北京某大型网吧Cisco 3700系列路由器优化方案

北京某朋友说网吧有点问题，具体情况如下：

带宽10M独享北京电信通接入 机器数量450台

路由器是 Cisco 3700系列 应用程序路由器

分配的IP地址：（为了安全起见，下面的IP地址为伪造，但是性质相同）

60.195.11.1~ 60.195.11.254 netmask 255.255.255.0

60.195.12.1～60.195.12.63 netmask 255.255.255.0

218.247.242.93---218.247.242.99 netmask 255.255.255.224

192.168.0.1~ 192.168.0.254 netmask 255.255.255.0

其中192.168.0.1~ 192.168.0.254通过NAT出外网，NAT地址池采用218.247.242.94---218.247.242.99 这5个地址。

这些地址都通过DHCP给客户机分配。

故障问题1：CS无法跨网段互连

故障问题2：IP混乱 大量数据报文经过路由器 路由负载很大

为了解决这个问题，我要来了他们路由器的配置表：

!

version 12.3

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname router

!

boot-start-marker

boot-end-marker

!

logging buffered 4096 debugging

enable secret 5 (密码部分隐蔽)!

no aaa new-model

ip subnet-zero

ip cef

!

!

!

no ip domain lookup

no ftp-server write-enable

!

!

!

!

interface FastEthernet0/0

ip address 172.30.99.222 255.255.255.252

ip access-group li in

ip access-group li out

ip accounting output-packets

ip nat outside

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 60.195.12.1 255.255.255.0 secondary

ip address 218.247.242.93 255.255.255.224 secondary

ip address 192.168.0.1 255.255.255.0 secondary

ip address 60.195.11.1 255.255.255.0

ip nat inside

duplex auto

speed auto

!

ip nat pool wang 218.247.242.94 218.247.242.99 netmask 255.255.255.224

ip nat inside source list 120 pool wang overload

ip classless

ip route 0.0.0.0 0.0.0.0 172.30.99.221

ip http server

!

ip access-list extended li

permit icmp 60.195.11.0 0.0.0.255 host 60.194.0.1

permit icmp 60.195.12.0 0.0.0.255 host 60.194.1.1

permit icmp 172.30.99.220 0.0.0.3 172.30.99.220 0.0.0.3

deny tcp any eq 135 any

deny tcp any any eq 135

deny udp any any eq 135

deny tcp any any eq 139

deny tcp any eq 139 any

deny udp any any eq netbios-ss

deny udp any eq netbios-ns any

deny udp any any eq netbios-ns

deny udp any any eq netbios-dgm

deny udp any eq netbios-dgm any

deny tcp any eq 445 any

deny tcp any any eq 445

deny tcp any eq 4444 any

deny udp any eq 445 any

deny udp any any eq 445

deny tcp any any eq exec

deny udp any any eq 29851

permit ip any any

!

access-list 120 permit ip 192.168.0.0 0.0.0.255 any

access-list 188 permit tcp any any eq 16881

access-list 188 permit tcp any any range 6881 6890

access-list 188 permit tcp any any range 1880 1890

access-list 188 permit tcp any any range 6000 6009

access-list 188 permit tcp any any range 8000 8009

access-list 188 permit tcp any any range 8881 8890

!

从上面配置看：存在一下一些问题：

1、 地址段很混乱，网吧内既有 60.195.11段，又有 60.195.12段，60.195.12段只有64个IP地址，但是配置的掩码却是 255.255.255.0。和另外一个网吧的IP地址段广播重复。

2、 ACL表设置有不合理的地方，对标准ACL和扩展ACL没有正确运用。

3、 内部地址通过NAT可以访问 60.195段的公网IP主机，但是反过来，因为其复用动态NAT的原因，60段IP无法回访192段IP。

4、 Int fas 0/1 上没有开启route cache ，在一个接口上有多个IP段的情况下，不开启cache的话，网段间互相通信会严重影响路由器性能。加重负载。网吧不同IP段内互连CS之类游戏的话会严重丢包。

5、 其他一些设置：比如没有禁止ip proxy-arp,容易被ARP欺诈攻击。没有禁止 http server，容易被恶意获取最高权限。

#P#

于是，做出一个整改办法：

我重新写了下路由器配置：

!

version 12.3

no service timestamps debug datetime msec （没有用，NO掉）

no service timestamps log datetime msec （没有用，NO掉）

service password-encryption

!

hostname router

!

boot-start-marker

boot-end-marker

!

logging buffered 4096 debugging

enable secret 5 (密码部分隐蔽)!

no aaa new-model

ip subnet-zero

ip cef

!

