网吧网络系统建设设计方案.doc

网吧网络系统建设设计方案二、网吧需求分析1、网吧总体需求概述网吧网络系统建设的主要目标是建设成为主干千兆，百兆交换到桌面；同时在大型网吧的范围内建立一个以网络技术、计算机技术与现代信息技术为支撑的娱乐、管理平台， （1）、建设安全的用户系统；（2）、建立主干跑千兆，百兆交换到桌面的网络连接；（3）、建立网吧内的200信息点的网络综合布线；（4）、各个信息点以100M交换到桌面；（6）、给用户提供网页浏览、收发邮件、QQ聊天、网络游戏、网络教育、网上电影、网上其它各类服务（7）、配置游戏服务器、电影服务器。2、市场需求调查表项目说明网吧地理位置分布高校附近或者年轻人聚集地人员组成和分布管理员、普通客户、贵宾外网连接方式和类型通过路由器外接电信和联通未来三年内发展状况用户节点可能增加到300个以上，并向娱乐与上网消费综合化现有可用资源无投资预算3、用户性能需求表项目说明接入速率需求局域网内达到至少100Mbps，广域网达到至少100Mbps扩展性需求交换机采用模块化结构以便扩展，服务器组件能够更新和扩展吞吐速率需求交换机吞吐速率应与接入速率相适应响应时间需求局域网内响应时间为1ms-2ms，广域网为60ms-1000ms并发用户数量支持一个网段内的所有用户同时访问磁盘读写性能需求服务器磁盘传输速率从应达到320Mbps左右，延迟时间短，死机现象少可用性需求服务器和工作站应具备长时间工作能力，并且在发生故障是应能够具备良好的自愈能力误码率需求误码率应较低，约10-810-104、网络功能需求表项目说明是否需要网络管理系统需要是否需要服务器管理系统需要是否需要第三方数据备份和容灾系统需要是否需要网络存储系统需要，针对电影服务器是否需要DNS，DHCP服务器不需要服务器特殊功能需求是否支持内存镜像和阵列需要初始磁盘数量和容量配置根据需要而确定，但要预留一定空余容量磁盘阵列类型和级别RAID5是否支持服务器群集支持其他功能需求交换机特殊功能需求第三层路由核心和汇聚层交换机支持三层路由VLAN具备划分VLAN功能QoS支持Web管理支持数据交换支持其他功能需求路由器特殊功能要求网络隔离支持流量控制支持身份认证支持数据加密支持Web管理支持其他功能5、应用需求表项目当前以及将来三年的应用需求期望的操作系统Window Server 2003/2008Window XP Professional SP3，Window Vista SP1期望的办公系统Office 2007期望的数据库系统SQL Server2000/2008打印、传真、扫描服务支持打印、复印、传真、扫描网站系统的应用需要开发网站邮件系统的应用不需要内网主要应用视像聊天、VOD点播、IP电话、商务会议、游戏对战外网主要应用视像聊天、浏览网页、收发邮件、聊天、听歌、IP电话、打游戏等个人以及联机娱乐其他应用需求三、网络规划设计1、网吧设计原则综合布线同传统的布线相比较，有着许多优越性，是传统布线所无法比及的。其特点主要表现为它的兼容性、开放性、灵活性、可靠性、先进性和经济性。而且在设计、施工和维护方面也给人们带来了许多方便。兼容性：综合布线的首要特点是它的兼容性。所谓兼容性是指它自身是完全独立的而与应用系统相对无关，可以适用于多种应用系统。综合布线将语音、数据与监控设备的信号线经过统一规划和设计，采用相同的传输介质、信息插座、交连设备、适配器等，把这些不同信号综合到一套标准的布线中。由此可见，这个布线比传统布线大为简化，节省大量的物资、时间和空间。开放性：该系统采用开放式体系结构，符合多种国际上现行的标准，它几乎对所有著名厂商的产品都是开放的，并支持所有通信协议。灵活性：该系统采用标准的传输线缆和相关连接硬件，模快化设计，所有通道都是通用的，而且每条通道可支持终端、以太网工作站及令牌网工作站。所有设备的开通及更改均不需改变布线线路，组网也可灵活多变。可靠性：该系统采用高品质的材料和组合压接的方式构成一套高标准的信息传输通道，所有线缆和相关连接件均通过ISO认证，每条通道都要采用专用仪器测试链路阻抗及衰减率，以保证其电气性能。应用系统全部采用点到点端接，任何一条链路故障均不影响其它链路的运行，从而保证了整个系统的可靠运行。先进性：该系统采用光纤和双绞线混合布线方式，极为合理地构成一套完整的布线。所有布线均采用世界上最新通信标准，链路均按8芯双绞线配置。5类双绞线的数据最大传输率可达到155Mbps，对于特殊用户的需求可把光纤引到桌面。干线语音部分采用电缆，数据部分采用光缆，为同时传输多路实时多媒体信息提供足够的裕量。