网吧的组建与维护

网吧的组建与维护 摘 要：从20世纪90年代初迅速发展起来的INTERNET，已经飞速改变了人们的生活和工作。人们被其丰富无穷的信息资源、方便快捷的交流方式深深吸引。但是，许多人没有能力或条件购置上网所需的微机与线路，比如学生、流动人口和收入较低者。为了满足这些人群的上网需求，网吧应势诞生了。就我国国民目前的收入情况分析，投资网吧是一大商机。 关键字： 局域网，代理服务器，收费系统，防火墙技术，网吧管理员  Abstract：From the 20th century, the early 1990s the rapid development of the Internet, has rapidly changed the people's life and work .people are att- racting deeply by the information resources, convenient and efficient way of communicating deeply. But many people have no ability or conditions required for the acquisition of the Internet and computer lines, such as students, mobile populations and low-income persons .In order to meet these needs of the Internet crowd, the Internet cafes should the situation was born. Based on the current income situation analysis, investment Internet cafes is a big business. Key Words：LAN，Proxy Server，Toll System，Firewall Technology，Internet cafes administrator1. 引言  从经济实用的角度出发，让网吧所有的计算机共享一条PSTN、ISDN、HDSL\DDN等线路访问Internet。投资者需要考虑局域网的组网方式、接入internet的方式、软件硬件以及耗材。选择不同的方式，将决定投资者投入的资本多少、网络的整体性能如何以及管理维护是否方便。 以一家网吧为例。假如该网吧有机器150台，其中一台性能较好机器做服务器；星型网络；局域网IP地址段192.168.0.0至192.168.0.255,掩码255.255.255.0，Intenet IP地址段202.102.236.216至202.102.236.219,掩码为255.255.255.252，前者可以自定，后者需要向isp；ddn专线10mb/s接入Internet。 2. 局域网 2.1网络结构的选择  LAN的网络拓扑结构广泛采用的主要有总线型和环型。LAN使用的星型结构主要是指用双绞线构成的网络。这种使用集线器（Hub）构成的星型网，实质上仍然是总线型网络，也就是我们常说的以太网（ethernet）。   下面对这两种网络结构进行比较。  2.1.1总线型结构  这种网络拓扑结构中所有设备都直接与总线相连，它所采用的介质一般也是同轴电缆（包括粗缆和细缆），不过现在也有采用光缆作为总线型传输介质的，如后面我们将要讲的ATM网、Cable Modem所采用的网络等都属于总线型网络结构。  这种结构具有以下几个方面的特点：  （1）组网费用低：  从示意图可以这样的结构根本不需要另外的互联设备，是直接通过一条总线进行连接，所以组网费用较低；  （2）这种网络因为各节点是共用总线带宽的，所以在传输速度上会随着接入网络的用户的增多而下降；  （3）网络用户扩展较灵活：  需要扩展用户时只需要添加一个接线器即可，但所能连接的用户数量有限；  （4）维护较容易：  单个节点失效不影响整个网络的正常通信。但是如果总线一断，则整个网络或者相应主干网段就断了。  （5）这种网络拓扑结构的缺点是一次仅能一个端用户发送数据，其它端用户必须等待到获得发送权。  2.1.2 星型结构  这种结构是目前在局域网中应用得最为普遍的一种，在企业网络中几乎都是采用这一方式。星型网络几乎是Ethernet（以太网）网络专用，它是因网络中的各工作站节点设备通过一个网络集中设备（如集线器或者交换机）连接在一起，各节点呈星状分布而得名。这类网络目前用的最多的传输介质是双绞线，如常见的五类线、超五类双绞线等。  这种拓扑结构网络的基本特点主要有如下几点：  （1）容易实现  它所采用的传输介质一般都是采用通用的双绞线，这种传输介质相对来说比较便宜，如目前正品五类双绞线每米也仅1.5元左右，而同轴电缆最便宜的也要2.00元左右一米，光缆那更不用说了。