網絡優化須作好的七項工作
原創【51CTO.com獨家特稿】在大中型企業中,目前都有自己的網絡管理和維護人員。這些網絡一般都需要為成百上千的企業用戶服務,如何從多個層面對網絡進行優化,最大程度地掌握和駕馭它來為工作服務,是網絡管理人員的頭等大事。本文將從多個角度給出一些實踐中常用的網絡優化技巧,以希望大家更好地去優化和管理網絡,從而更好的利用網絡去開展的工作。
1、作好網絡設計
一個好的網絡整體規劃設計不但能夠滿足性能的要求,而且使用了最少的投入,同時還應該便于支持日后對于網絡的擴大處理。因此,作好網絡設計是網絡優化的非常官的第一步。通常來說,一個好的網絡設計需要滿足以下幾個要求:
功能性:這個網絡必須能夠工作。它要使得用戶能夠滿足工作上的需要,必須以合理的速度和可靠性為用戶提供用戶到用戶和用戶到應用的連接。
可擴展性:這個網絡應該能夠增長。最初的設計應能在不對全局做較大改動的情況下使網絡增長。
適應性:這個網絡在設計時應該具有長遠的目光,考慮到未來技術的發展。并且,不應該包含限制新技術在網絡中開展的因素。
易管理性:應該支持網絡監控和管理,以保證運行中的持續穩定。
2、選擇合適的網絡互聯設備
在進行網絡優化過程中需要考慮:實際網絡中,我們經常需要用到交換機和路由器這兩種設備,對他們進行正確的設置和選用,可以從一定程度上優化網絡。交換機是利用物理地址或者說MAC地址來確定轉發數據的目的地址。而路由器則是利用不同網絡的ID號(即IP地址)來確定數據轉發的地址。IP地址是在軟件中實現的,描述的是設備所在的網絡,有時這些第三層的地址也稱為協議地址或者網絡地址。MAC地址通常是硬件自帶的,由網卡生產商來分配的,而且已經固化到了網卡中去,一般來說是不可更改的。而IP地址則通常由網絡管理員或系統自動分配。 由交換機連接的網段仍屬于同一個廣播域,廣播數據包會在交換機連接的所有網段上傳播,在某些情況下會導致通信擁擠和安全漏洞。連接到路由器上的網段會被分配成不同的廣播域,廣播數據不會穿過路由器。雖然第三層以上交換機具有VLAN功能,也可以分割廣播域,但是各子廣播域之間是不能通信交流的,它們之間的交流仍然需要路由器。
3、確認網線和網絡設備工作正常
在網絡優化和管理網絡的時候,我們需要首先確認網線以及網絡設備是否工作正常。在很多情況下,都會出現一些故障影響到網絡的性能。網絡連線故障通常包括網絡線內部斷裂,雙絞線、RJ-45水晶頭接觸不良,或者是網絡連接設備本身質量有問題,或是連接有問題。這時,我們可以使用測線儀來檢測一下線路是否斷裂,然后用替代的方法來測試一下網絡設備的質量是否有問題。由于連接局域網中的每臺計算機都是用雙絞線來實現的,但是并不是用雙絞線把兩臺計算機簡單地相互連接起來,就能實現通信目的的,我們必須按照一定的連線規則來進行連線。雙絞線的連接距離不能超過100米,如果需要連接超過100米的兩臺計算機時,必須使用轉換設備。在連接轉換設備和交換機時,我們還必須進行跳線。這是因為以太網中,一般是使用兩對雙絞線,排列在1、2、3、6的位置,如果使用的不是兩對線,而是將原配對使用的線分開使用,就會產生較大的串擾,對網絡性能造成較大影響。10M網絡環境這種情況不明顯,100M的網絡環境下如果流量大或者距離長,網絡就會無法聯通。
4、優化網卡
有的網卡雖然支持PnP功能,但安裝好后發現并不能好好地工作,甚至不能工作。為此,我們可以采用屏蔽網卡的PnP功能的方法來解決這一故障。要想禁用網卡的PnP功能,就必須運行網卡的設置程序(一般在驅動程序包中)。在啟動設置程序后,進入設置菜單。禁用網卡的PnP功能,并將可以設置的IRQ一項修改為一個固定的值。保存該設置并退出設置程序,這樣如果沒有其他的設備占用該IRQ,可以保證不會出現IRQ沖突。
5、配備高性能的服務器
對網絡速度影響較大的還有服務器硬盤的速度,因此正確地配置好局域網中服務器的硬盤,將對整個企業網中的網絡性能有很大的改善。通常,我們在設置硬盤時需要考慮以下幾個因素:
服務器中的硬盤應盡量選擇轉速快,容量大的產品,因為硬盤轉速快,通過網絡訪問服務器上的數據的速度也越快;
服務器中的硬盤接口最好是SCSI型號的,因為該接口比IDE或EIDE接口傳輸數據時速度要快,它采用并行傳輸數據的模式來發送和接受數據的;
如果條件允許的話,我們可以給網絡服務器安裝硬盤陣列卡,因為硬盤陣列卡能較大幅度地提升硬盤的讀寫性能和安全性。
6、做好流量監控與管理
網管必須經常嗅探網上包的情況,了解究竟什么東西在網上傳輸。如果企業中有員工在使用例如網上視頻點播或者BitTorrent等P2P軟件的時候,對于網絡帶寬,尤其是局域網出口帶寬,會帶來巨大的影響。如果企業業務非常在乎與Internet的信息交換,那么網管就必須提醒用戶或者直接在防火墻上屏蔽掉BitTorrent之類的軟件保證正常的企業信息通道暢通。因此,在日常的網絡流量管理中,為了有效實現網絡管理4個目標,我們需要采取相應的步驟。這個步驟分別是:網絡流量捕捉和分類、網絡流量監視(統計和分析)和控制策略。