经济性：虽然综合布线初期投资比较高，但由于综合布线将原来相互独立、互不兼容的若干种布线集中成为一套完整的布线体系，统一设计，统一施工，统一管理。这样可省去大量的重复劳动和设备占用，使布线周期大大缩短。另外，综合布线系统使用简单、方便，维护费用低，可以满足三维多媒体的传输和用户对ISDN、ATM的需求。可见综合布线系统具有很高的性能价格比。根据以上种种特性需求，网络设备核心层、汇聚层、接入层产品、防火墙和管理系统选型上，我们推荐选择锐捷网络全套产品构架校园网络。锐捷网络是国内领先的网络厂商，教育行业第一品牌；其对教育行业有着深刻的了解，其产品、方案与服务在教育行业有成熟和广泛的应用，而且能通过智能、安全及可靠的网络设备连为一体，来构建网络系统的设计目标，保障其顺利进行。结合实际建网情况和前期网络建设，在充分研究了目前国内外网络界对园区网设计所采用的各种网络主干技术,并充分考虑到技术发展的主流和趋势后，建议选择万兆以太网为目标，构建本期国际标榜职业学院的网络建设，设计“万兆可扩展、千兆主干、百兆交换桌面”的网络拓扑结构，根据需求分析，结合对应用系统的考虑，提出本期网络系统的设计目标：高性能、高可靠性、高稳定性、高安全性、可运营、可管理、可增值的智能安全网络。2.网吧逻辑拓扑图3、网络层次设计二百台以上的网吧，可以采取接入层、汇聚层、核心层三个网络层次的设计。接入层，对于二百台的机器来说，选择一个合理的接入设备，是最关键的，而且我们要根据接入设备选择合适的带宽。我们可以简单计算一下网络带宽来决定网络接入设备的总带宽，每台机器最大的网络流量200KB字节计算，二百台机器是40000KB字节左右，加上30的网络损耗，网络总带宽应该为52000KB字节，我们的光纤初步可以选择为60MB的接入。当然了，为了加快网络速度，你也可以选择百兆的接入点。这样看来，我们的网络接入层可以选择为百兆设备。接入带宽计算出来了，我们就选择网络接入设备，是用硬件路由器，还是用软路由。对于网吧来说，我个人感觉还是用软路由。硬件路由器，国内的生产厂商的技术不是太成熟，国外的产品，主要是针对于ISP接入商或对网络功能要求较高的用户而设计，并不适用于我们的网吧。硬件路由器与软路由的一个最大的区别就是硬件路由器的功能多而强大。在软路由方面，我们可以用以下选择，Smoothwall、Icpop、Route Os、Linux等软件，比较看来，K71g兄弟制作的软路由，功能还是比较强大，而且速度不次于专业的电信级路由器。核心层核心层是整个局域网的关键部分，由于网吧内部的数据交换量特别大，因此，我们在选择核心层设备的时候，一定要选择一款合适的网络设备。二百台机器的网吧，至少要选择千兆的三层交换设备，支持VLAN功能，划分VLAN是我们的必选之路三层交换的背板带宽不能低于64Gbps，而且要支持MAC地址学习功能，MAC地址表不能小于32KB网络设备，支持网络管理功能，方便我们的管理和维护汇聚层网络设备的端口数量，网络端口数量少些。重要的是最好选择模块化设备，方便以后我们的网络升级和改造。汇聚层汇聚层是整个局域网的重要部分，由于网吧内部的数据交换量特别大，因此，我们在选择汇聚层设备的时候，一定要选择一款合适的汇聚层网络设备。二百台机器的网吧，可以选择千兆的三层交换设备，支持VLAN功能，划分VLAN是我们的必选之路三层交换的背板带宽不能低于32Gbps，而且要支持MAC地址学习功能，MAC地址表不能小于32KB汇聚层网络设备最好支持网络管理功能，方便我们的管理和维护汇聚层网络设备的端口数量，最好要比我们设备的网络端口数量多出一些，方便以后我们的网络升级和改造。虽然我们的接入层选择的是百兆网络设备，由于我们网吧中，相当大一部分数据流量，不必经过接入层，因此我们在选择接入层的网络设备时，没有必要与汇聚层网络设备同步。接入层接入层是整个网络中间层，连接着汇聚层和网络节点，是决定我们整体网络传输质量的很重要的一个环节。交换层的网络设备，首选千兆，考虑到成本的话可以选择百兆。接入层设备选择时，需要满足下列要求：支持千兆传输带宽，背板传输大于16Gbps，支持MAC地址学习功能，MAC地址表不能小于8KB。4、网络设备选择设备的选型是网络设计当中非常关键的部分，严格的选型可以达到最佳的效果，即系统相对独立，升级简便，组网方式灵活，以保护现有投资和未来的发展。所以为了满足网吧目前的需求，立足长远发展，网络设备的选型除了依据提出的需求外，还需遵循上面的设计原则。此次建设的网吧网络有三个层次节点：1）核心节点；2）汇聚节点；3）接入节点；这三类节点，对设备的选择有不同的考虑。