现在网吧很多网络游戏都有外挂，但很多外挂中都有病毒，这些病毒通过发送免费ARP报文，让局域网中所有的IP都指向本地PC，以此来获得局域网中所有的数据包，然后分析数据包，将网游的账号提取出现发送给木马作者。

ARP攻击原理很简单：

1、PC上指向网关的ARP表项被修改，导致PC到Internet的数据不能被转发到PC网关；

2、PC网关的ARP表项被修改，PC网关不能将报文发送相应PC，导致该PC掉线；

ARP攻击判断方法：网吧内出现部分掉线，首先要判断的是不是受到的ARP攻击。步骤如下：

1、从掉线PC上Ping设备网关，如是ARP攻击引起的，则不通；

2、在掉线PC上用arp –a查看PC上指向网关的ARP表项是否正确，如不正确，则说明PC上的ARP被修改，只要在PC上使用静态ARP就行了；

3、如果PC上ARP表项正常，但还是不通，登陆到路由器，查看路由器的IP/MAC绑定表是否已经启用，如果启用，检查该PC的IP和MAC是否在绑定表中，如果不在，添加一条记录或取消绑定可解决。如果在绑定表中，则另外有其他原因。

【ARP攻击解决方案】：目前成熟的解决方案是通过ARP双向绑定来实现的，即分别在PC和出口路由器上分别绑定对方的IP<—>MAC地址，来达到防范ARP的目的。ER路由器上采用导入IP/MAC绑定表，并选择“仅允许IP/MAC绑定的客户端访问外网” 来防止ARP攻击，PC上用静态ARP表项绑定网关来防止ARP攻击。

1.2  网吧需求2：防BT（P2P）、迅雷过多占用带宽

网吧应用中，P2P电影、BT、迅雷等点对点或多线程业务，对带宽占用很大，实际中常常会出现某一台PC在下载而导致整个网吧速率下降。网吧与企业不同，网吧不能禁止，只能限制业务占用过多的带宽。

统计结果表明，200台左右的网吧用10M~20M的带宽的局点还是比较多的，这些网吧流量限制是必须的；对于一些带宽比较大（超过50M）的，网管也提出了该需求。

典型配置如下：当带宽总数小于15M时，上行40KB/s，下行50KB/s；当用户带宽总数较高时，需要根据实际业务流量配置IP限速。网吧的业务流量可通过ER的流量统计功能来查看。

【防BT（P2P）下载、防迅雷下载解决方案】：用IP流量限速，NAT限制。

1.3  网吧需求3：多WAN模式选择

在单WAN接入的网吧，无论选择何种多WAN模式都一样。但目前很多网吧都采用了双线接入，这样做的原因有多个方面，主要目的有以下几个：1. 为了提高游戏速度，可以实现电信走电信，网通走网通；2. 以电信为主，开通网通主要为了看网通的电影；3. 为了备份线路，以便某一个运营商出问题时，可以切换到另一个线路上。对于此类双线接入的网吧，在ER上我们有三个模式可以选择：主备模式，智能负载均衡模式，手动负载均衡模式。实际环境中我们该如何选择？下面是一点建议。

一般情况下，网吧老板拉了两根线，这肯定有他的想法，所以在提供相应的解决方案前，第一步必须要先了解网吧需求，在满足网吧需求的前提下，再推荐网管（或老板）使用什么模式。

1、一般情况下，我们推荐用户使用手工负载均衡上网。在该模式下，可以导入电信网通路由表来实现电信走电信，网通走网通。

2、如果网吧两条链路，其中有一条线路采用计费上网，此时可推荐使用主备模式。

几个多WAN模式说明如下：

主备模式：同一时刻只有一条线路正常工作。缺省下只使用主链路转发数据，当主链路出现异常时，所有的数据都自动切换到备份链路上；当设备检测到主链路恢复正常后，备份链路的数据又会自动切换回主链路。注意：只有当启用多WAN线路检测功能，设备才会自动切换链路上的数据。

智能负载均衡模式：如果在设备上导入了电信网通路由表，则报文优先按照电信网通路由表转发；如果数据包没有匹配到（电信网通）路由表，则自动根据WAN的带宽比例来转发；当设备检测到某一条链路出现异常时，该链路上所有数据会被自动切换到另一条链路上，当该链路恢复后，数据又会自动切换回该链路上。注意：只有当启用多WAN线路检测功能，设备才会自动切换链路上的数据。