这种拓扑结构主要应用于IEEE 802.2、IEEE 802.3的以太局域网中。  （2）节点扩展、移动方便  节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可，而要移动一个节点只需要把相应节点设备移到新节点即可，而不会像环型网络那样“牵其一而动全局” 。  （3）维护容易  一个节点出现故障不会影响其它节点的连接，可任意拆走故障节点。  （4）采用广播信息传送方式  任何一个节点发送信息在整个网中的节点都可以收到，这在网络方面存在一定的隐患，但这在局域网中使用影响不大。  （5）网络传输数据快  这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。  所需设备：RJ45接头：（水晶头）,双绞线：有三类（符合IEEE802.3 10base-t,用于10m网），五类、超五类（用于100m网）之分，集线器（Hub），RJ45口网络接口卡（NIC）：有10m，100m或10/100m自适应之分。 2.2客户机的网络配置  2.2.1、 安装网卡  2.2.2、 添加TCP/IP协议（Win95/98/xp）  安装TCP/IP协议。在控制面板-网络-配置选项卡中单击“添加”按钮，从列表框中选中“协议”后再次单击“添加”按钮，然后在“厂商”列表框中选中“Microsoft”，在“网络协议”列表框中选中“TCP/IP”，单击“确定”按钮并根据提示插入Windows 98安装光盘即可完成。当然，您需要重新启动计算机以便使新的设置生效。  2.2.3 、指定IP地址。在控制面板－>网络－>配置选项卡中选中与网卡绑定的TCP/IP协议，单击“属性”按钮，在IP地址选项中选中指定IP地址选，如192.168.0.1，然后键入子网掩码255.255.255.0。  2.2.4、 网络连通测试。用ping + IP命令，如ping 192.168.0.18。 2.3服务器的网络配置  1、专线接入Internet，需要安装两块网卡，例如3Com网卡连局域网，Dlink网卡连广域网；拨号接入Internet，仅需一块网卡，配置内部用IP地址。  2、 IP地址配置。3Com->192.168.0.168, Dlink->202.102.236.218, Ntmask-> 255.255.255.252。  3、 用交叉网线将dlink网卡与路由器直连可以节省一个Hub。交叉网线的做法如下：      标准568B:橙白, 橙, 绿白, 蓝, 蓝白,绿, 棕白, 棕;  标准568A:绿白, 绿, 橙白, 蓝, 蓝白,橙, 棕白, 棕; 3. 连接ISP 3.1入网方式的选择  在规划接入ISP（Internet Services Provider）时，必须着重考虑以下的一些问题：  选择相应的通信服务。因为租用专线是一项很大的经常性支出，必须认真估算所需要的带宽。   选择相应的接入设备与网络互联设备。其前期投入支出也不少。几乎所有的用户都希望以相对便宜的价格获得相对很高的带宽。目前正在发展的各类新颖接入技术，主要包括：普通电话公用网的接入、ISDN接入、ADSL接入、Cable Modem接入、DDN专线、分组专线、光纤接入等等。这里主要讨论常用的两种接入方式：  3.1.1、 拨号接入  Internet：因特网 Pstn：公用电话网 Modem：调制解调器  用户数较少，在接入方式上可以采用56Kmodem拨号。56k Modem 传输速度为56kbps的Modem，能够在普通的电话线上实现Internet网上的高速下载。其中的技术原理是利用数字代码取代了调制，即将ISP局端设备与公共市话网（PSTN）直接进行数字连接，全程使用数字电话网。所以，56K Modem是一种非对称的传输方式，其下载速率可以高达56kbps，上传最高速率为33.6kbps。一个小型网吧使用56KModem共享上网时，浏览网页和聊天的速度与单机上网的速度相差无几。但是要注意不要让几台计算机在网上下载，会严重降低整个网络的速度。  ISDN的中文名称是综合业务数字网，俗称“一线通”。一条线路同时承载多种业务，可以连接电话、传真、微机以及其他终端。基本速率接口有2个B信道和1个D信道（2B+D），传输速率144kbps。基群速率接口有30个B信道和1个D信道（30+D），传输速率2mbps.综合业务数字网有窄带（N-Isdn）和宽带（B-isdn）两种，窄带综合业务数字网向用户提供2B+D和30B+D两种，宽带综合业务数字网向用户提供155mbps以上的通信能力，也就是实现了信息高速公路，这是正在开发的服务。  3.1.2、专线接入   数字数据网DDN(DIGITAL DATA NETWORK):它是利用数字信道提供永久性连接电路，用来传输数据信号的数字传输网络。 采用DDN，网络设备需要路由器、NTU、基带Modem或HDSL。