4.1、交换机选型目前在Csico公司中，用于企业局域网的交换机系列性价比较高就是Cisco Catalyst6500系列。这一方案中的网络结构，核心层采用同时支持第二、三和四层的电信企业级 Cisco Catalyst 65 00系列核心交换机，根据不同网络规模和应用需求，可以有3槽、6槽、9 槽和1 3槽的机箱不同硬件和性能配置选择；汇聚层也可根据不同的网络规模和应用需求可选用支持第二、三和四层的Catalyst 4500系列交换机的不同型号，如7个插槽的Cisco Catalyst 4507R、6个插槽的Cisco Catalyst 4506和3个插槽的Cisco Catalyst 4503；接入层则可选用运行第二、三层的Catalyst 3750系列中的Catalyst 3750G-24TS或者Catalyst 3750G-24T型号交换机；或者可选择二层的Cisco Catalyst Express 500系列交换机。在本方案中，核心层采用机箱结构的模块化交换机，汇聚层交换机支持堆叠，不仅可扩展性能得到高度保障，而且对于各种类型和复杂程度的应用均可以通过它们所提供的各种类型、用途和带宽端口实现。本设计方案参照 ISO/IEC ISO 11801ANSI/TIA/EIA568A 及江苏省地方标准之结构化综合布线系统的有关规定设计，采用符合超5类标准的布线线缆和连接硬件，并由公司认证的设计人员设计，以确保整个系统的规范和质量。本系统支持语言和数据(图像、多媒体)传输，可满足快速以太网、ATM155Mbps /622.5Mbps及千兆以太网等应用场合。方案产品介绍Cisco Catalyst 6500系列交换机含有多种集成式服务模块，包括数干兆位网络安全性、内容交换、语音和网络分析模块，能够提供安全的端到端融合网络服务，其使用范围从布线室到核心，再到数据中心和广域网边缘。CiSCO Catalyst 6500系列能够通过多种机箱配置和LANWANMAN 接口提供可扩展的性能和端口密度，因而能帮助企业和电信运营商降低总体拥有成本。在所有CiSCO Catalyst 6500系列机箱中采用了拥有通用模块组和操作系统软件的前瞻性架构，提供了高水平的运营一致性，可以优化IT基础设施，增强投资回报。从48576个 1 O1 OO1 OOOMbps端口或11 52个1 O1 OOMbps端口的以太网布线室，到支持1 92条1 Gbps或32 个1 OGbps中继线的每秒数亿转发速率的网络核心。CiSCO Catalyst 6500系列交换机利用冗余路由和转发引擎问的状态化故障转换功能，提供了理想的平台功能，大幅度延长了网络正常运营时间。思科新一代CiSCO Catalyst 6500系列模块和Supervisor Engine 720引擎采用了11种思科开发的全新特定应用集成线路(ASCI)，不但扩展了思科在网络界的领先地位，还能提供无与伦比的投资保护。交换机选型如下表：产品型号核心层：思科 WS-C6506-E汇聚层：思科 WS-C4506接入层：思科 WS-C3750G-48PS-E参考图片产品类型千兆以太网交换机企业级,四层,可网管型交换机企业级,三层,可网管型交换机,快速以太网交换机传输方式存储转发方式存储转发方式存储转发方式背板带宽480Gbps100Gbps32Gbps包转发率243 Mpps75Mpps13.1Mpps最大DRAM内存1024M接口类型DS0 到 OC-48, 100BASE-FX10/100/1000BASE-T端口10/100BASE-TX端口,10/100Base-TX接口数目6口48口传输速率10/100/1000Mbps10M/100M/1000Mbps支持网络标准IEEE 802.3, IEEE 802.3u, IEEE 802.1s, IEEE 802.1w, IEEE 802.3adIEEE 802.310BASE-T,IEEE 802.3u、100BASE-TX,IEEE 802.3、10BASE-FX,IEEE 802.3z、IEEE 802.3x、IEEE 802.3ab,10BASE-X（GBIC）IEEE 802.3, 802.3u, 802.3x参考价格：￥52500￥27000￥257004.2、路由器选型思科3800系列路由器介绍Cisco 3800系列是集成了先进技术、自适应服务和安全企业通信的下一代路由器系列中的旗舰平台。为了有效地提供关键网络功能，包括实时应用，如VoIP、商业视频和协作通信等，这些新型路由器提供了必备的性能和可靠的数据包传输。系统架构的改进包括内嵌安全处理流程、大幅提高平台性能和内存，以及全新的高密度接口类型。