手工负载均衡：该模式下需要导入电信网通路由表，并设置默认链路。数据包优按照电信网通路由转发，如果没有匹配到（电信网通）路由表，则该数据从设置的默认链路转发；如果运行过程中，某一条链路出现异常，该链路上的所有数据会被自动切换到另一条链路上，当该链路恢复后，数据又会自动切换回该链路上。注意：只有当启用多WAN线路检测功能，设备才会自动切换链路上的数据。

1.4  网吧需求4：让指定的PC走指定的线路

如果网管想让某服务器一直走电信的线路，可以通过配置源IP地址路由来实现该功能。通过源IP地址路由，还可以实现让不同的区走不同的线路，如游戏区走电信线路，聊天区走网通线路等功能需求。

1.5  网吧需求5：防NAT攻击、路由攻击、异常流量

最近，这三类攻击在网吧也很常见，大部分网吧都会遇到此类问题。

NAT攻击：该攻击可分为以下几类，一类是PC异常或中毒，发送源IP地址变化的报文，导致设备在建立NAT连接时无可用的端口而丢包；一类是PC异常或中毒，发送源IP（或目的IP、或源端口、或目的端口）不断变化的报化，消耗设备NAT表项，导致设备丢包。

路由攻击：主要是针对路由缓冲的攻击，PC异常或中毒，发送源IP或目的IP不断变化的报文，导致设备路由缓存处于满配置状态，降低设备转发性能。

异常流量：PC异常或中毒，向Internet大流量发包，过量占用网吧带宽，导致网吧掉线。

【NAT攻击、路由攻击、异常流量解决方案】：按要求启用IP流量限制和NAT限制。

2  网吧常用方案比较

2.1  网吧典型解决方案

表2-1 网吧常用方案比较

网吧常用方案	区别	可满足的需求
ER5200+S5024P+S1224	支持单/双WAN接入	单/双WAN接入
	千兆到桌面	防ARP攻击，防ARP欺骗
	S1224不支持流控	BT、迅雷下载限速
		流量统计
		日志告警
		安全防火墙
ER5200+S5024P+S1224R	支持单/双WAN接入	单/双WAN接入
	千兆到桌面	防ARP攻击，防ARP欺骗
	S1224R支持硬件流控开关	BT、迅雷下载限速
		流量统计
		日志告警
		安全防火墙
ER5200+S5024P+S1526	支持单/双WAN接入	单/双WAN接入
	千兆核心向百兆桌面	防ARP攻击，防ARP欺骗
	S1526为管理型交换机	BT、迅雷下载限速
		流量统计
		日志告警
		安全防火墙
ER5200+S5024P+S1026T	支持单/双WAN接入	单/双WAN接入
	千兆核心向百兆桌面	防ARP攻击，防ARP欺骗
	S1026T支持硬件流控开关	BT、迅雷下载限速
		流量统计
		日志告警
		安全防火墙
ER5200+S5628+S1224R	支持单/双WAN接入	单/双WAN接入
	千兆到桌面	防ARP攻击，防ARP欺骗
	S1224R支持硬件流控开关	BT、迅雷下载限速
	支持LAN内VLAN划分网络	流量统计
		日志告警
		安全防火墙
		VLAN隔离广播域

2.2  其他常用解决方案

2.2.1  单WAN接入方案

如果是单WAN接入，以上典型方案中，ER5200可考虑用ER5100代替。

ER5200和ER5100在功能及性能上差别不多，它们的差别就在于ER5200支持双线接入，而ER5100只支持单线接入。

2.2.2  千兆到桌面方案

上行路由器ER5000系列和核心交换机S5000系列都采用了千兆switch芯片，从上面典型解决方案中也可以看出，用S1224或S1224R即可实现千兆到桌面。S1224和S1224R的区别在于S1224R为标准19寸机架式交换机，而S1224为桌面型交换机。

