电影游戏服务器在小区局域网的实施方案.doc

电影 游戏服务器 在小区局域网的实施方案电影,游戏服务器,在小区局域网的实施方案2010-12-20 18：04经济社会的发展带来了文化的繁荣，人们在不断满足自己物质要求的同时，对文化要求也上了很高的台阶。互联网技术也开始对大家不陌生起来，开始渐渐进入寻常百姓家。宽带小区就是互联网时代的产物。有一个良好的互联网环境的前提就是要有一个健康的局域网网络。那么局域网网络的健康也是分两个方面的，一个是硬的，一个是软的。不言而喻，硬的当然是指设备，而软的刚是指软件了(如病毒，杀毒软件，网络防火墙等等)。有了好的局域网环境和互联网环境，我们才能顺畅地看网络电影和网络游戏，才能在浩瀚的互联网海洋里遨游。这时代肯定有的用户会问：不卡吗?在家玩游戏看电影，卡死了。卡这个字在互联网里应该是用户提到的最多字眼了。原因在哪呢?原因很多，一般就是电脑系统不好，电脑有病毒，网络不稳定，带宽过窄，电影游戏服务器不稳，这些软故障。为何称之为软故障呢?因为这种情况下大多设备本身没有坏，而是在这些硬设备上运行的程序出现了不同程度的损坏或不兼容等问题。所以造成了本身网络带宽不够用的情况，因为不够用，使得电脑上的CPU和内存资源耗费太重，从而造成卡，死机等问题。网络这么可怕，那安全问题就显得很重要了。下面我们就来谈讨一下关于小区2000用户如何实现电影和游戏两不误了。这个方案我们分三个部分来说明，分别是网络拓朴问题，电影服务器问题和游戏服务器问题。一、网络拓朴问题网络拓朴是网络的基础，对所有的相关的网络问题很重要。这个是我们首先要说明的问题。对于硬件的施工我在这只做简单的说明，因为作为一般的网络工作人员，简单的布线和服务器架设都应该是很熟练的。(8栋楼2000个用户，那8个主交换机是必不可免的。至于每个主交换机下设置几个子交换机按施工的实际情况计算。建议主交换机用光缆千兆交换机，有条件的话可用带MAC地址绑定的。子交换机用普通千兆交换机，现在千兆交换机价格不贵，考虑到以后用不用升级的问题就不建议用百兆的了。网线可用千兆线或好一点的百兆线。那主交换机和中心交换机之间最好用光缆连接，没有条件的话用千兆线。这是物理的上的网络拓朴。)那接下来我说一下网络中的重要一环，就是网络防火墙和免疫的问题。这个问题也是现在网络内常常发生的问题。对网络信息安全和用户的网速影响很大。这就不得不提一个技术问题，如何防ARP病毒。那在做防护之前必须搞明白一个问题，什么是ARP，它造成的危害是什么?(一)、什么是ARP协议ARP协议是Address Resolution Protocol(地址解析协议)的缩写。在局域网中，网络中实际传输的是帧，帧里面是有目标主机的MAC地址的。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓地址解析就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。(二)、ARP协议的工作原理在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如附表所示。附表我们以主机A()向主机B()发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是FF.FF.FF.FF.FF.FF，这表示向同一网段内的所有主机发出这样的询问：的MAC地址是什么?网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：的MAC地址是00-aa-00-62-c6-09。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过ARP欺骗手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。RARP的工作原理：1.发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；2.本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址；3.如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；4.如果不存在，RARP服务器对此不做任何的响应；5.源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。(三)、如何查看ARP缓存表ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入arp-a就可以查看ARP缓存表中的内容了，如附图所示。用arp-d命令可以删除ARP表中所有的内容；用arp-d+空格+指定ip地址可以删除指定ip所在行的内容用arp-s可以手动在ARP表中指定IP地址与MAC地址的对应，类型为static(静态)，此项存在硬盘中，而不是缓存表，计算机重新启动后仍然存在，且遵循静态优于动态的原则，所以这个设置不对，可能导致无法上网.