关键特性：u Cisco IOS软件防火墙基于应用的状态化过滤功能（基于环境的访问控制）；逐个用户验证和授权；实时报警；透明防火墙；IPv6防火墙u VPN数据加密标准（DES）、三重DES（3DES）和高级加密标准（AES）128、192和256加密支持；内嵌于母板上、基于硬件的VPN加速功能；利用第三层压缩支持可选、更高性能、基于AIM的安全加速；通过VPN模块支持高达1800个隧道；Cisco Easy VPN远程和服务器支持；DMVPNu 多协议标签交换（MPLS）VPN支持特定运营商边缘功能；虚拟路由和转发（VRF）防火墙和VRF IPSecu 板载USB 1.1端口未来支持安全令牌和闪存u IPSCisco IOS软件支持700多个IPS签名，能够加载和支持选定的IPS签名；可选的高性能IDS网络模块支持1000多个IPS签名u URL过滤可选的板载内容引擎网络模块；基于外部服务器的Cisco IOS软件的本地URL过滤u 思科路由器和SDM是所有Cisco 3800系列路由器的标准配备u IP电话支持可选的集成供电，带馈线电源；802.3af支持360W馈线电源u 模拟语音支持高达88个FXS和56个FXO端口；数字语音支持多达720个呼叫；母板上的分组语音数字信号处理器（DSP）模块（PVDM）插槽母板上4个PVDM插槽；本地会议和语音编码转换；u Cisco CME支持多达240部电话；SRST支持多达720部电话u 语音留言利用Cisco Unity Express网络模块可支持最多120个用户的语音信箱u 语音接口FXS、FXO、DID、E&M、集中自动信息记帐（CAMA）、BRI、T1、E1、J1、PRI、Q.SIG、通道关联信令（CAS）思科 3825-AC-IP 参数说明参考价格： ￥45450 产品型号：3825-AC-IP 产品类型：模块化,企业级,集成多业务路由器 处理器：RISC QED RM5271 225MHz DRAM内存：1024MB Flash内存：256MB 产品型号3825-AC-IP产品类型模块化,企业级,集成多业务路由器包转发率10Mbps:14,880pps,100Mbps:148,810pps,1000Mbps:1,488,100pps处理器RISC QED RM5271 225MHzDRAM内存1024MBFlash内存256MB固定广域网接口可选固定局域网接口2 个千兆位以太网 控制端口Console扩展插槽有扩展插槽,1个 SFP 插槽,2个 NME,4个HWIC,2个 AIM 插槽,4个PVDM 插槽网络管理支持SNMP管理,Cisco ClickStartVPN支持VPN功能QoS支持QoS功能内置防火墙有内置防火墙认证标准UL 60950:CAN/CSA C22.2 No.60950,IEC 60950,EN 60950-1,AS/NZS 609504.3、UPS选型UPS选型综合描述在局域网中配置UPS(不问断电源)是非常必要的，特别是对于服务器和一些关键应用的用户机，它可以在市电网供电停止的情况下继续给相应设备提供电源，以备这些设备完成数据存储和正常退出，而不会出现因断电而造成系统或数据损坏和丢失一个典型的网吧局域网通常拥有服务器、网络交换机、路由器、网管工作站、数据存储器、，PC、打印机以及其他各种终端设备。由于网吧的节点数量多，而且各个节点可能分散在不同的地点，这样就会有位于不同地点的多台UPS需要维护，因此，在网吧中使用的UPS 有其自身的特点，在选型和配置时必须加以注意。在UPS选购方面，我们应当着重注意以下几个方面：品牌，类型，功率容量。现在市场上常见的UPS品牌主要有山特、山顿、APC、飞瑞、致茂、HP等，最好选择这些经受过市场考验，并得到广大用户认可的品牌。在我国，主要是以山特、APC、山顿等少数几个品牌的UPS产品应用最广。目前主要有离线式、在线式和在线互动式3种UPS电源，虽然从理论上来说在线式最好，但要注意同时它的价格也是最高的。UPS的价格除了与品牌和种类有密切关系外，还与所提供的功率关系密切，通常当然是功率越大，价格越高。所以，从经济角度来考虑的话，也要根据具体应用选择不同功能的UPS 电源。当然UPS的最大功率一定要比所连接负载的总功率高203 0，这样才能使UPS更好地为负载供电。有时我们不能单看UPS的标称功率，还要看它实际承受负载的能力。这时我们就可做一个实验，首先看它的充电时间，然后在带一定负载的情况下让它为设备供电，看它能否达到厂家所标称的后备供电时间值。有人认为充电时间无关紧要，这在大多数情况下是这样的，但在一些经常停电的地区，这个充电时间指标还是相当重要的。