2.2.3  百兆到桌面方案

上行路由器ER5000系列和核心交换机S5000系列都采用了千兆switch芯片，从上面典型解决方案中也可以看出，用S1026T或S1526即可实现百兆到桌面。

2.2.4  用VLAN隔离广播域

该功能需要三层交换机的支持，核心交换机可以采用S5100系列、S5500系列、S5600系列。

3  常用解决方案

3.1  解决方案Ⅰ：双WAN接入，ER5200+S5024P

该解决方案采用ER5200和S5024P，一般在双WAN接入可采用该方案，通过该方案，可以实现电信走电信，网通走网通。在该方案下，LAN内终端交换机可以选择S1224实现全千兆到桌面，或终端交换机选择S1026T实现实现了千兆核心向百兆桌面的无缝接入。在本文后面章节，将对各具体解决方案的参数作一个比较详细的说明。

3.1.1  典型组网图

图3-1 网吧典型组网

3.1.2  必要配置

1. ER路由器必要配置

(1)        根据实际情况选择，选择合适的双WAN模式。一般情况下建议选择手工均衡模式，该在模式可以实现电信走电信、网通走网通的需求，同时也有线路备分功能。（“WAN设置”->“连接到因特网”页面）

(2)        如果是升级网吧原有设备，修改ER路由器的IP地址和MAC地址，使ER路由器的IP、MAC和网吧原有设备一致。这样网吧升级为ER路由器后，就不用更改网吧中其他网络设备的设置。（“LAN设置”->“局域网设置”页面）

(3)        在ER上导入网吧所有PC的IP/MAC绑表，并且启用“仅允许IP/MAC绑定的客户端访问外网”。目的是为了防止ER路由器上的ARP表项被攻击，从而导致局域网掉线。（“访问控制”->“IP/MAC绑定”页面）

(4)        对网吧中所有PC做静态ARP，在PC上绑定静态ARP的工具很多，可到网上搜索一下；目前网吧对免费工具AIMU2000的比较多，可通过arp –a来查看PC的ARP表项是否已绑定。在PC上绑定静态ARP的目的是为了防止PC的ARP表项被攻击，从而导致该PC掉线。

(5)        根据前面网吧需求3中的方法，选择合适的多WAN模式。（“WAN设置”->“连接到因特网”）

(6)        启用“WAN网口状态检测”，建议同时启用Ping、DNS。Ping目的地址为对应WAN口的网关；在DNS检测后面输入需要检测的域名地址“www.163.com”，WAN1和WAN2输入一样就行了。（“WAN设置”->“WAN网口状态检测”）

(7)        关闭DHCP Server。网吧中一般都不用DHCP Server功能，因为用DHCP分配IP地址，有以下缺点：

l              PC管理起来不方便；

l              网管怕影响路由器性能；

l              网管出现问题定位起来比用静态IP更复杂。（“LAN设置”->“局域网设置”）

(8)        启用IP流量限制。主要为了限制BT、迅雷下载速率，防止某些PC过多占用网吧带宽。限制速率根据网吧的实际带宽而定，一般总带宽超过50M的网吧，可限制为上行200KB，下行400KB；对于总带宽比较小（小于15M）的网吧，上行可限制为40KB，下行可限制为50KB。（“QOS设置”->“IP流量限制”）

(9)        启用NAT限制。建议限制的NAT数不低于300，建议值为300-500。如该值设置过低，可能会导致限制的PC网页打不开或网页打开缓慢。（“QOS设置”->“NAT表项限制”）

2. 核心交换机S5024P必要配置

(1)        配置端口镜像。将核心交换机S5024P上行口的流量镜像到监控服务器。

(2)        启用流控。

3.1.3  可选配置

1. ER路由器可选配置

(1)        IP流量统计。启用流量统计后，可实时观察网吧各所有PC的流量及NAT表项数。（“QOS设置”->“流量统计”）

(2)        源IP地址路由。通过该功能可以让指定的PC走指定的线路，也可以对指定的区指定固定线路，如游戏区的PC走电信线路。（“静态路由”->“源IP地址路由”）

2. 核心交换机S5024P可选配置

(1)        配置端口广播风暴抑制。启动端口广播风暴抑制后，可以有效抑制局域网内的二层广播报文，防止过量广播报文导致局域网局部掉线或者瞬断现象。

(2)        Port Based VLAN。按照网吧规划，实现网吧局部区域的二层隔离。

3.2  解决方案Ⅱ：单WAN接入，ER5100+S5024P

该解决方案采用ER5100和S5024P，在该方案下，LAN内终端交换机可以选择S1224实现全千兆到桌面，或终端交换机选择S1026T实现实现了千兆核心向百兆桌面的无缝接入。在本文后面章节，将对各具体解决方案的参数作一个比较详细的说明。