(四)、ARP欺骗其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是-截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是-伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，网络掉线了。一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的本事，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少黑锅。作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP-MAC双向绑定。显示和修改地址解析协议(ARP)所使用的到以太网的IP或令牌环物理地址翻译表。该命令只有在安装了TCP/IP协议之后才可用。arp-ainet_addr-Nif_addrarp-d inet_addrif_addrarp-s inet_addr ether_addrif_addr参数-a通过询问TCP/IP显示当前ARP项。如果指定了inet_addr，则只显示指定计算机的IP和物理地址。-g与-a相同。inet_addr以加点的十进制标记指定IP地址。-N显示由if_addr指定的网络界面ARP项。if_addr指定需要修改其地址转换表接口的IP地址(如果有的话)。如果不存在，将使用第一个可适用的接口。-d删除由inet_addr指定的项。-s在ARP缓存中添加项，将IP地址inet_addr和物理地址ether_addr关联。物理地址由以连字符分隔的6个十六进制字节给定。使用带点的十进制标记指定IP地址。项是永久性的，即在超时到期后项自动从缓存删除。ether_addr指定物理地址。(五)、遭受ARP攻击后现象ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象(无法ping通网关)，重启机器或在MS-DOS窗口下运行命令arp-d后，又可恢复上网。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。(六)、常用的维护方法我们来了解下这三种方法。3.1静态绑定最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。方法：对每台主机进行IP和MAC地址静态绑定。通过命令，arp-s可以实现arp sIP MAC地址。例如：arp s AA-AA-AA-AA-AA-AA。如果设置成功会在PC上面通过执行arp-a可以看到相关的提示：Internet Address Physical Address Type AA-AA-AA-AA-AA-AA static(静态)一般不绑定,在动态的情况下：Internet Address Physical Address Type AA-AA-AA-AA-AA-AA dynamic(动态)说明：对于网络中有很多主机，500台，1000台.，如果我们这样每一台都去做静态绑定，工作量是非常大的。，这种静态绑定，在电脑每次重起后，都必须重新在绑定，虽然也可以做一个批处理文件，但是还是比较麻烦的！3.2使用ARP防护软件目前关于ARP类的防护软件出的比较多了，大家使用比较常用的ARP工具主要是欣向ARP工具，Antiarp等。它们除了本身来检测出ARP攻击外，防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。3.2.1欣向ARP工具它有5个功能：?A.IP/MAC清单选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描，因为这个表格将作为对之后ARP的参照。之后的功能都需要这个表格的支持，如果出现提示无法获取IP或MAC时，就说明这里的表格里面没有相应的数据。?B.ARP欺骗检测这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面，例如，路由器，电影服务器，等需要内网机器访问的机器IP。(补充)ARP欺骗记录表如何理解：Time：发现问题时的时间；sender：发送欺骗信息的IP或MAC；Repeat：欺诈信息发送的次数；ARP info：是指发送欺骗信息的具体内容.如下面例子：time sender Repeat ARP info 22：22：22 2 1433 is at 00：0e：03：22：02：e8这条信息的意思是：在22：22：22的时间,检测到由2发出的欺骗信息，已经发送了1433次，他发送的欺骗信息的内容是：的MAC地址是00：0e：03：22：02：e8。