因为只有足够快的充电速度，才能确保第二次停电时有足够的电力应对后面的停电。UPS选型综合考虑 通常，局域网的中心机房应采用1 O20KVA中等容量的在线式UPS集中供电方式，并采用双机热备份或并联供电，确保供电安全可靠。而对于网吧中众多的无法集中设置的PC、路由器、打印机等设备，通常采用离线式或者在线互动式500VA2KVA小容量UPS提供电力保障，当然有条件，而且有需要的话，也可以选用对电网没有污染的在线式UPS。这是因为离线式或在线互动式UPS都属于低端产品，其可靠性和故障率等技术性能都不如在线式UPS；另外在遇到比较恶劣的电网环境时，基本上无法抑制电网干扰传至网络设备，容易影响局域网正常工作。主要UPS种类及各网络设备UPS选用原则参见表。UPS种类离线式在线互动式在线式容量500VA2KVA1 KVA5KVA1KVA1000KVA功能基本功能较完善保护功能完善保护功能转换时间10ms4msOms输出波形方波正弦波正弦波适用负载PC工作站、终端工作站、网络设备服务器、小型机山特A UPS系列山特A UPS系列UPS是集当今电力电子和自动控制领域最新成果于一身的高档智能化 UPS的代表，具有全面的智能化控制和管理功能。A UPS采用抽屉式高智能模块化设计，机柜内可装16个UPS模块，每个UPS模块为 4KVA，且都是一台功能完备的UPS，通过先进、独创的并机及通信方式并联起来，完全实现了随意组合、热插拔等功能，方便维护及更换。可通过增减机柜内UPS模块来满足功率输出及可靠性要求，具有极大的弹性，实现最佳性价比。山特 C10KS 参考价格： ￥13590方式：智能型在线式容量：6KVA 备用时间：视外接电池容量而定分钟 基本参数型号C6KS方式智能型在线式容量6KVA备用时间视外接电池容量而定分钟电池外接电池输入电压范围176-276V输入频率范围46-54Hz输出电压范围220(11)V输出频率范围50(10.1)Hz输出电压波形正弦波外观尺寸570X260X717mm其它性能重量:35KG/环境条件:工作温度:0-40度C;工作湿度:20%-90%;存储温度:-25-55度C;存储湿度:5%-90%山特 C10KS 参考价格： ￥25900 方式：智能型在线式 容量：10KVA 备用时间：根据客户要求可配置30分钟到10个小时 基本参数型号C10KS方式智能型在线式容量10KVA备用时间根据客户要求可配置30分钟到10个小时输入电压范围176-276V输入频率范围46-54Hz输出电压范围220(11)输出频率范围50(10.1)其它性能瓦特额定值:7000W,电压:160Vac276Vac,电池:12V/7AH*40,接口:RS232串行接口,保护:电池低电压，短路、超载、过稳保护重量:38kg4.4、服务器选型戴尔 PowerEdge 2950(Xeon E5405*2/4GB/300GB*3)参考价格： ￥18300产品类型：机架式 处理器：Intel Xeon E5405 2.0G 标配CPU数目：标配2个 标配内存：4096M 标配硬盘：3*300G 产品型号PowerEdge 2950(Xeon E5405*2/4GB/300GB*3)产品类型机架式上市时间2008年处理器Intel Xeon E5405 2.0G处理器主频(MHz)2000MHz处理器二级缓存(KB)12288KB标配CPU数目标配2个总线频率(MHz)1333MHz标配内存4096M支持操作系统Windows Server 2003 R2, Enterprise Edition, Windows Server 2003 R2, Web Edition , Windows Server 2003 R2, x64 Enterprise Edition , Windows Server 2003 R2, x64 Standard Edition ,Windows Storage Server 2003 R2, Workgroup Edition4.5、防火墙选型随着Internet的迅速发展，如何确保信息和网络的自身安全性问题。尤其是在开发互联环境中进行商务机密信息的交换中，如何保证信息存取不被窃取和篡改，已成为企业非常关心的问题。作为开放安全企业联盟（OPSEC）的组织和倡导者之一，XX防火墙的主要特点分为三大类，第一类为安全性类，包括访问控制、授权论证、加密、内容安全等；第二类是管理和记账包括安全策略管理、路由器安全管理、记账、监控等；第三类为连接控制，主要为企业消息发布的服务器提供可靠的连接服务，包括负载平衡、高可靠性和高机密性等。