这两种设备的价格都比较昂贵，且专线租用费高。高投入，高回报。速度快、通信质量有保证，不会出现拨号常见的占线、掉线情况，信誉好。4mb/s接10台机器较好，10mb/s接20台机器较好，100台以上机器100mb/s较好。  主要作用是向用户提供永久性和半永久性连接的数字数据传输信道，既可用于计算机之间的通信，也可用于传送数字化传真，数字话音，数字图像信号或其它数字化信号。 它的特点是：   （1）传输质量高，信道利用率高。   （2）传输速率高，网络时延小。   （3）数据信息传输透明度高，可支持任何，可传输语音、数据、传真、图象等多种业务。   （4）适用于数据信息流量大的场合。   （5）网络运行管理简便，对数据终端的数据传输速率没有特殊要求。  数字数据网的速率可以从1.2k-2mbps任选。一条专线既可传送数据，也可通话，还可定时租用。 根据需要选择不同业务：点对点、点对多点专用电路、广播、轮询等．时间就是金钱，效率就是生命，利用DDN组建专网，可以大大减少专用的建设周期，早投产快收益 3.2路由器的配置  路由器是使用一种或者更多度量因素的网络层设备，它决定网络通信能够通过的最佳路径。路由器依据网络层信息将数据包从一个网络前向转发到另一个网络，也称为网关。  局域网与广域网之间的互联，需要用路由器实现协议转换与寻径。路由器是比较昂贵的设备，须慎重选择。常用的路由器有CISCO、BAY，国产的路由器有华为、迈普等品牌。  路由器的配置（以Cisco2501为例）：  #conf t *进入配置状态  #int e0 *配置ethernet以太网口  #no shutdown *打开端口  #ip address 202.102.236.217 255.255.255.252 *配置ethernet端口的ip地址  #int s0 *配置串行广域网端口  #no shutodwn *打开端口  #encapsulation hdlc *设 置hdlc 封 装  #ip unnumbered e 0 *设 置ip 地 址 与ethernet0 相 同  #exit *退出当前配置状态  #ip route 0.0.0.0 0.0.0.0 s0 *设置默认路由  #wr m *保存  #ping 202.102.229.136 *连通性测试  使用交叉网线将服务器网卡与路由器互连，不但省掉一个集线器，而且节约IP地址，一个网吧仅用4个IP地址的网段便够了。  为了节省IP地址，提高访问速度，便于计费与安全管理，建议也使用代理服务器。 4. 代理服务器  代理服务器（Proxy Servers）是提供网络代理服务的服务器，它是网络信息的中转站。在一般情况下，我们使用网络浏览器直接去连接其他Internet站点取得网络信息时，是直接联系到目的站点服务器，然后由目的站点服务器把信息传送回来。  网络用户可以通过代理服务器来访问Internet网上的Web服务器、FTP服务器、POP3服务器等等。通过代理服务器可以实现整个局域网共享一个Modem、一条电话线上网，同时又把各工作站访问过的内容存储在代理服务器的Cache中，为局域网上的工作站所共享。当用户访问网站及其连接时，代理服务器首先在cache中搜索它的内容，若有所需的就从cache中读取，若没有就自动通过modem访问该网站及其连接，加快访问速度。   代理服务器是 Internet链路级网关所提供的一种重要的安全功能，它的工作主要在开放系统互联 (OSI) 模型的对话层，从而起到防火墙的作用。  常用的代理服务器软件有Ms-proxy、Wingate等软件，都能够从网上下载。在评测的产品中，Ms proxy server对客户方的支持是最出色的。  下面介绍Ms-proxy 2.0版本的使用：  Ms proxy server的安装和设置容易。如果服务器是NT Server 4.0操作系统，还需要将服务包升级到Service pack 3版本。安装过程中，有三点注意事项：  4.1. Local Address Table Configuration(局域网地址表配置)  本例IP地址表范围为from 192.168.0.1 to 192.168.0.254,局域网内部使用的IP地址段。   4.2. client configuration(客户端配置) 客户端可以通过计算机名称与IP地址访问代理服务器，服务端口（port）号缺省是80，也可以设置成其他值，例如8080。建议使用IP代替主机名对proxy进行访问，因为网络中对主机名字的解析有时候并不是太理想，虽然可以ping通地址，但是直接使用主机名访问却不一定能成。  4.3. Access control（访问控制）  如果enable access control for the winsock proxy service与enable access control for the web proxy service都选择的话，winsock 与 web proxy service将受到控制，必须被管理员赋予权限才能使用代理服务器。