基本介紹
強烈推薦網咖網路採用100M網路。現行通常的做法是:集線器或交換機、乙太網卡採用10/100M自適應的,網線使用超五類線。100M網路對於目前大多數網咖是夠用的,當機器有500台甚至更多時,網路主幹網可考慮採用1000M網路。
伺服器
網路的中心是 伺服器。對於網咖網路也是如此,即便含義有所不同。伺服器的作用發揮得好,可有效地對網咖進行管理網路,並且節省資源、提高網咖效益。以下是筆者認為網咖應該建立的三種獨立伺服器,網咖經營者可根據自己網咖的實際情況做出選擇:
(1)拔號代理
為了提供穩定的、快速的接入Internet服務,有必要採用單獨的拔號 代理伺服器,可用一台配置較好的PC充當,如:C1.2G+256M記憶體+SCSI硬碟。從穩定性考慮,有條件的、較大的網咖,應採用小型專用 伺服器充當拔號代理伺服器。伺服器採用的作業系統首推W2K,也可考慮Linux,伺服器應安裝病毒、安全 防火牆,如:Norton Antivirus、 瑞星和BlackICE、 天網;代理軟體可採用W2K自帶的ICS、NAT,或者單獨的產品:ISA、SYGATE、WINGATE、Squid(Linux下)。
(2)視頻伺服器
為了給網友提供更多的選擇,可用一台普通PC充當視頻 伺服器,如:C800+256M記憶體+200G硬碟,大容量的硬碟是用來存放電影、音樂、常用軟體等的。視頻伺服器可可採用W2K,設定一個超級用戶帳號和普通帳號,前者供網咖 管理員使用,後者供上網者使用(設定好許可權,使其無權刪除該機上的檔案甚至無權訪問硬碟),這樣這台機器也不會因充當伺服器而沒有產生效益。如何將視頻伺服器上的視頻提供給網友觀看呢?主要有兩種方式:一種是通過共享,另一種是作 流媒體伺服器,如採用 微軟的Window Media伺服器、Real公司的RealServer,國內上海傲行公司的傲行伺服器。前者很容易實現,後者稍微複雜,並且對機器硬體要求也高許多( 流媒體要求伺服器擁有大容量記憶體)。
(3)遊戲伺服器
根據當地網友的愛好,單獨拿台機器作一個遊戲的 伺服器,比如:CS的、傳奇的。當然有些東西是違規或者違法的,在此並不表示鼓勵,由此產生的一切後果也與本人無關:P
工作站
由於工作站要運行上網的一些必備工具和遊戲,因此,推薦安裝WIN98系統,網路協定儘量少,一般只使用TCP/IP和IPX/SPX,根據我個人的經驗,工作站最好不要安裝“檔案共享及列印協定”,可有效防止 蠕蟲類病毒感染網路,另外,在TCP/IP設定中,推薦採用靜態IP位址(可與機號相對應),而不要在 伺服器中採用DHCP分配,這樣做,一是有利於網路的管理,二是可以提高WIN98啟動的速度。在工作站的非系統邏輯盤裡,一般存放一個使用GHOST製作的 鏡像檔案,以備系統損壞時快速恢復。
網路安全
隨著Internet的普及,網路攻擊事件越來越多。對於網咖這個大眾上網的場所,很多時候扮演著“練兵”的角色,不僅影響著被攻擊一方,有時候出於個人私怨、興趣、愛好等,網咖成了這些Cracker的最佳攻擊對象。這些需要引起網咖經營者的高度注意。
一、伺服器的安全
拔號代理伺服器的安全是最重要的,因為一旦它被人攻擊或者控制,整個網咖就無法正常營業。其它的視頻伺服器也可參照。對於拔號代理伺服器的安全,有以下幾點需要注意的:
(1)帳號的安全性:特別是有管理員許可權的帳號應該被少數網路管理員所擁有;並且該網管不在此網咖工作後,用戶名和密碼均要更換;用戶名不要使用默認的,比如:administrator應更換成:admin_88800,ipuwirj等不規則不常用的,密碼要設複雜並且位數要多;