打开检测功能，如果出现针对表内IP的欺骗，会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句，任何机器都可以冒充其他机器发送IP与MAC，所以即使提示出某个IP或MAC在发送欺骗信息，也未必是100%的准确。所有请不要以暴力解决某些问题。?C.主动维护这个功能可以直接解决ARP欺骗的掉线问题，但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。制定维护对象的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP，尽量少的广播频率。一般设置1次就可以，如果没有绑定IP的情况下，出现ARP欺骗，可以设置到50-100次，如果还有掉线可以设置更高，即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题，还是请参照上面绑定方法。?D.欣向路由器日志收集欣向路由器的系统日志，等功能。?E.抓包类似于网络分析软件的抓包，保存格式是.cap。3.2.1 Antiarp这个软件界面比较简单，以下为我收集该软件的使用方法。A.填入网关IP地址，点击获取网关地址将会显示出网关的MAC地址。点击自动防护即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP对应的MAC地址。B.IP地址冲突如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。C.您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下：右击我的电脑-管理-点击事件查看器-点击系统-查看来源为TcpIP-双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将：转换为-)，输入完成之后点击防护地址冲突，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig/all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。注意：如果您想恢复默认MAC地址,请点击恢复默认,为了使MAC地址生效请禁用本地网卡然后再启用网卡。3.3具有ARP防护功能的路由器这类路由器以前听说的很少，对于这类路由器中提到的ARP防护功能，其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击，是不能解决的。遭受ARP攻击的最常见的特征就是掉线，一般情况下不需要处理一定时间内可以回复正常上网，因为ARP欺骗是有老化时间的，过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息，使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP，1秒有个几百上千的)，它是不断的发起ARP欺骗包来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。可能你会有疑问：我们也可以发送比欺骗者更多更快正确的ARP信息啊?如果攻击者每秒发送1000个ARP欺骗包，那我们就每秒发送1500个正确的ARP信息！面对上面的疑问，我们仔细想想，如果网络拓扑很大，网络中接了很多网络设备和主机，大量的设备都去处理这些广播信息，那网络使用起来好不爽，再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题，我们抓包分析，数据包中也会出现很多这类ARP广播包，对分析也会造成一定的影响。这说了这么多，我想大家可以明白ARP是局域网内的最大杀手了吧。那我们对于一个2000用户的大局域网来说以上三种方法就真的可以解决吗?回答是不可以。为什么呢?因为上面所说仅仅是对一个小型的局域网来说的。对于这种大型的网络，那显然是力不从心了。必须要有专门的设备，专业的技术。我推荐的有两种方案：一个是找专业的路由器厂家定做专业的带网络免疫的路由器。作为2000用户的设备价格在5万元左右。而另一个方案就是软路由。由专业的软路由软件配以高配置的电脑来实现。电脑加软件配置起来大约要18000元左右。可以彻底堵决ARP问题的产生。二、电影服务器的架设当然电影服务器的架设就比较简单了。有两种办法，其一就是租用专业的电影服务器网站，让这一网段内的所有用户可以观看。当然这种方法用户自己也可以来实施，最大的优点就是方便简单，不需要专人的维护。但最大的缺点就是占用网络带宽。假设一个用户看电影所需要的带宽为300KB/S，那节假日假如有1000个用户在观看电影或下载的话，那就将300M的带宽，除非给小区提供1000M的带宽。