網絡規劃

網絡是計算機技術與通信技術結合的產物，已經成為計算機應用中不可缺少的重要方面。按照廣義觀點的定義，計算機網絡就是利用通信設備和線路將地理位置不同的、功能獨立的多個計算機系統互聯起來，以功能完善的網絡軟件（即網絡通信協議、信息交換方式及網絡操作系統等）實現網絡中資源共享和信息傳遞的系統。網絡規劃即是在網絡搭建前，對整體網絡的進行合理的分析、統籌安排網絡的搭建。 ^[1] 

一、網絡設備、介質

強烈推薦網吧網絡採用100M網絡。現行通常的做法是：集線器或交換機、以太網卡採用10/100M自適應的，網線使用超五類線。100M網絡對於大多數網吧是夠用的，當機器有500台甚至更多時，網絡主幹網可考慮採用1000M網絡。

網絡的中心是服務器。對於網吧網絡也是如此，即便含義有所不同。服務器的作用發揮得好，可有效地對網吧進行管理網絡，並且節省資源、提高網吧效益。以下是筆者認為網吧應該建立的三種獨立服務器，網吧經營者可根據自己網吧的實際情況做出選擇：

為了提供穩定的、快速的接入Internet服務，有必要採用單獨的拔號代理服務器，可用一台配置較好的PC充當，如：C1.2G+256M內存+SCSI硬盤。從穩定性考慮，有條件的、較大的網吧，應採用小型專用服務器充當拔號代理服務器。服務器採用的操作系統首推W2K，也可考慮Linux，服務器應安裝病毒、安全防火牆，如：Norton Antivirus、瑞星和BlackICE、天網；代理軟件可採用W2K自帶的ICS、NAT，或者單獨的產品：ISA、SYGATE、WINGATE、Squid（Linux下）。 ^[2] 

為了給網友提供更多的選擇，可用一台普通PC充當視頻服務器，如：C800+256M內存+200G硬盤，大容量的硬盤是用來存放電影、音樂、常用軟件等的。視頻服務器可可採用W2K，設置一個超級用户賬號和普通賬號，前者供網吧管理員使用，後者供上網者使用（設置好權限，使其無權刪除該機上的文件甚至無權訪問硬盤），這樣這台機器也不會因充當服務器而沒有產生效益。如何將視頻服務器上的視頻提供給網友觀看呢？主要有兩種方式：一種是通過共享，另一種是作流媒體服務器，如採用微軟的Window Media服務器、Real公司的RealServer，國內上海傲行公司的傲行服務器。前者很容易實現，後者稍微複雜，並且對機器硬件要求也高許多（流媒體要求服務器擁有大容量內存）。

根據當地網友的愛好，單獨拿台機器作一個遊戲的服務器，比如：CS的、傳奇的。當然有些東西是違規或者違法的，在此並不表示鼓勵，由此產生的一切後果也與本人無關：P

由於工作站要運行上網的一些必備工具和遊戲，因此，推薦安裝WIN98系統，網絡協議儘量少，一般只使用TCP/IP和IPX/SPX，根據我個人的經驗，工作站最好不要安裝“文件共享及打印協議”，可有效防止蠕蟲類病毒感染網絡，另外，在TCP/IP設置中，推薦採用靜態IP地址（可與機號相對應），而不要在服務器中採用DHCP分配，這樣做，一是有利於網絡的管理，二是可以提高WIN98啓動的速度。在工作站的非系統邏輯盤裏，一般存放一個使用GHOST製作的鏡像文件，以備系統損壞時快速恢復。

網絡安全實際也是網絡管理的一部分，它關係到網絡資源的保護、實體安全、信息安全和運行安全等方面的問題。 ^[1] 

隨着Internet的普及，網絡攻擊事件越來越多。對於網吧這個大眾上網的場所，很多時候扮演着“練兵”的角色，不僅影響着被攻擊一方，有時候出於個人私怨、興趣、愛好等，網吧成了這些Cracker的最佳攻擊對象。這些需要引起網吧經營者的高度注意。