(2)服務的安全性:拔號代理伺服器儘量不要安裝任何服務,如WWW、FTP等,即使出於工作需要,要安裝某個服務,也要想辦法降低風險,如,更改該服務的監聽連線埠、對該服務提供審計措施、限制遠程訪問者的IP;
(3)禁止默認的服務:這個主要是針對W2K的。W2K下有許多默認服務是自啟動或者手工啟動的服務,有許多是作為拔號代理伺服器而不需要的,不僅不需要,還有可能成為安全的隱患,比如:Remote Registry Service、Task Scheduler等;
(4)安裝防火牆:安裝一個最新的病毒防火牆是必要的,另個,裝一個安全防火牆也是必要的;
(5)打補丁:作為網路管理員,經常及時地打補丁可以防止很多攻擊,比如:打過sp3的W2K就沒有輸入法漏洞了;
(6)其它:其它安全措施有許多,如:關閉不必要的連線埠139、445(對於AD),關閉IPC$,利用W2K的IPSEC技術等,這些都有賴於學習與提高。
二、工作站的安全
可能你會覺得作為網咖,工作站(特別是安裝的WIN98系統)無須作安全設定,那你就錯了。因為很多攻擊往往是來自內部的。筆者親歷過這么一個攻擊者:先到收銀台交錢選擇一個偏僻的地方上機,下載一個黑客軟體,它會使WIN98藍屏,在攻擊範圍內填寫的是127.0.0.1,兩秒鐘內,網咖80%的機器藍屏並且斷網。他自己的機器也斷了,因此你無法找到“真兇”,這是我經歷過的事。另外,這個攻擊者還可以有這樣的選擇,選擇arp攻擊,攻擊是效果:被攻擊的機器不斷的提示“IP位址衝突”而無法上網,更加高明者,可以選擇欺騙,原理是:原來正常的數據包是通過網關(即拔號代理伺服器)出去的,而攻擊者可以欺騙整個網路,並讓數據包轉向攻擊機器,結果是:整個網咖不能上網!由此可見,工作站也要做好基本的安全措施:
(1)禁止下載:從上面那位攻擊者過程得知,禁止下載是必要的,另外,工作站最好不要安裝解壓縮軟體;
(2)給WIN98打補丁:剛才舉的WIN98藍屏事件,就是因為WIN98少打了一個補丁,利用WIN98開始選單的"windows update"連入微軟網站進行線上升級;
(3)有關註冊表的:有很多網頁通過腳本、ActiveX等入侵WIN98機器,比如:更改默認首頁就是一例。有很多攻擊者就是採取這種方式破第一道防護:網咖管理軟體,比如獲得網咖管理軟體的退出密碼。因此,如果對付這種破解方式,是很重要的。遺憾的是,目前為止,還沒有十全十美的辦法,一個比較可行的措施是:將WIN98本機的常見註冊表選項保存成.reg檔案,每次開機時利用regedit.exe導入一次。該舉解決了一些常見的註冊表被修改的情況,比如首頁被改、IE標題被改等,但如何阻止攻擊者獲得密碼、解除禁止下載呢?一個辦法是將此網站加入到IE的受限站點中,另一種辦法是乾脆把IE里的有關腳本、ActiveX、JAVA小程式等全部禁止,前者需要人工添加並且肯定有遺漏,後者可百分之百防住,但給普通上網者帶來不方便;
(4)有關網咖管理軟體:網咖管理類軟體有很多,網咖管理軟體對於WIN98系統的保護雖然不到位,但也是必要的;
(5)其它:由於WIN98系統以及TCP/IP協定本身的脆弱性,有許多攻擊在網咖現有條件基礎上是無法預防的,由於網咖機器一般都沒有軟體、光碟機,因此,如果完全禁止下載是至關重要的。
數據中心
企業數據中心可以實現企業異構數據環境無法支持的有效的數據交換,全面、集中、主動並有效地管理和最佳化IT基礎架構,實現信息系統的高可管理性和高可用性,保障了業務的順暢運行和服務的及時傳遞,最終以良好的服務贏得用戶。
