某大型网吧的一次Cisco 3700系 由器优化方案

　　某朋友说网吧有点问题，具体情况如下：

　　带宽10M独享电信通接入机器数量450台

　　由器是Cisco3700系列应用程序由器

　　分配的IP地址：（为了安全起见，下面的IP地址为伪造，但是性质相同）

　　这些地址都通过DHCP给客户机分配。

　　故障问题1：CS无法跨网段互连

　　http 192.168.1.1打故障问题2：IP混乱大量数据报文经过由器由负载很大

　　为了解决这个问题，我要来了他们由器的配置表：

　　从配置看：存在一下一些问题：

　　1、地址段很混乱，网吧内既有60.195.11段，又有60.195.12段，60.195.12段只有64个IP地址，但是配置的掩码却是255.255.255.0。和另外一个网吧的IP地址段重复。

　　2、ACL表设置有不合理的地方，对标准ACL和扩展ACL没有正确运用。

　　3、内部地址通过NAT可以访问60.195段的公网IP主机，但是反过来，因为其复用动态NAT的原因，60段IP无法回访192段IP。

　　4、Ints0/1上没有routecache，在一个接口上有多个IP段的情况下，不cache的话，网段间互相通信会严重影响由器性能。加重负载。网吧不同IP段内互连CS之类游戏的话会严重丢包。

　　5、其他一些设置：比如没有ipproxy-arp,容易被ARP欺诈。没有httpserver，容易被恶意获取最高权限。

　　于是，做出一个整改办法：

　　我重新写了下由器配置：

　　（是NAT保留时间，必须加这个，这样你可以N个月不重启由，由器不会变慢，使用CISCONAT的绝招，我的记录是连续运行10个月没有重启）

　　内部网络整改方案：

　　1、网吧内部全部采用内部IP，把公网IP给视频区固定分配（不能打局域网游戏的区域），这样可以解决使用内部IP时，非会员QQ无法穿越防火墙以及打联众无法坐到一起的问题。

　　3、给由器NAT做优化，提高性能。估计由器在满载（450台电脑都用内部IP）的情况下可以达到CPU负载不超过25%。

　　编辑推荐

　　思科在中国推出首款双频无线-N由器

　　HSRP和VRRP两大备份由器协议比较