!

!

no ip domain lookup

no ftp-server write-enable

!

!

!

!

interface FastEthernet0/0

ip address 172.30.99.222 255.255.255.252

ip route-cache flow （根据网盟 yewei1012 朋友的建议增加）

no ip proxy-arp （预防ARP欺诈性攻击）

ip access-group li in

ip access-group li out

ip accounting output-packets

ip nat outside

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 60.195.12.1 255.255.255.0 secondary

ip address 218.247.242.93 255.255.255.224 secondary

ip address 192.168.1.1 255.255.255.0 secondary

ip address 192.168.0.1 255.255.255.0 secondary

ip address 60.195.11.1 255.255.255.0

no ip proxy-arp （预防ARP欺诈性攻击）

ip nat inside

ip route-cache same-interface （提高跨网段通信速度，减轻路由负载）

duplex auto

speed auto

!

ip nat translation timeout 70

ip nat translation tcp-timeout 60

ip nat translation udp-timeout 60

ip nat translation syn-timeout 10

ip nat translation dns-timeout 5

ip nat translation icmp-timeout 5

（上面是NAT保留时间，必须加这个，这样你可以N个月不重启路由，路由器不会变慢，使用CISCO NAT的绝招，我的记录是 连续运行10个月没有重启）

ip nat pool wang 61.195.11.10 60.195.11.20 netmask 255.255.255.0 （重新用其他IP做NAT地址池。）

ip nat inside source list 1 pool wang overload （这里变了)

ip classless

ip route 0.0.0.0 0.0.0.0 172.30.99.221

no ip http server（no 掉！容易挨炸）

!

ip access-list extended li

permit icmp 60.195.11.0 0.0.0.255 host 60.194.0.1

permit icmp 60.195.12.0 0.0.0.255 host 60.194.1.1

permit icmp 172.30.99.220 0.0.0.3 172.30.99.220 0.0.0.3

deny tcp any eq 135 any

deny tcp any any eq 135

deny udp any any eq 135

deny tcp any any eq 139

deny tcp any eq 139 any

deny udp any any eq netbios-ss

deny udp any eq netbios-ns any

deny udp any any eq netbios-ns

deny udp any any eq netbios-dgm

deny udp any eq netbios-dgm any

deny tcp any eq 445 any

deny tcp any any eq 445

deny tcp any eq 4444 any

deny udp any eq 445 any

deny udp any any eq 445

deny tcp any any eq exec

deny udp any any eq 29851

permit ip any any

!

access-list 1 permit ip 192.168.0.0 0.0.255.255 （这是指定那些IP可以通过NAT，用标准acl省资源）

access-list 188 permit tcp any any eq 16881

access-list 188 permit tcp any any range 6881 6890

access-list 188 permit tcp any any range 1880 1890

access-list 188 permit tcp any any range 6000 6009

access-list 188 permit tcp any any range 8000 8009

access-list 188 permit tcp any any range 8881 8890

!

＝＝＝＝＝＝＝＝＝＝

内部网络整改方案：

1、 网吧内部全部采用内部IP，把公网IP给视频区固定分配（不能打局域网游戏的区域），这样可以解决使用内部IP时，非会员QQ无法穿越防火墙 以及打联众无法坐到一起的问题。

2、 DHCP分配的IP地址为：192.168.0.2～ 192.168.1.254 子网掩码 255.255.254.0 网关设置为 192.168.0.1 避免内部通信数据走路由器接口，减少路由负载提高路由器性能

3、 给路由器NAT做优化，提高性能。估计路由器在满载（450台电脑都用内部IP）的情况下可以达到CPU负载不超过25%。

4。60.195.12.1----60.195.12.63段IP 可以暂时不用，避免与其他网吧冲突。