3.2.1  典型组网图

图3-2 网吧典型组网

3.2.2  必要配置

1. ER路由器必要配置

(1)        如果是升级网吧原有设备，修改ER路由器的IP地址和MAC地址，使ER路由器的IP、MAC和网吧原有设备一致。这样网吧升级为ER路由器后，就不用更改网吧中其他网络设备的设置。（“LAN设置”->“局域网设置”页面）

(2)        在ER上导入网吧所有PC的IP/MAC绑表，并且启用“仅允许IP/MAC绑定的客户端访问外网”。目的是为了防止ER路由器上的ARP表项被攻击，从而导致局域网掉线。（“访问控制”->“IP/MAC绑定”页面）

(3)        对网吧中所有PC做静态ARP，在PC上绑定静态ARP的工具很多，可到网上搜索一下；目前网吧对免费工具AIMU2000的比较多，可通过arp –a来查看PC的ARP表项是否已绑定。

(4)        在PC上绑定静态ARP的目的是为了防止PC的ARP表项被攻击，从而导致该PC掉线。

(5)        关闭DHCP Server。网吧中一般都不用DHCP Server功能，因为用DHCP分配IP地址，有以下缺点：

l              PC管理起来不方便；

l              网管怕影响路由器性能；

l              网管出现问题定位起来比用静态IP更复杂。（“LAN设置”->“局域网设置”）

(6)        启用IP流量限制。主要为了限制BT、迅雷下载速率，防止某些PC过多占用网吧带宽。限制速率根据网吧的实际带宽而定，一般总带宽超过50M的网吧，可限制为上行200KB，下行400KB；对于总带宽比较小（小于15M）的网吧，上行可限制为40KB，下行可限制为50KB。（“QOS设置”->“IP流量限制”）

(7)        启用NAT限制。建议限制的NAT数不低于300，建议值为300-500。如该值设置过低，可能会导致限制的PC网页打不开或网页打开缓慢。（“QOS设置”->“NAT表项限制”）

2. 核心交换机S5024P必要配置

(1)        配置端口镜像。将核心交换机S5024P上行口的流量镜像到监控服务器。

(2)        启用流控。

3.2.3  可选配置

1. ER路由器可选配置

(1)        IP流量统计。启用流量统计后，可实时观察网吧各所有PC的流量及NAT表项数。（“QOS设置”->“流量统计”）

(2)        源IP地址路由。通过该功能可以让指定的PC走指定的线路，也可以对指定的区指定固定线路，如游戏区的PC走电信线路。（“静态路由”->“源IP地址路由”）

2. 核心交换机S5024P可选配置

(1)        配置端口广播风暴抑制。启动端口广播风暴抑制后，可以有效抑制局域网内的二层广播报文，防止过量广播报文导致局域网局部掉线或者瞬断现象。

(2)        Port Based VLAN。按照网吧规划，实现网吧局部区域的二层隔离。

3.3  解决方案Ⅲ：内网划分VLAN，ER5000+S5628

该解决方案主要解决内网广播域隔离问题，当网吧规模过大时，局域网中的广播报文会严重影响网吧稳定性及网速，本方案通过三层VLAN划分来隔离广播域。根据实际情况，上行路由器可以选择ER5100或ER5200，核心交换机可以采用S5000P/S5100系列/S5600系列。

3.3.1  典型组网图

图3-3 网吧典型组网

假设各VLAN的网段为：

VLAN2：192.168.10.1/24

VLAN3：192.168.0.1/24

VLAN4：192.168.1.1/24

VLAN5：192.168.5.1/24

VLAN6：192.168.3.2/24

3.3.2  必要配置

1. ER路由器必要配置

(1)        根据实际情况选择，选择合适的双WAN模式。一般情况下建议选择手工均衡模式，该在模式可以实现电信走电信、网通走网通的需求，同时也有线路备分功能。（“WAN设置”->“连接到因特网”页面）