思科防火墙 PIX与ASACisco PIX是一种专用的硬件防火墙。 所有版本的Cisco PIX都有500系列的产品号码。最常见的家用和小型网络用产品是PIX 501；而许多中型企业则使用PIX 515作为企业防火墙。 PIX防火墙使用PIX操作系统。虽然PIX操作系统和Cisco IOS看起来非常的接近，但是对那些非常熟悉IOS的用户来说，还是有足够的差异性弄得他们头昏脑胀。一般情况下，一台PIX防火墙有个外向接口，用来连到一台Internet路由器中，这台路由器再连到Internet上。同时，PIX也有一个内向接口，用来连到一台局域网交换机上，该交换机连入内部网络。而ASA是Cisco系列中全新的防火墙和反恶意软件安全用具。ASA系列产品都是5500系列。企业版包括4种：Firewall，IPS，Anti-X，以及VPN。而对小型和中型公司来说，还有商业版本。所有型号均使用ASA 7.2.2版本的软件，接口也非常近似Cisco PIX。Cisco PIX和ASA在性能方面有很大的差异，但是，即使是ASA最低的型号，其所提供的性能也比基础的PIX高得多。虽然PIX是一款非常优秀的防火墙，但是安全方面的情况却在日新月异。仅仅使用一台静态数据包过滤防火墙来对你的网络进行保护已远远不够了。对网络而言，新的威胁层出不穷包括病毒，蠕虫，多余软件（比如P2P软件，游戏，即时通讯软件），网络欺诈，以及应用程序层面的攻击等等。如果一台设备可以应付多种威胁，我们就称其提供了“anti-X”能力，或者说它提供了“多重威胁（multi-threat）”防护。但PIX恰恰无法提供这种层次的防护。 绝大多数公司不希望采用安装一台PIX进行静态防火墙过滤，同时再使用一些其他的工具来防护其他威胁的办法。他们更希望采用一台“集所有功能于一身”的设备或是采用一台UTM（统一威胁管理）设备。而ASA恰好针对这些不同类型的攻击提供了防护。它甚至比一台UTM设备更厉害不过，要成为一台真正的UTM，它还需要装一个CSC-SSM模块（CSC-SSM，内容安全以及控制安全服务，Content Security and Control Security Service）才行。该模块在ASA中提供anti-X功能。如果没有CSC-SSM，那ASA的功能看起来会更像一台PIX。那么，到底哪一个才适合网吧呢？正如我们业通常所说的，这要看网吧的需求而定。不过，我还是倾向于优先选择ASA，而后才是PIX。首先，一台ASA的价格要比同样功能的PIX要低。除去成本的原因不谈，至少从逻辑上来说，选择ASA就意味着选择了更新更好的技术。思科 ASA5580-40-10GE-K9参考价格： ￥600578产品类型：企业级防火墙 最大吞吐量：10000Mbps 固定接口：4个10/100/1000 产品型号ASA5580-40-10GE-K9产品类型企业级防火墙最大吞吐量10000Mbps安全过滤带宽1000Mbps固定接口4个10/100/1000网络管理思科安全管理器(CS-Manager),Web用户数限制无用户数限制并发连接数2000000并发连接数VPN支持VPN功能认证标准UL 60950, CSA C22.2 No.60950,EN 60950 IEC 60950,AS/NZS60950功能特点控制端口:console,1个RJ-45工作温度:10-35;工作湿度:10-90%不凝结;存储温度:-30-60;存储湿度10-95%不凝结 高性能防火墙、IPS、以及IPSec和SSL VPN和IPSec VPN(750 个设备对)软件,支持防垃圾邮件、URL 阻拦和过滤,以及防网络钓鱼5、Internet接入目前,针对网吧的接入方式有三种,一种是DDN专线,另外一种是光纤接入,还有一种就是类似家庭宽带的ADSL接入。随着电信运营商对网络的改造,目前光纤接入已经成为一种主流的接入方式,DDN专线接入是北京网吧的一大特色。从稳定性相比,光纤接入的速度是最稳定的,DDN专线其次,ADSL接入方式的的稳定性最差,而且容易受天气变化的影响。三种网络接入方式的资费,与稳定性是成正比的。虽然光纤接入已经非常普及,但是由于运营商网络覆盖范围不同,网吧可以选择的网络接入方式也是不同的。因此,网吧在选择店面的时候,一定要提前考虑店面是否有合适的网络接入方式,一旦店面确定下来,如果没有合适的接入方式,会对网吧经营者造成不可估量的损失。电信业务的拆分,使得中国有了多个电信运营商,长江以南是电信,长江以北是网通,除此之外,各地还有铁通、移动、联通等多家运营商共存。