不过，在网吧，有网吧管理软件对所有的机器进行控制，便没必要再使代理服务器控制机器的访问。  在管理上使用和IIS Web服务、FTP、Gopher服务相同的管理工具，即Internet Service Manager（ISM）。ISM提供了Internet服务的简单视图，它使用一系列带有标签的对话框，来配置服务器。Ms proxy server实际上安装了三个独立的服务器：web proxy、winsock proxy和socks proxy。web proxy提供了缓存的HTTP代理服务、未缓存的FTP代理服务，以及Gopher和SSL代理服务。winsock proxy还提供了对IRC和POP等其它协议的支持，可以通过ISM添加其它的协议。  Ms proxy server可以用于LAN或拨号与Internet连接，它还支持isdn、t1/e1线路和路由器连接。当通过拨号调制解调器或isdn连接isp时，ms proxy server使用windows nt的远程访问服务（ras-remote access service）。如果通过以太网链路连接isp，则需要在服务器上安装两块lan网卡。一块网卡连接本地的lan，另一块连接internet（如图四,s指代理服务器）。可以根据时间进行限定，如把拨号访问限制在一天中预先指定的时间里，或是限制在一个星期中特定的几天里，这样就可以防止用户在工作时间之外使用proxy服务。  如果客户PC只使用Web和FTP服务，那么只需在浏览器的代理设置项中输入代理服务器的名称或IP地址和端口号。如果想要使用Winsock代理提供的其它协议，则必须安装Ms proxy server提供的客户软件。在安装过程中，Ms proxy server创建一个名为Mspclnt的共享目录。要让客户PC使用Winsock代理服务器，所要做的配置工作非常简单：首先连接到这个共享目录上，然后运行setup.exe程序。这个客户安装程序自动安装一个重定向程序，它把Winsock请求重路由到Winsock代理上。这个客户软件可以支持IPX和IP两种连接，所以不一定非要有IP地址。但是，如果客户方没有IP地址，则不能使用拨号网络（dial-up networking）功能。  Ms proxy server提供了强大的Cache特性，可以将cache分布在proxy server组或proxy server链中，大大节省了费用，路由特性也提供了自动装载平衡和错误容忍功能，进一步改进了功能，增加了可靠性。  Ms proxy server提供了优秀的安全机制，包括一些防火墙的特性，诸如域过滤、包过滤、警告事件、日志功能、口令鉴定等。可以根据IP地址或域名也可以根据协议和端口号进行过滤internet站点。 ms proxy server与windows NT server和IIS的安全策略紧密集成,并提供了SSL加密机制。 5. 网吧计费管理  网络建成连通以后，剩下的便是对网吧的管理。管理包括计算机的日常维护，如清洁卫生、关机开机、硬盘整理、软件的卸载安装，以及计费。计费是所有管理工作的重中之中，费时繁琐，并且不允许丝毫差错。为了减轻网吧管理的强度，仍掉过去的人工笔记口算，于是选择一个好的网吧管理软件至关重要。在这里，简单介绍一个网吧管理软件——麦科IC卡网吧收费管理系统。  5.1.四方麦科简介：  1.四方麦科采取消费积分制，用的越多，优惠越多。  2.人手一卡、插卡上机、拔卡下机，使用方便。  3.任何情况下均可持维护员卡进入系统，方便日常系统更新和维护。  4.财务信息准确，全面，即使是老板也只能查账，无法更改，不在相互猜疑  5.如有维护员卡丢失，当该卡在客户端使用时，服务器端会不同的反复提示很容易找出卡的所在位置。  6.采用先进的技术，麦科客户端程序在window还未挂起来前就运行起来，有效的防止恶意结束进程。  7.客户端采用多层保持措施，有效的防止dos下恶意删除系统软件。  8.拔卡下机自动锁屏或关机，不用动手就可节省电费。  还有更多软件方便之处在此不一一列举。    5.2.系统设置与操作  如果欲详细信息，请查阅该软件中文安装使用说明。   6. 网吧的网络风险及安全措施  目前网吧网络，可能面临的风险有：  线路稳定和网络带宽保证。无论是采用ADSL接入或者专线接入的网吧，由于长时间连续和公网连接，容易成为黑客攻击和利用的目标，如果没有有效的防护措施，极有可能成为黑客攻击他人的跳板，这不仅仅会带了网络的安全问题，同时还会使网络性能下降，带宽降低。黑客入侵、病毒感染。对于网吧经营者，每天上网的顾客来来往往，网上病毒传输又难以操控，总会给网络带来一些不安全因素。随着计算机技术的不断进步，黑客和病毒技术也在不断发展，并且有日益融合的趋势。