大型网吧的一次Cisco 3700系 路由器优化方案
本文适合北京采用公网IP地址 并且计划在网内采用内部地址的网吧学习。
外地如果有类似情况的也可以参考,本文为特种兵007原创。转载请不要忘记在角落里写上原著……
北京某朋友说网吧有点问题,具体情况如下:
带宽10M独享北京电信通接入 机器数量450台
路由器是 Cisco 3700系列 应用程序路由器
分配的IP地址:(为了安全起见,下面的IP地址为伪造,但是性质相同)
60.195.11.1~ 60.195.11.254 netmask 255.255.255.0
60.195.12.1~60.195.12.63 netmask 255.255.255.0
218.247.242.93---218.247.242.99 netmask 255.255.255.224
192.168.0.1~ 192.168.0.254 netmask 255.255.255.0
其中192.168.0.1~ 192.168.0.254通过NAT出外网,NAT地址池采用218.247.242.94---218.247.242.99 这5个地址。
这些地址都通过DHCP给客户机分配。
故障问题1:CS无法跨网段互连
故障问题2:IP混乱 大量数据报文经过路由器 路由负载很大
为了解决这个问题,我要来了他们路由器的配置表:
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
enable secret 5 (密码部分隐蔽)!
no aaa new-model
ip subnet-zero
ip cef
!
!
!
no ip domain lookup
no ftp-server write-enable
!
!
!
!
interface FastEthernet0/0
ip address 172.30.99.222 255.255.255.252
ip access-group li in
ip access-group li out
ip accounting output-packets
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 60.195.12.1 255.255.255.0 secondary
ip address 218.247.242.93 255.255.255.224 secondary
ip address 192.168.0.1 255.255.255.0 secondary
ip address 60.195.11.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
ip nat pool wang 218.247.242.94 218.247.242.99 netmask 255.255.255.224
ip nat inside source list 120 pool wang overload
ip classless
ip route 0.0.0.0 0.0.0.0 172.30.99.221
ip http server
!
ip access-list extended li
permit icmp 60.195.11.0 0.0.0.255 host 60.194.0.1
permit icmp 60.195.12.0 0.0.0.255 host 60.194.1.1
permit icmp 172.30.99.220 0.0.0.3 172.30.99.220 0.0.0.3
deny tcp any eq 135 any
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 139
deny tcp any eq 139 any
deny udp any any eq netbios-ss
deny udp any eq netbios-ns any
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
deny udp any eq netbios-dgm any
deny tcp any eq 445 any
deny tcp any any eq 445
deny tcp any eq 4444 any
deny udp any eq 445 any
deny udp any any eq 445
deny tcp any any eq exec
deny udp any any eq 29851
permit ip any any
!
access-list 120 permit ip 192.168.0.0 0.0.0.255 any
access-list 188 permit tcp any any eq 16881
access-list 188 permit tcp any any range 6881 6890
access-list 188 permit tcp any any range 1880 1890
access-list 188 permit tcp any any range 6000 6009
access-list 188 permit tcp any any range 8000 8009
access-list 188 permit tcp any any range 8881 8890
!
从上面配置看:存在一下一些问题:
1、 地址段很混乱,网吧内既有 60.195.11段,又有 60.195.12段,60.195.12段只有64个IP地址,但是配置的掩码却是 255.255.255.0。和另外一个网吧的IP地址段广播重复。
2、 ACL表设置有不合理的地方,对标准ACL和扩展ACL没有正确运用。
3、 内部地址通过NAT可以访问 60.195段的公网IP主机,但是反过来,因为其复用动态NAT的原因,60段IP无法回访192段IP。
4、 Int fas 0/1 上没有开启route cache ,在一个接口上有多个IP段的情况下,不开启cache的话,网段间互相通信会严重影响路由器性能。加重负载。网吧不同IP段内互连CS之类游戏的话会严重丢包。
5、 其他一些设置:比如没有禁止ip proxy-arp,容易被ARP欺诈攻击。没有禁止 http server,容易被恶意获取最高权限。
于是,做出一个整改办法:
我重新写了下路由器配置:
!
version 12.3
no service timestamps debug datetime msec (没有用,NO掉)
no service timestamps log datetime msec (没有用,NO掉)
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
enable secret 5 (密码部分隐蔽)!
no aaa new-model
ip subnet-zero
ip cef
!