企業數據中心通過實現統一的數據定義與命名規範、集中的數據環境,從而達到數據共享與利用的目標。企業數據中心按規模劃分為部門級數據中心、企業級數據中心、網際網路數據中心以及主機託管數據中心等。通過這些規模從小到大的數據中心,企業可以運行各種套用。一個典型的企業數據中心常常跨多個供應商和多個產品的組件,包括:聯網設備、伺服器、存儲設備等等。這些組件需要放在一起,確保它們能作為一個整體運行。
我們知道,數據中心是企業套用業務服務的提供中心,是數據運算、交換、存儲的中心。它結合了先進的網路技術和存儲技術,承載了網路中80%以上的服務請求和數據存儲量,為客戶業務體系的健康運轉提供服務和運行平台。數據中心應採用服務、套用、存儲相分離的架構,有效降低了管理維護的成本,同時也能滿足日益增長的業務數據對系統擴容的需求。一個完整的數據中心由網路系統、套用服務系統、存儲系統、遠程容災系統、網路管理系統等部分組成。
數據中心以網路系統為依託,因此首先應保護網路系統平台的高可靠性,避免因網路系統的故障和性能瓶頸等影響企業關鍵業務的運行。可通過三層交換技術,有效抑制廣播風暴,保證關鍵業務的數據傳輸;通過鏈路冗餘和負載均衡技術,保證系統的高可用性;通過鏈路聚合技術,提高網路傳輸性能,消除網路瓶頸等等。
網路建設
1、可擴展性
為適應業務的發展、需求的變化、先進技術的套用,數據中心網路必須具備足夠的可擴展來滿足發展的需要。如採用合理的模組化設計,儘量採用連線埠密度高的網路設備、儘量在網路各層上具備三層路由功能,使得整個數據中心(IDC)網路具有極強的路由擴展能力。功能的可擴展性是IDC隨著發展提供增值業務的基礎。
2、可用性
包括網路設備和網路本身的冗餘。關鍵設備均採用電信級全冗餘設計,採用冗餘網路設計,每個層次均採用雙機方式,層次與層次之間採用全冗餘連線。提供多種冗餘技術,在不同層次可提供增值冗餘設計。
3、靈活性
靈活的目的是實現可根據數據中心不同用戶的需求進行定製,網路/設備能夠靈活提供各種常用網路接口、能夠根據不同需求對網路模組進行合理搭配。
4、可管理性
網路的可管理性是IDC運營管理成功的基礎,應提供多種最佳化的可管理信息。完整的QoS功能為SLA提供了保證,完整的SLA管理體系,多廠家網路設備管理能力,網路性能分析以及準確及時的網路故障報警、計費等。
5、安全性
安全性是IDC的用戶最為關注的問題,也是IDC建設中的關鍵,它包括物理空間的安全控制及網路的安全控制。
網路布線
對於動態、不斷演進的數據中心環境來說,更強大的網路連線是不變的需求。無論是企業或公共服務數據中心,都要儘可能保障網路基礎設施能夠提供可擴展頻寬、冗餘業務備份、靈活性、安全性並方便移動、增加和變更。為保障服務的可信賴性,數據中心必須使用高密度、方便使用與部署的高品質布線系統。
數據中心機房應當採用光纖網路布線,使企業更經濟地實施數據中心套用,來進一步滿足數據存儲以及區域網路內伺服器和交換機之間的數據快速交換,便於將來網路升級換代,節省投資,避免浪費,給我們提供了一個靈活、安全、高性能價格比的布線系統。
集中管理