拔號代理服務器的安全是最重要的，因為一旦它被人攻擊或者控制，整個網吧就無法正常營業。其它的視頻服務器也可參照。對於拔號代理服務器的安全，有以下幾點需要注意的：

（1）賬號的安全性：特別是有管理員權限的賬號應該被少數網絡管理員所擁有；並且該網管不在此網吧工作後，用户名和密碼均要更換；用户名不要使用默認的，比如：administrator應更換成：admin_88800,ipuwirj等不規則不常用的，密碼要設複雜並且位數要多；

（2）服務的安全性：拔號代理服務器儘量不要安裝任何服務，如WWW、FTP等，即使出於工作需要，要安裝某個服務，也要想辦法降低風險，如，更改該服務的監聽端口、對該服務提供審計措施、限制遠程訪問者的IP；

（3）禁止默認的服務：這個主要是針對W2K的。W2K下有許多默認服務是自啓動或者手工啓動的服務，有許多是作為拔號代理服務器而不需要的，不僅不需要，還有可能成為安全的隱患，比如：Remote Registry Service、Task Scheduler等；

（4）安裝防火牆：安裝一個最新的病毒防火牆是必要的，另個，裝一個安全防火牆也是必要的；

（5）打補丁：作為網絡管理員，經常及時地打補丁可以防止很多攻擊，比如：打過sp3的W2K就沒有輸入法漏洞了；

（6）其它：其它安全措施有許多，如：關閉不必要的端口139、445（對於AD），關閉IPC$，利用W2K的IPSEC技術等，這些都有賴於學習與提高。

可能你會覺得作為網吧，工作站（特別是安裝的WIN98系統）無須作安全設置，那你就錯了。因為很多攻擊往往是來自內部的。筆者親歷過這麼一個攻擊者：先到收銀台交錢選擇一個偏僻的地方上機，下載一個黑客軟件，它會使WIN98藍屏，在攻擊範圍內填寫的是127.0.0.1，兩秒鐘內，網吧80%的機器藍屏並且斷網。他自己的機器也斷了，因此你無法找到“真兇”，這是我經歷過的事。另外，這個攻擊者還可以有這樣的選擇，選擇arp攻擊，攻擊是效果：被攻擊的機器不斷的提示“IP地址衝突”而無法上網，更加高明者，可以選擇欺騙，原理是：原來正常的數據包是通過網關（即拔號代理服務器）出去的，而攻擊者可以欺騙整個網絡，並讓數據包轉向攻擊機器，結果是：整個網吧不能上網！由此可見，工作站也要做好基本的安全措施：

（1）禁止下載：從上面那位攻擊者過程得知，禁止下載是必要的，另外，工作站最好不要安裝解壓縮軟件；

（2）給WIN98打補丁：剛才舉的WIN98藍屏事件，就是因為WIN98少打了一個補丁，利用WIN98開始菜單的“windows update”連入微軟網站進行在線升級；

（3）有關註冊表的：有很多網頁通過腳本、ActiveX等入侵WIN98機器，比如：更改默認首頁就是一例。有很多攻擊者就是採取這種方式破第一道防護：網吧管理軟件，比如獲得網吧管理軟件的退出密碼。因此，如果對付這種破解方式，是很重要的。遺憾的是，目前為止，還沒有十全十美的辦法，一個比較可行的措施是：將WIN98本機的常見註冊表選項保存成.reg文件，每次開機時利用regedit.exe導入一次。該舉解決了一些常見的註冊表被修改的情況，比如首頁被改、IE標題被改等，但如何阻止攻擊者獲得密碼、解除禁止下載呢？一個辦法是將此網站加入到IE的受限站點中，另一種辦法是乾脆把IE裏的有關腳本、ActiveX、JAVA小程序等全部禁止，前者需要人工添加並且肯定有遺漏，後者可百分之百防住，但給普通上網者帶來不方便；

（4）有關網吧管理軟件：網吧管理類軟件有很多，網吧管理軟件對於WIN98系統的保護雖然不到位，但也是必要的；

（5）其它：由於WIN98系統以及TCP/IP協議本身的脆弱性，有許多攻擊在網吧現有條件基礎上是無法預防的，由於網吧機器一般都沒有軟件、光驅，因此，如果完全禁止下載是至關重要的。

[導讀]企業數據中心可以實現企業異構數據環境無法支持的有效的數據交換，全面、集中、主動並有效地管理和優化IT基礎架構，實現信息系統的高可管理性和高可用性，保障了業務的順暢運行和服務的及時傳遞，最終以良好的服務贏得用户。