網絡流量捕捉和分類:他是進行網絡流量管理的第一步。只有通過設置捕捉點,對網絡流量進行捕捉和分類,才能進行后續的分析和控制工作。這里特別需要強調的是,網絡流量分類可以非常宏觀化,也可以細化。比如TCP、UDP、ICMP等等的分類就比較宏觀,而HTTP、FTP甚至是諸如Kazza、Skype等P2P流量的分類和識別就比較細化了。本專題介紹的Wireshark和tcpdump軟件目前著重的是宏觀流量的捕捉和分類,具體細化的內容管理員可以參看相關的資料獲得。
網絡流量監視(分析):監視步驟用來顯示流量的運行狀況,幫助找出問題所在和執行相應的管理策略。應用程序和網絡管理能夠收集分類、展示和收集信息,包括帶寬利用率、活躍的主機和網絡效率以及對活躍的應用程序。我們的設備能夠跟蹤平均和高信息的流量,識別最大的用戶和應用程序,將網絡流量定位到不同的領域,從應用的角度監視網絡流量,分析網絡帶寬明確的關鍵問題所在。用統計報表來進行表現。該目標可以采用本專題所介紹的NTOP可視化分析管理工具來協助網絡管理員在實際工作中實現。
控制策略:通過網絡流量分析后,接下來根據優先級別分配帶寬資源。分配的依據可以根據主機、應用等等,特別需要考慮的是注意將消耗資源的P2P程序或者音頻視頻下載等進行滯后考慮。用戶們可以根據本專題所介紹的TC工具來進行和實現一個完整的分類監視和控制網絡流量,這樣,我們就可以將網絡流量有效管理起來,將原來無序的網絡流量變得有序起來。
7、作好網絡安全
外界的網絡對于內部的攻擊,端口掃描對于企業網絡的影響非常大。所以,安裝一個防火墻或者購買一個硬件防火墻,可以采用如下兩種防火墻技術:(1)多級過濾技術:所謂多級過濾技術,是指防火墻采用多級過濾措施,并輔以鑒別手段。在分組過濾(網絡層)一級,過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級,遵循過濾規則,過濾掉所有禁止出或/和入的協議和有害數據包如nuke包、圣誕樹包等;在應用網關(應用層)一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術,可以彌補以上各種單獨過濾技術的不足。這種過濾技術在分層上非常清楚,每種過濾技術對應于不同的網絡層,從這個概念出發,又有很多內容可以擴展,為將來的防火墻技術發展打下基礎。(2)病毒防火墻:使防火墻具有病毒防護功能。現在通常被稱之為病毒防火墻,這種防火墻技術可以有效地防止病毒在網絡中的傳播,比等待攻擊的發生更加積極。擁有病毒防護功能的防火墻可以大大減少損失。
另外,還可以采用成熟的入侵檢測系統來保護網絡,從而達到網絡優化的目的。入侵檢測是依照一定的安全策略,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。我們需要在系統中部署以Snort等為代表的在網絡層、應用層進行入侵檢測和阻斷的軟件或者組件。另外,在這些網絡威脅當中,DDoS(分布式拒絕服務),其英文全稱為Distributed Denial of Service,是一種基于DoS的特殊形式的拒絕服務攻擊,是一種分布、協作的大規模攻擊方式,主要瞄準比較大的站點,像商業公司、搜索引擎和政府部門的站點。通常,DoS攻擊只要一臺單機和一個MODEM就可實現,與之不同的是DDoS攻擊是利用一批受控制的機器向一臺機器發起攻擊,這樣來勢迅猛的攻擊令人難以防備,因此具有較大的破壞性。拒絕服務攻擊攻擊很難解決。首先,被用來探測DDoS和DoS擊的網絡流沒有統一的特征;其次,DDoS布式特性使得它們極難被抵抗或追蹤;再次,配置拒絕服務攻擊的自動化的工具可以非常容易的下載得到,攻擊者也可以使用IP偽裝技術來隱藏他們的真實身份,這就導致拒絕服務攻擊的追蹤更加困難。我們可以使用的拒絕服務攻擊防護技術包括:
(1)入侵預防:對所有攻擊最好的緩解策略就是完全攔截這些攻擊。這個階段首先是要阻斷已經發動的DoS攻擊,有許多DoS防御機制試圖使系統免遭DoS攻擊:
①入口過濾:設置一個路由器來禁止帶有非法源地址的包進入網絡;
②出口過濾:確定了離開網絡的分配的地址空間;
③基于歷史的IP地址過濾:可以利用邊路由器根據之前建立的地址數據庫根據路由器之前的連接歷史來允許包進入。
(2)關閉不使用的服務:通常如果網絡服務不需要或沒有使用,則可以關閉這些服務來阻止攻擊發生的可能。
(3)應用安全補丁。
(4)負載平衡:使網絡提供方在重要的連接上增加帶寬,并防止萬一攻擊發生時帶寬下降。
(5)使用蜜罐:是具有一定安全性的系統,用來欺騙攻擊者來攻擊蜜罐而不是真正的系統。
【51CTO.com獨家特稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及作者!】