到底选择哪一家电信运营商作为网吧的接入商,也是非常有学问可讲的。铁通、移动、联通不是主流的宽带运营商,网络稳定性肯定不及电信和网通这两家宽带运营商。因此,网吧经营者在选择网络接入商时,一定要选择当地主流的网络接入商。众所周知,长江以南是中国电信的天下,网吧经营者最好选择电信网络接入;长江以北是中国网通的天下,网吧经营者最好选择网通网络接入。电信的拆分为网吧也带来了诸多不利影响,使用网通接入的网吧,访问电信的网站和使用电信接入的网络游戏服务器时,效果非常差,很多网吧开始同时使用网通和电信双线路接入。就目前的网络环境来看,双线路接入完全没有必要,网络游戏运营商和一些网站,已经分别租用电信和网通的服务器,解决了互联互通的问题,网吧没有必要再使用双线接入,毕竟双线的成本意味着宽带费用要增加一倍,而效果却与使用单线接入是相同的结果。当我们的网络确定使用哪家电信运营商接入后,还有一个重要的网络参数需要网络经营者选择,这就是网络带宽。也就是我们通常所说的宽带速度。由于带宽大小与资费直接挂钩,网吧经营者必须选择一个合适的带宽才可以,带宽太小,上机高峰时段容易卡机,带宽太大,网吧经营者要承担太高的宽带费用。宽带带宽的大小选择,可以根据网吧的客户机数量来计算就网吧目前提供的多项网络服务来说,网络游戏、视频聊天、在线电影被称为最耗费带宽的三种业务,为此我们计算带宽大小的时候,要想保证网络传输质量,首要把带宽消耗大户考虑在内。一般来说,要想让在线电影和在线视频保持流畅,我们可以计算出带宽消耗的极限值。以单台机器来说,视频聊天需要占有50Kbps的带宽,在线电影需要占用200Kbps的带宽,网页一般仅仅需要占用20Kbps左右的带宽,而且是瞬间占有,网络游戏需要占用7Kbps左右的带宽,这样,一台机器的极限带宽是377Kbps。一家拥有一百台机器的网吧,接入带宽为37700Kbps,也就是37Mbps,加上线路的损失,申请一条50Mb的宽带是绰绰有余的。在这里,网吧经营者必须明白一个参数,网吧的接入带宽Mbps与文件下载速度之间MB之间的区别。电脑的基本原理是二进制,在电脑程序中,电脑只承认0和1两个数字。电脑最小的存储单位是字节,而一个字节是由八个二进制的位组成的。网络速度的单位是比特率bps,意思是比特位每秒。对于网络速度来说,1Mbps=1024Kbps,而存在单位的1MB=1024KB。正是由于单位的不同,网络接入带宽的实际值并不等于网络的理论下载速度,网络的理论下载速度是由网络速度的理论值,除以8得到的。因此,一家使用100Mb宽带接入的网吧,实际的下载速度仅仅可以维持在11MB左右。6、IP地址划分地址选取可用的地址为A类，B类，C类，各类地址的网络地址一样，容纳的主机数量不一样，所以要根实际情况选取。若选用C类地址，则总共容纳的有效主机数量为254，若只有一个子网，则满足要求。由于将网吧划分为4个子网，所以需要重新规划IP。用C类地址划分子网，若向主机位借2位，可以划分4个子网，但有效子网只有2个（要去掉全为0和全为1的子网），所以需要向主机位借3位，则有效子网数为6，满足子网个数需求。借出3位后，主机位剩下5位，可以容纳30台有效主机。不满足网吧200台主机需求，所以不能选用一个C类地址，然后借主机位来划分子网。所以选用四个C类IP地址，每类容纳的有效主机数量为254，满足网吧需求。并且具有很大的扩展空间。其子网掩码为：255.255.255.0。路由器NATNAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat 和 端口多路复用OverLoad。 静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，而是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。综合考虑，由于网吧的的主机数较多，这里采用动态转换。IP地址分配vlan1网络地址：192.168.1.0/24 默认网关：192.168.1.1vlan2网络地址：192.168.2.0/24 默认网关：192.168.2.1vlan3网络地址：192.168.3.0/24 默认网关：192.168.3.1vlan4网络地址：192.168.4.0/24 默认网关：192.168.4.1路由器到核心交换机端口：192.168.10.1 255.255.255.252核心交换机借路由器端口：192.168.10.2 255.255.255.252IP分配方式考虑到网吧有两百台主机，数量较大，所以采用DHCP分配IP地址。