一千台无盘工作站，电信网通两条光纤方案

一千台无盘工作站，电信网通两条光纤方案。

申明：此帖非我原创，朋友写的。


我的设备全部采用H3C，至于型号我觉得可选择的很多，我们这里主要讨论的是方案，所以还是以方案为主，设备的型号容后再议。

我的设备清单如下：
路由器 1台
三层交换机 1台
24口全千兆交换机 60台
无盘服务器 10台
网络我采用三层设计：接入层——汇聚层——核心层


拓扑



既然存在电信和网通两条线路，那么就可以来实现策略路由，网上有很多地方都公布了网通的网段，我们就可以以这些为依据来做这个策略路由。

路由还是默认走电信，有到网通网段去的路由信息就分流到网通那条线路上去实现策略路由。

这里说到策略路由，其实还可以实现下载时的负载均衡，比如把下载的流量全部负载到网通那条线路上，这样就算下载再猛也不会影响到电信这条主线路。不过前提要公布信息说下载全部选择网通线路，本店网通下载不限速。

三层交换机上划分12个VLAN，5个交换机和一台无盘服务器为1个VLAN，收费机和电影服务器各自为一个VLAN。

因为曾经一个做网络工程具备很多实际经验具备CCIE认证的朋友对我说过“一个LAN下最好不要超过100台主机，不然光是一个ARP寻址就够你受的了”

而且1台服务器带100台机器我觉得已经很合适了，再多的话从营业安全均衡性方面来考虑的话就存在一定风险了。

100台机器的话，可以运用子网掩码来优化网络，255.255.255.128
比如 192.168.1.0 255.255.255.128 这个网段的地址就只有 192.168.1.1——192.168.1.126，简化了寻址的速率。

我在这里说一下双网关下如何做浮动路由，比如这里电信的网关为192.168.1.1，

网通的网关为192.168.1.2，那么浮动路由就需要下面这个CMD命令去做：

route -p add 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 1
route -p add 0.0.0.0 mask 0.0.0.0 192.168.1.2 metric 5

这里的优先级是数字越小优先级越高，1优先于5

这个命令是以电信为主，网通为辅，如果一但电信线路无效马上就转到网通线路上去，不过双WAN路由器带有自动转换所以就不需要上述命令。

关于区域划分设置的一些建议：

区域划分再加上合理的带宽分配才是真正意义上的特色

对于上网用户的需求大致可以分为三种：
第一种：视频聊天
第二种：下载和网络电影以及浏览网页
第三种：游戏。

很多网吧的做法就是以机器配制来划分区域，一般都是游戏区配置最高，其余都较差。虽然在配置上进行了区分，但是在网速上却没有任何区别，就算人家不玩游戏（除了视频聊天）我估计也会坐到高配置的机器上去，网速都一样我为何不
可以享受下高配置呢？这样从某种意义上来讲是一种资源浪费，如果想合理利用资源，在不以价格为门槛的情况下，合理分配网速才是唯一的出路。

现在的网吧路由器都带的有流量控制功能，可以限制到每一台主机（也就是每一个IP地址）的上行和下行速率。

下面我来具体分析下每种需求的带宽流量需求。

第一种：视频聊天
视频占用最多的是上行流量，对于下行流量要求并不严格，建议：
上行：160K
下行：100K

第二种：下载和网络电影以及浏览网页
下载和网络电影以及浏览网页占用最多的是下行流量，只有FTP等有对文件进行上传到服务器的行为或P2P下载等才会占用上行流量，建议：
上行：100K
下行：220K

第三种：游戏
不论上传还是下载都没有严格要求，因为我曾经监控过网络，发现很多网络游戏并不会占用太多的流量，建议：
上行：100K
下行：100K
以上设置并非特定，完全可以根据实际环境来进行自行更改。

针对现在的P2P，BT等下载的限制除限制上行下行速率外主要都在于TCP并发连接
数的限制上，我个人觉得TCP并发连接数限制在300--400就可以了。

最后我来说一些我个人的路由器安全设置经验：
1.更改路由器默认登陆密码
2.更改路由器的默认登陆端口
3.忽略来自WAN口的ping
4.设置一个不存在的IP为DMZ主机
5.只在必要时开放路由器的外网登陆，平时禁止外网登陆路由器

一些我个人的服务器安全设置经验：
1.关闭一些具有潜在危害的系统服务
2.去除cmd.exe等系统命令程序除administrator用户外其他所有用户的访问权限
来防止溢出
3.开启Windows系统自带的防火墙，不过注意开放一些服务需要用到的端口
4.利用 TCP/IP筛选来进行限制端口
5.除TCP/IP协议外的其他所有协议都进行删除
6.组策略中做一系列的安全设置
①制定用户安全策略，主要防范非法登陆
②禁止网络上的任何用户访问本机
③对 SAM 帐户的限制全部打开
④禁止任何匿名用户的访问和注册表的远程操作
⑤重命名用户帐号，还有记得给来宾用户加个高强度密码
⑥关闭系统的自动播放，主要在于防范一些利用此自运行的病毒
7. 在文件夹选项里去掉 VB，VBS，VBE，JS，JSE，SHS，WS, WSC, WSF 这些比较
有争议的脚本文件类型
8. 如非必要，不建议开启远程桌面
注：以上设置并不适用于采用共享模式的电影服务器，电影服务器建议弄成流媒
体形式，共享模式弊端太多。