(2)        如果是双WAN模式，需要启用“WAN网口状态检测”，建议同时启用Ping、DNS检测。Ping目的地址为对应WAN口的网关；在DNS检测后面输入需要检测的域名地址“www.163.com”，WAN1和WAN2输入一样就行了。（“WAN设置”->“WAN网口状态检测”）

(3)        如果是升级网吧原有设备，修改ER路由器的IP地址和MAC地址，使ER路由器的IP、MAC和网吧原有设备一致。这样网吧升级为ER路由器后，就不用更改网吧中其他网络设备的设置。（“LAN设置”->“局域网设置”页面）

(4)        设置ER LAN接口的IP地址，确保ER的LAN IP与VLAN6在同一个网段，可配置LAN IP为192.168.3.1/24。

(5)        配置静态路由，以便ER与S5628所有的网段都能通信；可配置如下静态路由：目的网段：192.168.0.0 /子网掩码：255.255.0.0 /下一跳：192.168.3.2（“路由设置”->“静态路由”）

(6)        关闭DHCP Server。网吧中一般都不用DHCP Server功能，因为用DHCP分配IP地址，有以下缺点：

l              PC管理起来不方便；

l              网管怕影响路由器性能；

l              网管出现问题定位起来比用静态IP更复杂。（“LAN设置”->“局域网设置”）

(7)        启用IP流量限制。主要为了限制BT、迅雷下载速率，防止某些PC过多占用网吧带宽。限制速率根据网吧的实际带宽而定，一般总带宽超过50M的网吧，可限制为上行200KB，下行400KB；对于总带宽比较小（小于15M）的网吧，上行可限制为40KB，下行可限制为50KB。（“QOS设置”->“IP流量限制”）

(8)        启用NAT限制。建议限制的NAT数不低于300，建议值为300-500。如该值设置过低，可能会导致限制的PC网页打不开或网页打开缓慢。（“QOS设置”->“NAT表项限制”）

2. 核心交换机S5628必要配置

(1)        配置缺省路由：ip route-static 0.0.0.0 0.0.0.0 192.168.3.1。

(2)        在S5628上配置网吧所有PC的静态ARP表项，并且对每条ARP表项需要绑定端口。目的是为了防止ER路由器上的ARP表项被攻击，而导致局域网掉线：

(3)        对网吧中所有PC做静态ARP，在PC上绑定静态ARP的工具很多，可到网上搜索一下；目前网吧对免费工具AIMU2000的比较多，可通过arp –a来查看PC的ARP表项是否已绑定。在PC上绑定静态ARP的目的是为了防止PC的ARP表项被攻击，从而导致该PC掉线。

(4)        配置端口镜像。将核心交换机S5628P上行口的流量镜像到监控服务器。

(5)        启用流控。

3.3.3  可选配置

1. ER路由器可选配置

IP流量统计。启用流量统计后，可实时观察网吧各所有PC的流量及NAT表项数。（“QOS设置”->“流量统计”）

2. 核心交换机S5628可选配置

(1)        各VLAN之间访问控制（ACL规则）。

(2)        配置端口广播风暴抑制。启动端口广播风暴抑制后，可以有效抑制局域网内的二层广播报文，防止过量广播报文导致局域网局部掉线或者瞬断现象。

4  网吧常用业务介绍

4.1  网络克隆

GHOST全称General Hardware Oriented Software Transfer，是Symantec公司出品的一款硬盘操作工具，目前国内网吧流行使用8.2或者8.3版本。GHOST可以采用网络方式进行一对多硬盘拷贝是其一大特色，网络拷贝的方式可以选择：组播（默认方式）、广播或者单播。网吧可以使用该功能进行整个网吧电脑操作系统进行统一安装和维护。

在网吧进行网络克隆时，需要在网卡上加装PXE启动芯片（PXE Boot ROM），进入纯DOS环境进行还原（GHOST已经可以支持在Windows环境下进行还原，但是如果需要还原系统盘，必须进入纯DOS状态）；对于某些型号的网卡，也可以将PXE启动代码（Boot Code）写入主板（例如目前流行的NF4和915主板）的Flash ROM，支持主板集成网卡直接PXE启动。