!
!
no ip domain lookup
no ftp-server write-enable
!
!
!
!
interface FastEthernet0/0
ip address 172.30.99.222 255.255.255.252
ip route-cache flow (根据网盟 yewei1012 朋友的建议增加)
no ip proxy-arp (预防ARP欺诈性攻击)
ip access-group li in
ip access-group li out
ip accounting output-packets
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 60.195.12.1 255.255.255.0 secondary
ip address 218.247.242.93 255.255.255.224 secondary
ip address 192.168.1.1 255.255.255.0 secondary
ip address 192.168.0.1 255.255.255.0 secondary
ip address 60.195.11.1 255.255.255.0
no ip proxy-arp (预防ARP欺诈性攻击)
ip nat inside
ip route-cache same-interface (提高跨网段通信速度,减轻路由负载)
duplex auto
speed auto
!
ip nat translation timeout 70
ip nat translation tcp-timeout 60
ip nat translation udp-timeout 60
ip nat translation syn-timeout 10
ip nat translation dns-timeout 5
ip nat translation icmp-timeout 5
(上面是NAT保留时间,必须加这个,这样你可以N个月不重启路由,路由器不会变慢,使用CISCO NAT的绝招,我的记录是 连续运行10个月没有重启)
ip nat pool wang 61.195.11.10 60.195.11.20 netmask 255.255.255.0 (重新用其他IP做NAT地址池。)
ip nat inside source list 1 pool wang overload (这里变了)
ip classless
ip route 0.0.0.0 0.0.0.0 172.30.99.221
no ip http server(no 掉!容易挨炸)
!
ip access-list extended li
permit icmp 60.195.11.0 0.0.0.255 host 60.194.0.1
permit icmp 60.195.12.0 0.0.0.255 host 60.194.1.1
permit icmp 172.30.99.220 0.0.0.3 172.30.99.220 0.0.0.3
deny tcp any eq 135 any
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 139
deny tcp any eq 139 any
deny udp any any eq netbios-ss
deny udp any eq netbios-ns any
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
deny udp any eq netbios-dgm any
deny tcp any eq 445 any
deny tcp any any eq 445
deny tcp any eq 4444 any
deny udp any eq 445 any
deny udp any any eq 445
deny tcp any any eq exec
deny udp any any eq 29851
permit ip any any
!
access-list 1 permit ip 192.168.0.0 0.0.255.255 (这是指定那些IP可以通过NAT,用标准acl省资源)
access-list 188 permit tcp any any eq 16881
access-list 188 permit tcp any any range 6881 6890
access-list 188 permit tcp any any range 1880 1890
access-list 188 permit tcp any any range 6000 6009
access-list 188 permit tcp any any range 8000 8009
access-list 188 permit tcp any any range 8881 8890
!
==========
内部网络整改方案:
1、 网吧内部全部采用内部IP,把公网IP给视频区固定分配(不能打局域网游戏的区域),这样可以解决使用内部IP时,非会员QQ无法穿越防火墙 以及打联众无法坐到一起的问题。
2、 DHCP分配的IP地址为:192.168.0.2~ 192.168.1.254 子网掩码 255.255.254.0 网关设置为 192.168.0.1 避免内部通信数据走路由器接口,减少路由负载提高路由器性能
3、 给路由器NAT做优化,提高性能。估计路由器在满载(450台电脑都用内部IP)的情况下可以达到CPU负载不超过25%。
4。60.195.12.1----60.195.12.63段IP 可以暂时不用,避免与其他网吧冲突
=================
问题就先告一段落,咱们等着实践效果。
Powered by IXPUB.Net © 2001-2007 All Right Reserved. 