第二种方法就是在局域网内做电影服务器，这样的话如果电影服务器是千M网卡的话，理论上就可以提供千M的带宽。因为是局域网访问，所以不占用宝贵的外网资源，也就是说可以减少网络卡的机率，而且画面流畅。是目前网吧和一些媒体网络最常用的方式。因第一种方式对用户没有技术要求，所以我们说说第二种方案。第二种方案显然要有一台好的电影服务器。那电影服务器的最大要求就是稳定，二是便于维护。简单说一下配置要求。(奔腾的CPU，2G的内存，固态电容的主板，显卡无要求，5块大容量的企业级硬盘，阵列卡，专业的服务器电源，好的千M网卡两块，还有稳定的后备UPS，等等)市场售价大约在8000元左右。但是要实现服务器能自动加载最新电影的问题，所以我们还必须要交一定量的服务费，每年的收费在1000元以下推荐你用迅捷影视。这样真正的实现无人管理。但用户也会想电影的效果会如何呢?现在就介绍一下我们的流媒体播放技术。要知道它可不是通过共享来实现的，因为那样的话可真会卡死的。(一)、什么是游戏媒体技术流媒体(Streaming Media)是指在网络中使用流式传输技术的连续时基媒体,如：音频、视频和其它多媒体文件。流媒体技术就是把连续的影像和声音信息经过压缩处理后放在网站服务器上,让用户边下载边观看、收听,而不需要等整个文件全部下载完毕后才可以观看的技术。流媒体技术不是单一的技术,它是建立在很多基础技术之上的技术。它的基础技术包括：网络通信、多媒体数据采集、多媒体数据压缩、多媒体数据存储、多媒体数据传输。然而，流媒体实现的关键技术就是流式传输。(二)什么是并发流现在很多流媒体系统都会提出一个概念就是：并发流，那什么是并发流呢?并发：指的是并发流。并发流连接数是指资源服务器对其点播流的处理能力，是视频点播系统能够同时处理的点对点连接的最大数目，它反映出服务器、带宽、软件系统设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到流媒体平台所能支持的最大信息点数。比如1000个并发视频点播流，是指1000个用户同时点播同一视频服务上的视频文件，或者是指同时点播同一视频服务器上的同一个视频文件,或者点播不同的文件都是实际的并发流。并发连接数是衡量流媒体系统性能的一个重要指标。在目前市面上常见流媒体设备的说明书中大家可以看到，从低端设备的单台服务器支持50200个并发连接，一直到高端设备的4001000并发流连接，存在着好几个数量级的差异。当然能否链接上，链接上有无缓冲，也是有很大的差异。不管是直播，还是点播，标准许服务器下，可以支持10001200并发流那么并发几率是多少?比如1000个并发视频点播流出现的机会有多大?并发机率：理论上是一般注册用户的10：1，1000个并发无缓冲的视频点播流出现至少用户在10000，一般晚上19：0023：00是并发高锋期。具体的还得看服务的用户，如果是学校的话，那一个用户就有可能就是一个并发。以上说明，可以明白，我们电影服务器的播放机制是什么样的。所以可以保证高峰时用户看电影不卡。三游戏服务器的架设首先介绍一下我们游戏服务器的技术国内领先的虚拟磁盘技术！网吧园丁的虚拟磁盘技术是完全独立自主研发,很好地解决了网吧兼容性的问题，更符合现在网吧环境的需求,完美解决ISCSI虚拟磁盘暴露出来的蓝屏、报错、游戏卡、退出等问题.聊天、看电影和玩游戏，是玩家在网吧的三大主题活动，然而，在竞争日益加剧的情况下，传统收入来源不要说赢利了，连维持生存都出现了危机。就当前形势来看，网吧多样化的经营收入将成为影响网吧生存和发展的基本要素，网吧业主只有提供越来越多的增值服务，才能为自己留住和招徕玩家，获得更大的利润空间。网吧园丁就是为了满足国内网吧管理的工作需要，网吧管理人员只要通过简单的鼠标点击，就可以控制网吧每台机器的游戏内容、电影，而且只要在电脑前就能及时全面地掌握所有网吧顾客的上网情况，极大地提高了网吧的管理效率，确确实实把有限的人力从纷繁复杂的网吧管理工作中解放出来，可以说是目前网吧管理最有效的解决方案。网吧园丁的功能与特点自主研发的虚拟磁盘技术虚拟磁盘技术是完全独立自主研发，掌握平台所有核心技术，与市场上ISICS虚拟磁盘表现出的兼容性差、运行速度慢不一样，网吧园丁虚拟磁盘更稳定，游戏运行速度与本地游戏速度相当。强大的同步功能百兆网络环境，同步速度在10m/s左右，千兆网络环境同步速度可达50m/s左右。高性能的自动更新采用了三层分发的自动更新技术，即从互联网服务器自动更新文件到本地服务器，客户端运行游戏时与本地服务器自动对比，获取升级文件，整个过程不需要人工干预，大大减少网管日常.先进的磁盘保护技术加入了磁盘保护功能，不但可以防范人为的破坏，拒绝病毒侵入，同时还可以有效避免目前网吧常用的还原卡、还原精灵等还原工具的缺陷，不会损伤硬盘，防止破解，保障游戏实时更新。服务器负载均衡支持多服务器、多层交换等大型环境，可以实现多服务器的负载均衡。这一特性使得网吧园丁平台成为同类软件中唯一能在大型网络环境中整体