目前，国内网吧最流行的网络克隆软件是MAXDOS。MAXDOS的原理是在Windows下把DOS的引导文件给加进去，并修改引导区，使引导区出现进入DOS的选项。进入纯DOS环境后，首先查找并加载适合主机网卡的DOS驱动，随后调用GHOST主程序，进行网络克隆。MAXDOS软件核心程序仍为GHOST 8.2版本，目前新版本MAXDOS软件开始支持GHOST 8.3。

4.2  无盘启动

无盘启动系统，近几年在网吧行业逐渐常流行。其特色就是客户端不要安装物理硬盘，统一调用服务器上的操作系统镜像。与有盘系统相比，无盘系统更加利于统一式管理和维护，部分无盘客户端的数据可以直接从服务器缓存中读取（比如魔兽世界切换地图），在一定程度上来说更加快捷方便。

目前市面上无盘启动系统非常多，各自都有自己的特色，比较主流的如BXP、上海网众、上海锐起、EHD（阿尔派斯）、湖南明智等等。这些无盘操作系统在PXE引导阶段原理基本相同：Bootp获得IP地址->TFTP传输NBP最小镜像文件->引导客户端连接服务器->无盘工作站启动。只是在处理客户端系统镜像、服务器磁盘管理和报文分发方面存在差异。

由于无盘启动系统的实时性和准确性，对网络的报文转发速率、延时和丢包率均有较高要求。

4.3  英保通

英特尔公司近几年推行的英保通TM技术，主要是根据国内网吧目前普遍存在的一些问题和技术难点，提出的一整套网吧网络解决方案。

英保通远程控制和资产管理功能采用Intel的SF私有协议，通过服务器和客户端BIOS中部分报文交互实现。网络还原和客户端自动升级功能，则是通过组播方式（默认方式）的网络克隆实现，使用的是Intel的在TFTP协议基础上修改的MTFTP协议。

英保通软件版本更新很快，不同版本在报文发送机制上有较大差异。如果在网吧进行英保通硬盘部署时，速度较慢，可以尝试更新英保通软件版本。

4.4  游戏同步更新

在网吧中，游戏更新通常采用同步对比更新的方法。其原理是从服务器获得文件的MD5值列表，里面包含所有最新文件的MD5值，与本地文件不同或者本地文件根本不存在，则从服务器下载该文件。

常用的游戏同步更新软件有迅闪、火狐、网吧点点通、网吧同步更新专家、网维大师等等。这些同步更新软件，原理基本相同，只是在界面和从服务器下载文件的方式略有不同。比如，迅闪通常采用FTP协议进行下载。

4.5  网络监控

网络监控软件是公安部要求网吧必须安装的软件，常见的如PUBWIN、净网先锋、任子行等等。监控软件主要对网吧出入的报文进行分析和过滤。一方面，将分析结果自动上传到公安局的管理服务器，以达到公安部门对互联网信息监控和安全管理的目的；另外一方面，还能阻止未授权的客户端登陆外部网站。

从总体上来说，监控软件的原理相同。均需要核心交换机实现端口镜像功能，将核心交换机与路由器之间的交互报文镜像到监控主机的端口，由监控主机上的软件分析后，将系统日志统一发送到远端公安局的监控管理服务器

阻止未授权的客户端登陆外部网站，则是通过监控软件截获IP报文后，根据TCP的序列号，冒充被未授权的客户端向对方服务器或代理发送关闭连接的报文（TCP RST报文）实现屏蔽上网。

4.6  虚拟磁盘

虚拟磁盘服务器目前在网吧行业非常流行，它可以将服务器的硬盘用虚拟软件映射至客户机，客户机生成多出一个盘符。服务器硬盘一般安装大量本地或者局域网游戏，节约大量的客户机硬盘空间。而且映像盘不受限制，无论客户端怎么更改，重启后即还原，给网吧维护带来极大的便利。

目前常见的虚拟软件有遥志iSCSI Cake、上海网众、上海锐起、scis万象虚拟、addol游戏管理系统等等。

以上海网众NXD虚拟磁盘3.0版本为例。NXD 幻想磁盘3.0系统是把常用的游戏绕过软件编写的还原卡软件同步到客户端的小硬盘里面（这样大大降低服务器的压力，如果把游戏全部放在服务器上，可能造成网络短时间内拥塞，导致网络延时偏大，这个是局域网游戏的大忌），不常用的游戏放在服务器上做扩容用。