使用DHCP时必须在网络上有一台DHCP服务器，而其他机器执行DHCP客户端。当DHCP客户端程序发出一个信息，要求一个动态的IP地址时，DHCP服务器会根据目前已经配置的地址，提供一个可供使用的IP地址和子网掩码给客户端。使用DHCP的优点DHCP使服务器能够动态地为网络中的其他服务器提供IP地址，通过使用DHCP，就可以不给Intranet网中除DHCP、DNS和WINS服务器外的任何服务器设置和维护静态IP地址。使用DHCP可以大大简化配置客户机的TCPIP的工作，尤其是当某些TCPIP参数改变时，如网络的大规模重建而引起的IP地址和子网掩码的更改。DHCP服务器上的IP地址数据库包含如下项目： 对互联网上所有客户机的有效配置参数。 在缓冲池中指定给客户机的有效IP地址，以及手工指定的保留地址。 服务器提供租约时间，租约时间即指定IP地址可以使用的时间。在网络中配置DHCP服务器有如下优点： 管理员可以集中为整个互联网指定通用和特定子网的TCPIP参数，并且可以定义使用保留地址的客户机的参数。 提供安全可信的配置。DHCP避免了在每台计算机上手工输入数值引起的配置错误，还能防止网络上计算机配置地址的冲突。 使用DHCP服务器能大大减少配置花费的开销和重新配置网络上计算机的时间，服务器可以在指派地址租约时配置所有的附加配置值。 客户机不需手工配置TCPIP。 客户机在子网间移动时，旧的IP地址自动释放以便再次使用。在再次启动客户机时，DHCP服务器会自动为客户机重新配置TCPIP。 大部分路由器可以转发DHCP配置请求，因此，互联网的每个子网并不都需要DHCP服务器。DHCP缺点IP地址随机性：用户的IP地址是随机分配的，具有不确定性。 访问权限变化：如果用户的访问权限是基于IP地址划分的，则访问权限随IP地址不同而变化。 不可被访问：通过DHCP获得的IP地址具有不确定性，用户被访问难度较大。 应用不连续：如果用户在不同网段的WLAN之间不间断使用网络时，IP地址的改变会造成应用中断。 安全性差：外来的网络用户会对网络本身造成安全威胁 四、管理和实施方案1、网吧计费管理 收费管理软件比较毋庸置疑，Pubwin与万象是当今使用网吧最多的两款收费管理软件，在功能、产品成熟度、易用性方在都领先于其他对手。万象在功能、界面等多个方面都要优于其他软件，以35.8%的支持率领跑网吧收费软件市场，Pubwin排名第二，二至五位分别是美萍、一卡通、雨人。 万象网管软件万象网管软件是开发销售长达五年的产品，结合长期的网管软件制作经验和先进的网吧经营理念，打造的网管软件。它的横空出世，彻底让网吧业主从纷繁的管理工作中解脱出来，是真正满足大中小型网吧运营管理需要的软件。庞大的用户群，简单直观的操作界面，使您无需再对技术服务人员进行培训，即可迅速上手操作，为您节约大量时间和成本。界面友好、计费准确、功能完善、安全稳定，是网吧业主的得力助手。2、还原软件还原软件比较网吧是电脑使用频率很高的场所，必须时刻保护系统的稳定性，才能保障网吧持续稳定的经营，而还原软件则是系统稳定运行的保证。 08年的评选，老牌“劲旅”冰点以超过50%的支持率傲视群雄。两年后，冰点像是放慢的前进的步伐，功能上被还原精灵一举超越。还原精灵取得26.5%的支持率，高于冰点的24.4%。而且根据用户的粘合度来看，还原精灵未来将会得到更多用户的支持，市场份额将进一步扩大。 冰点还原精灵可以保护您的硬盘免受病毒侵害，重新恢复删除或覆盖的文件，彻底清除安装失败的程序，并避免由于系统死机带来的数据丢失等问题。只需简单的几步安装，即可安全地保护您的硬盘数据。还原精灵的安装不会影响硬盘分区和操作系统。轻松安装、动态保护、实时瞬间恢复 。3、网吧游戏更新软件 游戏更新软件比较随着网吧市场的扩大，网吧对服务于它的软件要求越来越高，游戏更新软件因为能够影响网吧声誉和生意而倍受“宠爱”。 游戏更新软件，比的就是功能、速度、技术。纵观整个市场，锐起、强者、易游、讯闪、网维大师都是其中的佼佼者。讯闪可谓是游戏更新软件老品牌，产品相当成熟，用户支持度也较高，可惜的是近期发展脚步有些放慢，被网维大师一举超越，仅列第二。 网维大师产品通过两年的发展已经比较成熟，市场占有率最高；但讯闪2008版本推出后产品品质有了质的飞跃，并凭借免费策略，增长迅速，并得到用户广泛支持，成为08年网吧最受欢迎的游戏更新软件。 网维大师网维大师是由顺网科技独立研发完成的具有“还原穿透”技术、内容更新及管理自动化、游戏三层自动更新以及防ARP功能的网吧管理系统。 4、网吧监控方案 网吧监控的背景当前在构建社会主义和谐社会的号召