你好:

     感谢你访问我的 Blog ,本博客只提供博主的技术经验分享,你可以在此做简单的留言和评论,我会抽空回复你;若是要深入交流探讨,请联系QQ:47853253或者加QQ群:12012081


 

云南-楚雄-两网吧合并网络施工

我们这儿有一个镇,镇 上有3家网吧,都是我的一客户开的,当初为了无竞争经营,该镇的网吧证全部被他给收了。但如今,收了有2年左右,政策大变加 上网吧市场不景气,为了缩减开支,3 家网吧并成2家开,主要是为了节省员工工资这一块,他给我说了他的合并意向,让我从技术上解决一下,便有了下文:3家网吧分别是:金燕子网吧,天乐网吧,天意网吧

他的目的:天乐网吧不动,将天意网吧并到金燕子网吧,两家网吧用的一批员工,无盘和游戏服务器用一个,两家网吧的光纤都保留,两套GA的身份证系统保留。两根光纤保留的原因是,GA那边需要网吧有固定IP备案,拨号的不行。其实完全可以一个证开下的,就为了保住天意网吧这个网吧证,而天意网吧的网吧证随时准备好应对进入本镇的其它网吧证。他和我说了,这个网吧证先这样留着,谁要是进来我们镇开,那就把这个证开到他旁边去。我觉得这个BOSS有想法,哈哈。那现在开始进入重点了:


两根光纤:一根金燕子网吧,一根天意网吧的,两根都是10M,用应用路由进行应用分流,游戏和网页走其中一根,视频和下载走其中的一根。然后,使用策略,将金燕子网吧的过滤王核心机和刷身份证的收银机走金燕子网吧光纤,让天意网吧的过滤王核心机和刷身份证的收银机走天意网吧的光纤,还有一台临时卡收银机,你懂的,这个随便走。收银机:身份证都是使用的万象OL,临时卡使用万象2008。所有客户机都可以自由选择进入3个系统,天意网吧的身份证系统,金燕子网吧的身份证系统,和临时卡系统。
网络环境:锐捷万兆主干
金燕子网吧的IP:222.219.183.a
天意网吧的IP:222.219.183.b

最关键的地方是:两台过滤王核心机会发现双核心机禁止营业,近下来那就是折腾时间。
我直接上最终的解决办法了,其间很曲折,我只能告诉大家,你以为是的理论,实际上可能都不行,都是一个原因:过滤王的核心机老是能侦测到两个核心在运行,进而提示双核心,禁止营业。其间有试过,1个在1.x网段,一个在2.x网段。不行。难道只能物理隔离了?最终解决是使用了交换机的物理隔离+ALc的3层隔离+网关配置才再也没有提示,单用一种方法都不行,为什么如下实施就行呢,GA网监的也报正常了呢,看官自己看自己想吧:


[hide]路由有两个内网网卡:192.168.1.254    192.168.2.1
外网1金燕子:222.219.183.a   外网2:192.168.3.254       外网2 的下一跳是个普通路由:192.168.3.1   天意网吧IP:222.219.183.b
为什么如此配置:路由上的下一跳地址一样,无法直接配置电信IP,只能路由里边有路由了
金燕子身份证收银:192.168.1.253     192.168.2.253    网关:192.168.2.1:双IP配置,与两台过滤王核心的网关不在一个段,实现网关隔离。
删除IPX协议,但保留Microsoft网络客户端 。用ARP或IP安全策略阻止其与其它两个收银和天意过滤王核心机通信。
为什么要删除IPX协议呢:两台万象OL收银机除了会用IP进行探测到双万象外,还会使用NetBIOS协议,即机器名探测到另一台万象OL,这个和万象2008有所不同.
为什么收银机的网关和过滤王核心的网关不在一个段呢:经测试,在交换机上配置了端口隔离的情况下,只要在收银机的网关和过滤王的网关在一个段,依然提示双核心,禁止营业。所以只能在收银机上配置双IP了。
天意网吧身份证收银:192.168.1.144   192.168.2.144    网关:192.168.2.1:双IP配置,与两台过滤王核心的网关不在一个段,实现路由隔离。
删除IPX协议,但保留Microsoft网络客户端,用ARP或IP安全策略阻止其与其它两个收银和金燕子过滤王核心机通信。
临时卡收银:192.168.1.177
删除IPX协议,但保留Microsoft网络客户端 。用ARP或IP安全策略阻止其与其它两个收银和过滤王核心机通信。  

万兆交换机上的配置:这就是物理隔离了?将两个核心的端口加入保护,这样这两个端口的数据就不能互相通信,锐捷工程师处得到。
金燕子网吧过滤王核心:192.168.1.250    192.168.1.200    网关:192.168.1.254    接交换机9号端口
将9号端口加入端口保护:Ruijie(config-if-GigabitEthernet 0/9)#switchport protected
天意网吧过滤王核心:192.168.1.198    192.168.1.199  网关:192.168.1.254      接交换机7号端口
将7号端口加入端口保护:Ruijie(config-if-GigabitEthernet 0/7)#switchport protected

经测试,单是上边的加入端口保护,还是不行。还需要配置ALC,据说ALC可以实现3层隔离,但单使用ALC隔离,也是不行,非得如上的:不一样的网关配置+交换机端口保护+ALC策略 才能完全正常,我也是醉了,主要是不知道过滤王核心机是怎么工作的。
配置ACL-20:ID:20        端口7是接天意网吧过滤王核心机的交换机端口
配置标准IP列表,规则:禁止   列表ID:20  指定IP地址:192.168.1.200
配置标准IP列表,规则:禁止   列表ID:20  指定IP地址:192.168.1.250
配置标准IP列表,规则:允许   列表ID:20  指定IP地址:任意
将ACL  ID:20   应用于端口7   过滤方向:in  
配置ACL-30:    ID:30     端口9是接金燕子网吧过滤王核心机的交换机端口
配置标准IP列表,规则:禁止   列表ID:30  指定IP地址:192.168.1.199
配置标准IP列表,规则:禁止   列表ID:30  指定IP地址:192.168.1.198
配置标准IP列表,规则:允许   列表ID:30  指定IP地址:任意
将ACL    ID:30应用于端口9   过滤方向:in
[/hide]

至此完成配置,经过一个月的测试,网吧正常,GA网监数据正常。

写的很乱,不知道大家能不能看懂,反正有这种需求的估计很少。咱也是第一次做,但还好没让客户失望。做成了。


[本日志由 lq3447 于 2016-02-28 04:51 PM 编辑]
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
评论: 0 | 引用: 0 | 查看次数: 312
发表评论
你没有权限发表留言!