协议原理：基于软件Initiator驱动程序的iSCSI Initiator 。服务器采用普通以太网卡来进行网络连接，通过运行上层软件来实现iSCSI和TCP/IP协议栈功能层。这种方式由于采用标准网卡，无需额外配置适配器。

5  常见问题解答（FAQ）

5.1  网吧掉线的常见原因

(1)        ISP线路原因：

ISP网关问题或DNS服务器问题，导致全网掉线（游戏、聊天、网页等业务都不可用）。

(2)        网络攻击：

ARP攻击导致部分或所有PC掉线。

(3)        网络拥塞：

非恶性攻击如BT、迅雷下载，LAN内PC异常或中毒，引起网络拥塞；

从外网或内网发起的恶性攻击，引起网络拥塞。

(4)        网吧物理环境引起掉线

网线松动或组网过程中Switch端口绑定有误引起网络不通。

5.2  由于IP/MAC绑定错误，导致用户不能上网或无法访问设备时如何处理？

方法一：找一台可以访问设备WEB页面的PC，修改IP/MAC绑定配置。

方法二：在串口上关闭IP/MAC绑定。在串口输入以下命令：<H3C>ipmac-restrict disable。用一台PC登陆设备WEB管理页面，修改IP/MAC绑定配置。

方法三：通过串口恢复出厂设置后重新配置。在串口输入以下命令：<H3C>restore default 。恢复出厂设置后，用一台PC登陆设备WEB管理页面，重新设置ER上的配置。

5.3  为什么会出现“重复登陆.已登陆x.x.x.x，请确保没有其他人在登陆”提示，如何解决？

从安全性考虑，ER同时只允许单个用户管理设备，当IP地址x.x.x.x在管理时，其IP不能登到设备上。当ER上配置完成后，请点<退出>退出管理。

注：当配置完成后，直接关闭窗口并没有真正的退出管理页面。因此直接关闭窗口后，有一段时间（一般为5分钟）内，其他PC还是无法访问ER管理界面。

方法一：找到IP地址为x.x.x.x的PC，在页面上点<退出>退出管理后，其他PC可立即管理设备。

方法二：等待5分钟，等WEB超时后，可以再次登陆管理设备。

方法三：重启路由器后，可立即管理设备。

5.4  智能均衡模式与手工均衡模式有什么区别？

均衡模式分为智能均衡模式和手工均衡模式。

【相同点】

(1)        两条线路同时工作，当一条线路异常时，数据会自动切换到另一条线路上。

(2)        报文转发时，首先根据源IP地址路由表查找出接口，再根据均衡路由表查找出接口。

【区别】

智能均衡模式：当没有匹配到源IP地址路由表和均衡路由表时，报文根据WAN1/WAN2带宽比例确定从WAN1还是从WAN2转发。

手动均衡模式：当没有匹配到源IP地址路由表和均衡路由表时，报文从默认链路转发。

5.5  主备模式与均衡模式有什么区别？

只有在多WAN接入时，配置主备模式或均衡模式才有意义；单WAN接入时，两种模式没有差别。

【相同点】

当一条线路异常时，局域网中所有的流量会被自动切换到另一条线路上。

【区别】

主备模式：同时只有一条线路正常工作。缺省下为主线路正常工作，当主线路异常时，启用备份线路，主线路不工作；当主线路恢复时，备份线路不工作。适用于按时或流量计费接入的网吧。

均衡模式：两条线路同时工作。设备首先根据源IP地址路由表查找出接口，再根据均衡路由表查找出接口，当没有匹配到源IP地址路由表和均衡路由表时，报文从默认链路转发或根据WAN1/WAN2带宽比例确定从WAN1还是从WAN2转发。

5.6  如何查看系统资源使用情况？

(1)        通过状态页面可查看：

CPU及内存使用情况/软硬件版本/LAN、WAN接口信息。

(2)        通过“维护”->“设备自检”可查看设备：

设备当前的运行和配置情况。

5.7  W1、W2指示灯的含义？

W1/W2指示灯“亮”，表示对应的接口工作正常。

W1/W2指示灯“灭”，表示对应的接口网线未插好或WAN检测不通过。

5.8  ER管理密码丢失怎么办？

通过串口恢复出厂设置。在串口输入以下命令：<H3C>restore default。