企業數據中心通過實現統一的數據定義與命名規範、集中的數據環境，從而達到數據共享與利用的目標。企業數據中心按規模劃分為部門級數據中心、企業級數據中心、互聯網數據中心以及主機託管數據中心等。通過這些規模從小到大的數據中心，企業可以運行各種應用。一個典型的企業數據中心常常跨多個供應商和多個產品的組件，包括：聯網設備、服務器、存儲設備等等。這些組件需要放在一起，確保它們能作為一個整體運行。

我們知道，數據中心是企業應用業務服務的提供中心，是數據運算、交換、存儲的中心。它結合了先進的網絡技術和存儲技術，承載了網絡中80%以上的服務請求和數據存儲量，為客户業務體系的健康運轉提供服務和運行平台。數據中心應採用服務、應用、存儲相分離的架構，有效降低了管理維護的成本，同時也能滿足日益增長的業務數據對系統擴容的需求。一個完整的數據中心由網絡系統、應用服務系統、存儲系統、遠程容災系統、網絡管理系統等部分組成。

數據中心以網絡系統為依託，因此首先應保護網絡系統平台的高可靠性，避免因網絡系統的故障和性能瓶頸等影響企業關鍵業務的運行。可通過三層交換技術，有效抑制廣播風暴，保證關鍵業務的數據傳輸;通過鏈路冗餘和負載均衡技術，保證系統的高可用性;通過鏈路聚合技術，提高網絡傳輸性能，消除網絡瓶頸等等。

1、可擴展性

為適應業務的發展、需求的變化、先進技術的應用，數據中心網絡必須具備足夠的可擴展來滿足發展的需要。如採用合理的模塊化設計，儘量採用端口密度高的網絡設備、儘量在網絡各層上具備三層路由功能，使得整個數據中心(IDC)網絡具有極強的路由擴展能力。功能的可擴展性是IDC隨着發展提供增值業務的基礎。

2、可用性

包括網絡設備和網絡本身的冗餘。關鍵設備均採用電信級全冗餘設計，採用冗餘網絡設計，每個層次均採用雙機方式，層次與層次之間採用全冗餘連接。提供多種冗餘技術，在不同層次可提供增值冗餘設計。

3、靈活性

靈活的目的是實現可根據數據中心不同用户的需求進行定製，網絡/設備能夠靈活提供各種常用網絡接口、能夠根據不同需求對網絡模塊進行合理搭配。

4、可管理性

網絡的可管理性是IDC運營管理成功的基礎，應提供多種優化的可管理信息。完整的QoS功能為SLA提供了保證，完整的SLA管理體系，多廠家網絡設備管理能力，網絡性能分析以及準確及時的網絡故障報警、計費等。

5、安全性

安全性是IDC的用户最為關注的問題，也是IDC建設中的關鍵，它包括物理空間的安全控制及網絡的安全控制。

對於動態、不斷演進的數據中心環境來説，更強大的網絡連接是不變的需求。無論是企業或公共服務數據中心，都要儘可能保障網絡基礎設施能夠提供可擴展帶寬、冗餘業務備份、靈活性、安全性並方便移動、增加和變更。為保障服務的可信賴性，數據中心必須使用高密度、方便使用與部署的高品質佈線系統。必須提前對綜合佈線系統進行設計，跟土建、消防、空調、照明等安裝工程互相配合好，免得產生不必要的施工衝突。 ^[3] 

數據中心機房應當採用光纖網絡佈線，使企業更經濟地實施數據中心應用，來進一步滿足數據存儲以及局域網內服務器和交換機之間的數據快速交換，便於將來網絡升級換代，節省投資，避免浪費，給我們提供了一個靈活、安全、高性能價格比的佈線系統。