KVM 的意思是"鍵盤、顯示器及滑鼠", 這三項加起來稱為一組 KVM 操作台。KVM切換器的主要目的是讓統一組 KVM 操作台可以連線到許多台設備(包括網路設備和伺服器),這可以讓使用者從操作台訪問及控制許多台計算機或伺服器。數據中心KVM 解決方案可以提供最可靠、有靈活、安全的多重使用者遠程訪問及控制,數據中心一般採用數字式與模擬式 KVM切換器集合,來實現網路的集中管理,使IDC的機房環境變得簡潔明亮,且有一個高效、安全、擴容簡單有序的集中控制環境。"獨立於網路外"的模擬式 KVM 解決方案通常最適合中小型的數據中心,至於"網路內"的數字式 KVM 解決方案,則最適合支持全國或全球的大型分散式數據中心。結合 KVM切換器與集中管理軟體,為多個數據中心提供控制與管理的功能。無論是地區性或是全球性的管理,數據中心人員都可以從單一畫面使用單一 IP 地址,完全控制企業里的許多個數據中心。
存儲集群
網路存儲按照存儲設備與伺服器的連線方式主要有三種形式:DAS(Direct Attached Storage,直接連線存儲)、NAS(Network Attached Storage,網路附加存儲)、SAN(Storage Area Network,存儲區域網路)。SAN特別適合於伺服器集群、災難恢復等大數據量傳輸的業務環境。SAN是位於伺服器後端,為連線伺服器、磁碟陣列、磁帶庫等存儲設備而建立的高性能網路。SAN將各種存儲設備集中起來形成一個存儲網路,以便於數據的集中管理。SAN以數據存儲為中心,採用可伸縮的網路拓撲結構,通過具有高傳輸速率的光通道的直接連線,提供SAN內部任意節點之間的多路可選擇的數據交換,並且將數據存儲管理集中在相對獨立的存儲區域網內。
數據中心為整個網路提供套用服務,通常這些服務包括一些關鍵業務(如ERP、 MRPⅡ、HIS、PACS等)和其他功能服務(如WEB、FTP、MAIL、DHCP、DNS、WINS等)。對於關鍵業務和重要的功能服務採用集群技術提供冗餘和負載均衡,可以有效地保證網路的高效安全運轉。一個配置完善的套用伺服器群,可以將套用平台與服務平台分離,降低網路管理的難度,提高網路運行效率;以最少的用戶端干預,達到最高的可用性,從而降低管理成本。
集群是兩台或更多台伺服器(節點)在一個群組內共同提供一種或多種套用服務。與單獨工作的伺服器相比,集群系統能夠提供更高的可用性和可擴充性,是提供高可用性和增強企業套用軟體可管理性的有效途徑。高可用性表現在當一台節點伺服器或一個套用服務發生故障時,這台伺服器上所運行的應用程式將被集群系統中其他伺服器自動接管,客戶端將能很快連線到新的套用服務上,最大限度地縮短伺服器和應用程式的宕機時間。高可擴充性表現在集群允許在不中斷服務的情況下增加處理能力或存儲容量,從而提高了系統的可擴充性。企業中的關鍵業務套用均可採用集群系統以提供高可用性的穩定套用服務。
全面管理
網路管理系統是網路管理員了解網路性能的一個視窗,也是評估和調整網路可用性的重要工具。網路管理可以識別關鍵資源、網路流量以及網路性能,還能配置設備故障的閾值、提交精確的端到端分析報告。更重要的是通過網路管理可以讓企業設定可用性策略,在系統出現故障或性能下降時自動啟動。
網路管理系統按使用功能可分為兩種:一種是網路設備管理,主要安裝網管軟體、伺服器管理軟體、磁碟磁帶機管理軟體,以監視網路流量、設備運轉狀態等情況。另一種是網路桌面管理,對伺服器或客戶機提供遠程管理、遠程配置、遠程遙控等功能,使管理人員不用離開數據中心就可以完成大部分技術支持工作。
隨著數據中心的發展,對系統和網路管理提出新的要求。網路管理必須走出設備管理的圈子,提供套用性能的清晰視圖,然後提供幫助用戶保證套用性能的工具。此外,還將面對更好地支持移動設備、網路集成和安全管理的需要。由於數據中心的疆界可能超出了傳統機房的邊界,網路管理確保分散式套用和無處不在的數據存取的強大性能。數據中心的網路管理應當有效、合理的管理、協調好各種品牌的網路設備以及伺服器,讓設備發揮最大作用,全面實現網路功能。