仅靠简单的防病毒软件，已经很难防止网络蠕虫病毒的扩散和传播，必须采用防病毒、防火墙、入侵检测等多种技术的有机结合才能起到比较好的防护、阻挡作用，最近的“熊猫烧香”病毒就是一个很好的例子。  不良网站和信息的访问。国家政策明文规定，限制互联网上网服务营业场所经营单位和上网消费者对某些不良站点和信息的访问，并且要求用户上网有据可查。也就是说网吧经营者必须加强对用户网络行为管理。  带宽管理（QOS）和多种媒体支持。网吧上网人数的猛增，网吧提供的Internet接入解决了网民的部分需求，但随着网民视野的开阔，兴趣的转移，网民的需求不断提高，简单的网页浏览、ICQ已不能满足网民的需求，对于没有QOS保证的互连网VOD、游戏服务，虽然网吧提供了宽带接入，但多个网民同时进行操作时，仍不能保证画面的流畅、声音的同步，为了留住网民、发展网民，为网民提供高质量的视听效果，成了网吧业主的当务之急。  了解了网吧用户的网络需求、应用以及安全隐患之后，国恒联合科技结合现有的网络技术，根据不同规模网吧的应用需求，设计了如下图所示的动态安全防护体系。通过这样的设计可以尽可能地阻止来着外部的攻击、监控和管理内部的访问，保障线路的畅通和应用服务的正常进行，提供对网吧系统高效、实用的安全保障。  大型网吧网络安全解决：    速通防火墙在这里起到以下几个作用：  6.1、线路稳定性和网络安全的保证。速通防火墙支持PPPOE和DHCP客户端，可以实现ADSL拨号等多种宽带上网方式。速通防火墙的高效状态检测包过滤功能可以很好地保障网吧内部网络和服务器的安全，阻挡黑客攻击。同时速通防火墙支持平衡路由，可以很好满足大型网吧网络对于线路备份和负载均衡的要求。  6.2、速通防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统，超越了传统防火墙中的基于统计异常的入侵检测功能，实现了可扩展的攻击检测库，真正实现了抵御目前已知的各种攻击方法，并通过升级入侵检测库的方法，不断抵御新的攻击方法。速通防火墙的入侵检测模块，可以自动检测网络数据流中潜在的入侵、攻击和滥用方式，并防火墙模块实现联动，自动调整控制规则，为整个网络提供动态的网络保护。速通防火墙入侵检测模块中包含了对网络上传输病毒和蠕虫的检测，可以在计算机病毒和蠕虫传输到宿主机之前检测出来，在网关上防止网络病毒的传播，防患于未然。真正实现了少花钱多办事的效果。  6.3、速通防火墙的内容过滤功能，主要包含DNS和URL过滤功能，利用这些功能可以很好地限制内部用户访问不良站点和信息。  6.4、速通防火墙的网管功能，可以实现对网络带宽的有效管理和流量计费，同时速通防火墙支持H.323协议、多波路由等，可以比较好地满足网吧用户对视频、多媒体点播等的要求。  6.5、速通防火墙的多网口结构、策略路由、VLAN trunck支持等能比较好地满足大型网吧用户对网络规划的要求。  6.6、速通防火墙支持远程、集中管理，对于连锁网吧用户来说，可以通过一个网络管理员，集中统一地管理多台防火墙。  6.7、速通防火墙提供强大的日志功能，提供流量日志、网络监控日志和管理日志，可以向管理员提供比较详尽的日志，同时提供日志查询和日志报表功能，方便管理员的查询和统计。  本方案充分利用速通防火墙的各功能模块，实现了各功能模块（防火墙模块、入侵检测模块、用户认证模块、网管模块、日志模块）的协同工作，构建了一个动态安全门户，以比较经济实惠的方式，实现了对网吧网络的整体安全防护。 7.对网吧管理员的要求     作为一个网吧管理员的要求：具有全面的知识和动手能力，这是做为一个网吧管理员最基本的要求。对于大型网吧，仅仅是计算机相关专业毕业，还远远不够。在网络技术日新月异的今天，课本内容已显得非常落伍与陈旧。因此，应当广泛涉猎与网络管理相关的领域，完成最基本的知识积累。  网管应当拥有强烈的求知欲和非常强的自学能力。第一，网络知识和网络技术不断更新，需要继续学习的内容非常多。第二，学校课本知识大多过于陈旧，并且脱离于网络管理实际，许多知识都要从头学起。第三，网络设备和操作系统非常繁杂，各自拥有不同的优点，适用于不同的环境和需求，需要全面了解、重点掌握。  作为一个合格的网络管理员，需要有丰富的网络技术知识，熟练掌握个系统的配置和操作，需要阅读和熟记网络系统中各种系统和设备的使用说明，以便在系统或网络一旦发生故障时，能够迅速判断故障发生的环节、故障发生的原因以及找到快速而简单的方法排除故障。 [1] 雷震甲.网络工程师教程[M].北京：清华大学出版社，2004 [2] 潘昱.windows 2000 server[M].北京：中国劳动社会保障出版社，2003 [3] 张炯明.电子商务安全使用技术[M].北京：清华大学出版社，2002 [4] 劳帼龄.网络安全与管理[M].北京：高等教育出版社，2003 [5] 白以恩.计算机网络基础及应用[M].黑龙江：哈尔宾工业大学出版社，2003