KVM 的意思是"鍵盤、顯示器及鼠標"， 這三項加起來稱為一組 KVM 操作枱。KVM切換器的主要目的是讓統一組 KVM 操作枱可以連接到許多台設備(包括網絡設備和服務器)，這可以讓使用者從操作枱訪問及控制許多台計算機或服務器。數據中心KVM 解決方案可以提供最可靠、有靈活、安全的多重使用者遠程訪問及控制，數據中心一般採用數字式與模擬式 KVM切換器集合，來實現網絡的集中管理，使IDC的機房環境變得簡潔明亮，且有一個高效、安全、擴容簡單有序的集中控制環境。"獨立於網絡外"的模擬式 KVM 解決方案通常最適合中小型的數據中心，至於"網絡內"的數字式 KVM 解決方案，則最適合支持全國或全球的大型分佈式數據中心。結合 KVM切換器與集中管理軟件，為多個數據中心提供控制與管理的功能。無論是地區性或是全球性的管理，數據中心人員都可以從單一畫面使用單一 IP 地址，完全控制企業裏的許多個數據中心。

網絡存儲按照存儲設備與服務器的連接方式主要有三種形式：DAS(Direct Attached Storage，直接連接存儲)、NAS(Network Attached Storage，網絡附加存儲)、SAN(Storage Area Network，存儲區域網絡)。SAN特別適合於服務器集羣、災難恢復等大數據量傳輸的業務環境。SAN是位於服務器後端，為連接服務器、磁盤陣列、磁帶庫等存儲設備而建立的高性能網絡。SAN將各種存儲設備集中起來形成一個存儲網絡，以便於數據的集中管理。SAN以數據存儲為中心，採用可伸縮的網絡拓撲結構，通過具有高傳輸速率的光通道的直接連接，提供SAN內部任意節點之間的多路可選擇的數據交換，並且將數據存儲管理集中在相對獨立的存儲區域網內。

數據中心為整個網絡提供應用服務，通常這些服務包括一些關鍵業務(如ERP、 MRPⅡ、HIS、PACS等)和其他功能服務(如WEB、FTP、MAIL、DHCP、DNS、WINS等)。對於關鍵業務和重要的功能服務採用集羣技術提供冗餘和負載均衡，可以有效地保證網絡的高效安全運轉。一個配置完善的應用服務器羣，可以將應用平台與服務平台分離，降低網絡管理的難度，提高網絡運行效率;以最少的用户端干預，達到最高的可用性，從而降低管理成本。 ^[1] 

集羣是兩台或更多台服務器(節點)在一個羣組內共同提供一種或多種應用服務。與單獨工作的服務器相比，集羣系統能夠提供更高的可用性和可擴充性，是提供高可用性和增強企業應用軟件可管理性的有效途徑。高可用性表現在當一台節點服務器或一個應用服務發生故障時，這台服務器上所運行的應用程序將被集羣系統中其他服務器自動接管，客户端將能很快連接到新的應用服務上，最大限度地縮短服務器和應用程序的宕機時間。高可擴充性表現在集羣允許在不中斷服務的情況下增加處理能力或存儲容量，從而提高了系統的可擴充性。企業中的關鍵業務應用均可採用集羣系統以提供高可用性的穩定應用服務。

網絡管理系統是網絡管理員瞭解網絡性能的一個窗口，也是評估和調整網絡可用性的重要工具。網絡管理可以識別關鍵資源、網絡流量以及網絡性能，還能配置設備故障的閾值、提交精確的端到端分析報告。更重要的是通過網絡管理可以讓企業設置可用性策略，在系統出現故障或性能下降時自動啓動。

網絡管理系統按使用功能可分為兩種：一種是網絡設備管理，主要安裝網管軟件、服務器管理軟件、磁盤磁帶機管理軟件，以監視網絡流量、設備運轉狀態等情況。另一種是網絡桌面管理，對服務器或客户機提供遠程管理、遠程配置、遠程遙控等功能，使管理人員不用離開數據中心就可以完成大部分技術支持工作。 ^[1] 

隨着數據中心的發展，對系統和網絡管理提出新的要求。網絡管理必須走出設備管理的圈子，提供應用性能的清晰視圖，然後提供幫助用户保證應用性能的工具。此外，還將面對更好地支持移動設備、網絡集成和安全管理的需要。由於數據中心的疆界可能超出了傳統機房的邊界，網絡管理確保分佈式應用和無處不在的數據存取的強大性能。數據中心的網絡管理應當有效、合理的管理、協調好各種品牌的網絡設備以及服務器，讓設備發揮最大作用，全面實現網絡功能。