索引分析和优化解决方案

前 言 — 千兆网管时代

2006，是网吧老板的烦恼之年。

　　最令网吧老板烦恼的，无疑是网吧的频繁掉线。掉线也罢了，最令人气恼的是找不到掉线的原因，眼睁睁看着客户的流失。

　　反复重做系统，更换设备，网吧的经营者消耗大量的金钱与人力。

　　一次又一次的重做系统、更换设备，并没有彻底的解决问题，掉线是挥之不去的恶梦，来的越来越频繁。

　　于是网吧采用各种手段禁用各种问题软件，但是问题软件的禁用又会带来客户的流失。

　　可是作为网吧管理者的您，是否曾经意识到――您选用错误的网络系统，造成你恶梦缠身。

　　现在网吧网络设备的采购，有很大的误区―――

误区一：但求最贵

　　选名牌，选价格昂贵的型号。选名牌无可厚非，但是对名牌所在领域认识不清楚。我们购买汽车，货车有货车的名牌，家用车有家用车的名牌，我们大致不会搞糊涂。但网吧客户在纷乱的网络设备品牌中，产生一种倾向就是买贵的名牌，但这种名牌可能是电信产品的名牌、电脑的名牌，而并不是适合网吧的产品。

　　最后造成的结果是，花很多钱买来一些无法使用的功能，并且在网吧中性能并不好。

误区二：便宜就好

　　另一种极端就是便宜就好。这种情况的产生，原因是对网络设备应起的作用认识不足，以为网络设备就是转发数据。殊不知网络设备还是我们在使用网络时的安全屏障。

　　在发达国家，由于管理意识领先，局域网的交换机主要以网管型交换机为主。

　　而国内局域网发展初期，大家都以便宜够用为标准，这在最开始安全问题没有泛滥的时候也是一种明智的选择，但现在随着网络安全问题的日益严重，已经对我们提出网络管理意识的要求。

误区三：需求不明

　　网吧方案定型时需要自问：网吧需求是甚么？

　　现在虚拟硬盘、大型收费管理软件等，已经使全千兆到桌面成为必然，为省一点点钱，采用百兆到桌面的方案，无疑会在短期内造成网络设备的二次投资。

　　而日益严重的安全问题和网络攻击，要求主交换机甚至分支交换机具有ARP绑定、流量限制、QoS、ACL等特殊管理功能。一个没有这些功能的网络，就等于手无寸铁的警察，不仅不能保护电脑，自己都会成为被攻击的目标。

　　我们列出一个网吧网络设备基本功能需求表以供参考：

一 完美的全千兆安全方案

我们首先提出一个完美的全千兆安全方案。这个方案利用现有的各种技术，以千兆线速的性能，将网络的保护功用发挥到最大的程度。

拓扑图如下：

本方案是为500台规模网吧规划的。

主干采用7324NSW，利用了7324NSW的TRUNKING功能连接两台主干交换机，使之间有8G的带宽。

　　7324NSW的定制病毒防御功能，从主干上确保整网的安全。

　　7324NSW的游戏传输优先功能，能够加强重点应用的流畅。

　　另外我们可以启用VLAN功能优化网络广播域，端口镜像满足日益增长的网监要求。

　　7324NSW能够保护路由器――限制上行到路由器的流量，过滤不必要的包转发，让路由器的性能得到最好的发挥。

接入交换机则采用7024NSW，48G背板带宽使接入更流畅，并且采用7024NSW的ARP绑定功能，能够完全屏蔽每台电脑的ARP攻击和ARP欺骗盗号，使其不能产生任何影响。

　　这是一个让网管高枕无忧的方案。

二 重点保护方案

以上方案固然完美，但是对于一些节俭的网吧业主来说，会认为以上方案投入偏大。因此我们推出了以下重点保护方案，对于特殊的区域进行特别保护，从性价比考虑，在完美方案的基础上进行了折衷。

如图，我们除VIP区的接入保留7024NSW外，其余区域均采用7024DNS作为接入，7024DNS是一款24口全千兆交换机，比之7024NSW缺少智能网管功能，因此不能进行ARP绑定和主机保护。哪么主机保护的工作就主要依靠主干7324NSW。

　　7324NSW功能强大，能够绑定1000条的IP/MAC。如果发生ARP攻击，能够将ARP攻击的影响范围限制到分支交换机以下。与此同时我们可以启用7324NSW的ARP防御和日志功能，让ARP攻击无所遁形，无法产生攻击效果。

　　另外定制病毒防御和定制游戏程序优先等优秀功能，让你的网络更加流畅。

　　7024NSW和7324NSW进行TRUNKING，提高了两台关键交换机之间的带宽。